Opleiding Aanspreekpunt Informatieveiligheid gino.demeester@katholiekonderwijs.vlaanderen bert.cauwenberg@katholiekonderwijs.vlaanderen peter.declerck@katholiekonderwijs.vlaanderen Dag 3
Dagindeling De lesonderwerpen volgen Plan van aanpak. 2
Mededelingen en actualiteit
4 in verband met een rechtstreeks aanbod van diensten van de informatiemaatschappij aan een kind (art. 8 AVG).
5
6
7
8
9
10 IVP-beleid en register bijgewerkt op www.privacyopschool.be
Stand van zaken
Stavaza IVP-beleid De vorige opleidingsdag hebben we het IVPbeleid besproken. Vraag Is het gelukt om een IVP-beleid te laten goedkeuren? 12
Plan van aanpak
Procedure inschrijving (art. 5(c) en 6(1) AVG) 14
15 Praktische oefening
Procedure toestemmingen (art. 6(1)(a) AVG) 16
Praktische oefening De focus van de oefening ligt op rechtsverwerkingsgrond toestemming. 17
Verwerkersovereenkomst Artikel 28(3) AVG De verwerking door een verwerker wordt geregeld in een overeenkomst 18
Intentieverklaring De intentieverklaring wilt waarborgen dat verwerkers persoonsgegevens volgens de AVG verwerken. 19
Intentieverklaring De initiatiefnemers zijn: Onderwijsverstrekkers Vrije CLB-koepel vzw (VCLB) Vereniging van Vlaamse Steden en Gemeenten (VVSG) Groep Educatieve en Wetenschappelijke Uitgevers (GEWU) Softwareontwikkelaars 20
Intentieverklaring Aangesloten leveranciers:??? 21
Model van verwerkersovereenkomst (is een onderdeel van de intentieverklaring) Artikel 1: Onderwerp en opdracht Verwerkersovereenkomst Artikel 2: Rolverdeling Artikel 3: Intentieverklaring Artikel 4: Gebruik Persoonsgegevens Artikel 5: Geheimhouding Artikel 6: Beveiliging en controle Artikel 7: Inbreuken in verband met persoonsgegevens Artikel 8: Procedure rechten betrokkenen Artikel 9: Verwerking buiten de Europese Unie Artikel 10: Inschakeling SubVerwerker Artikel 11: Bewaartermijnen en vernietiging Persoonsgegevens Artikel 12: Tegenstrijdigheid en wijziging Verwerkersovereenkomst Artikel 13: Duur en beëindiging Plus twee bijlagen 22
Bijlage 1 Privacy bijsluiter (een bijlage bij Model van verwerkersovereenkomst) Doel bijlage 1 weten welke gegevens er worden uitgewisseld. Nuttig voor het invullen van het register van verwerkingsactiviteiten. 23
Bijlage 2 Technische en organisatorische beveiligingsmaatregelen (een bijlage bij Model van verwerkersovereenkomst) Doel bijlage 2 treft de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen (art. 28(3)(f) AVG). 24
Gegevensbeschermingseffectbeoordeling Wanneer is een GEB of DPIA verplicht? Wanneer de verwerking ertoe strekt om de kennis, prestaties, vaardigheden of mentale gezondheidstoestand van leerlingen te registeren en de evolutie ervan op te volgen, met name aan de hand van leerlingvolgsystemen, ongeacht of deze leerlingen zich in het primair, secundair, tertiair of universitair onderwijs bevinden. Bron: Gegevensbeschermingsautoritiet - CO-AR-2016-004_NL.pdf Lijst van het soort verwerking waarvoor een GEB verplicht is (art. 35(4) AVG) 25
26 Gegevensbeschermingseffectbeoordeling
Gegevensbeschermingseffectbeoordeling Een GEB-rapport (beoordeling) moet de volgende informatie bevatten: een systematische beschrijving van de beoogde verwerkingen; de verwerkingsdoeleinden; een beoordeling van de noodzaak en de proportionaliteit van de verwerkingen met betrekking tot de doeleinden; een beoordeling van de risico's; de beoogde maatregelen om de risico's aan te pakken. Bron: art. 35(7) AVG en WP248 rev.01 Working Party 29 27
Gegevensbeschermingseffectbeoordeling Welke methodiek? De methodiek mag de verwerkingsverantwoordelijke zelf kiezen. De methodiek moet voldoen aan een aantal minimale kenmerken (uitvoerig beschreven in bijlage 2 van richtsnoeren WP 248 rev.01). 28
29 Gegevensbeschermingseffectbeoordeling
Gegevensbeschermingseffectbeoordeling Tip Vraag aan de leveranciers of zij reeds een GEB hebben uitgevoerd. 30
Register van verwerkingsactiviteiten MS Excel vorige opleidingsdag Ingevuld sjabloon Omschrijving in extra kolom 31
Register van verwerkingsactiviteiten 32
Procedure Wat als je vragen krijgt Personeel rond persoonsgegevens? 33
Procedure Wat als je vragen krijgt AIV rond persoonsgegevens? 34
Sjabloon Privacyverklaring Art. 13, 14, 15 AVG 35
Sjabloon Privacyverklaring Leerling 36
Sjabloon Privacyverklaring Personeel 37
Sjabloon Schoolreglement Dienst Lerenden koepel is ermee bezig Timing 38
Sjabloon Arbeidsreglement Dienst Personeel koepel is ermee bezig Timing 39
Procedure gegevenslekken (voor AIV s) Artikel 33 AVG Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit. 40
41 Procedure gegevenslekken (voor AIV s)
Procedure gegevenslekken (voor AIV s) Praktijkvoorbeeld Leerkracht Jan heeft zijn USB-stick verloren met al zijn cursussen erop. Wat moet u doen? 42
Procedure gegevenslekken (voor AIV s) Praktijkvoorbeeld Het personeelsdossier van leerkracht Mieke is zoek. Wat moet u doen? 43
Procedure gegevenslekken (voor AIV s) Praktijkvoorbeeld De mailserver van de school is gehackt geweest. Wat moet u doen? 44
Procedure gegevenslekken (voor Personeel) Verspreid een tekst voor personeelsleden Wat is een beveiligingsincident? Wat is een gegevenslek? Waarom een beveiligingsincident melden? Vermoed u een beveiligingsincident? 45
Communicatieplan Artikel 39(1)(b) AVG Taak AIV Toezien op naleving van deze verordening... bewustmaking en opleiding van het bij de verwerking betrokken personeel... 46
47 Communicatieplan
48 Communicatieplan
Communicatieplan Vraag Welke communicatieactiviteit is voor u haalbaar op school? 49
Procedure Beveiligen eigen IVP-beleid > Toestelbeleid > 5 toestellen 50
Procedure Beveiligen eigen toestellen 51
Procedure Beveiligen eigen toestellen 52
53 Procedure Omgaan met USB-sticks
54 Procedure Omgaan met USB-sticks
55 Procedure Omgaan met USB-sticks
56 Procedure Versleuteling
Procedure Versleuteling Principe (basis) 57
Procedure Versleuteling Asymmetrisch, publieke sleutel 58
Procedure Versleuteling De talloze papieren dragers met (gevoelige) leerlingeninformatie kunnen niet versleuteld worden. Het zijn zeker heel nuttige én noodzakelijke documenten om ervoor te zorgen dat het personeelsteam zijn taken kan uitvoeren, maar tegelijkertijd dienen er duidelijke en sluitende beleidsmaatregelen rond geformuleerd te worden. 59
60 Procedure Versleuteling
Procedure Versleuteling Een goed SLEUTELBEHEER is noodzakelijk om de beschikbaarheid van (versleutelde) persoonsgegevens te garanderen. = business continuity 61
Procedure Versleuteling VERSLEUTELINGSTOOLS G: gratis, B: betalend Up-to-date houden! 62
63 De laatste fase = bijsturing
De laatste fase = bijsturing U stuurt bij waar nodig. Dat doet u zowel: Incidentgebaseerd Cyclisch (Plan Do Check Act) Periodiek 64
Plan Do Check Act verbetermethode 65
Plan Do Check Act verbetermethode Vraag Welke PDCA-verbetermethode zou u willen realiseren op school? 66
Wat moet u doen als verwerkingsverantwoordelijke? Waarom is het belangrijk? 67
Tot slot
Slotmededelingen DPO van de koepel Opleidingstraject 2018-2019 http://nascholing.be/2018-2019/index.aspx 69
Vragenronde Deze foto van Onbekende auteur is gelicentieerd onder CC BY 70
Zijn er nog: Vragen Opmerkingen Ideeën 71
Bronnen Artikel De Backer wilt 13 jaar als leeftijdsgrens (dia 9) https://www.vrt.be/vrtnws/nl/2018/02/12/de-backer-leeftijdsgrens/ Artikel Philippe De Backer: België is on track voor GDPR (dia 10) https://www.computable.be/artikel/nieuws/computablecafe/6319702/5949619/philippe-de-backer-belgie-is-on-track-voor-gdpr.html Artikel Willem Debeuckelaere We zijn helemaal niet klaar (dia 11) http://datanews.knack.be/ict/nieuws/willem-debeuckelaere-hoofd-van-deprivacycommissie-we-zijn-helemaal-niet-klaar/article-normal-965253.html Bescherming van persoonsgegevens in het onderwijs (dia 12 en 13) http://onderwijs.vlaanderen.be/nl/bescherming-van-persoonsgegevens-in-hetonderwijs GEB of DPIA verplicht voor leerlingvolgsysteem https://gdpr-eu.be/privacy-impactassessment/ Richtsnoeren voor gegevensbeschermingseffectbeoordelingen Working Party 29 https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp248_rev.01_ nl.pdf 72