Privacy compliance kader MBO IBPDOC2B
Verantwoording Bron: Raamwerk van de Wet bescherming persoonsgegevens en Algemene Verordening Gegevensbescherming Versie 1.0 December 2014 Met dank aan: Jan Bartling Remco de Boer Yvonne Dijkman Hans Doffegnies Casper Schutte Pierre Veelenturg Pepijn de Vette Bewerkt door: Kennisnet / sambo-ict Auteurs Chloë Baardman Leo Bakker Ludo Cuijpers Job Vos (sambo-ict) (Kennisnet) (MBO Raad) (Summa College)) (ROC Midden Nederland) (MBO Raad) (MBO Amersfoort) (SURF) (Kennisnet) (sambo-ict) (Kennisnet) Sommige rechten voorbehouden Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaarden de auteur(s), redacteur(s) en uitgever van Kennisnet geen aansprakelijkheid voor eventuele fouten of onvolkomenheden. Creative commons Naamsvermelding 3.0 Nederland (CC BY 3.0) De gebruiker mag: Het werk kopiëren, verspreiden en doorgeven Remixen afgeleide werken maken Onder de volgende voorwaarde: Naamsvermelding de gebruiker dient bij het werk de naam van Kennisnet te vermelden (maar niet zodanig dat de indruk gewekt wordt dat zij daarmee instemt met uw werk of uw gebruik van het werk). IN DIT DOCUMENT WORDEN DE BEGINSELEN EN PRINCIPES BESCHREVEN DIE EEN ONDERWIJSINSTELLING MOET AANHOUDEN ALS HIJ GEGEVENS VERZAMELT OVER STUDENTEN EN DOCENTEN. WET- EN REGELGEVING IS EVENEENS AFKOMSTIG VAN DEZE BEGINSELEN. DIT DOCUMENT IS BEDOELD OM DE WET EEN- VOUDIGER TE KUNNEN BEGRIJPEN. DE TEKST IS GESCHREVEN VOOR NIET-JURISTEN. DAARBIJ IS ER VOOR GEKOZEN OM NIET ALTIJD DE LETTERLIJKE JURIDI- SCHE BEWOORDINGEN AAN TE HOUDEN. MET DEZE VERTAALSLAG GAAN SOMS JURIDISCHE FINESSES EN DETAILS VERLOREN. VOOR DE VOLLEDIGHEID WORDT U ALTIJD AANGERADEN OM BIJ TWIJFEL DE WETTEKST TE RAADPLEGEN EN ZO NODIG EEN DESKUNDIGE IN TE SCHAKELEN. IBPDOC2B, versie 0.8 Pagina 2 van 46
Inhoudsopgave Verantwoording... 2 1. Verantwoording en toelichting... 4 1.1 Verder ontwikkeling Compliance kader... 5 1.2 Toetsingskader... 5 2. Basisbeginselen privacy... 6 2.1 Ontstaan privacy... 6 2.2 Basis privacy principes... 7 2.2.1 Respect voor privacy... 7 2.2.2 Doel en doelbinding... 7 2.2.3 Grondslag... 7 2.2.4 Dataminimalisatie... 8 2.2.5 Transparantie... 8 2.2.6 Rechten van de betrokkene... 9 2.2.7 Beveiliging... 9 2.2.8 Datakwaliteit (data-integriteit)... 9 2.2.9 Verantwoordelijkheid (responsibility)... 9 2.3 Eigendom... 9 3. Afgeleide privacy principes: statements... 11 3.1 Algemeen... 11 3.2 Samenhang informatiebeveiliging en privacy... 11 3.3 Specifieke privacy-statements... 13 3.3.1 Beleid en organisatie... 13 3.3.2 Personeel, studenten en gasten... 15 3.3.3 Ruimtes en apparatuur... 15 3.3.4 Continuïteit... 15 3.3.5 Vertrouwelijkheid en integriteit... 16 3.3.6 Controle en Logging... 16 4. Samenhang principes en wettelijke kaders... 17 4.1 Respect voor privacy (privacy by design)... 17 4.2 Doel en Doelbinding... 18 4.3 Grondslag... 20 4.4 Dataminimalisatie... 23 4.5 Transparantie... 27 4.6 Rechten betrokkene... 28 4.7 Beveiliging... 33 4.8 Datakwaliteit (zorgvuldigheid; data integriteit)... 38 4.9 Verantwoordelijkheid (responsibility)... 39 IBPDOC2B, versie 0.8 Pagina 3 van 46
1. Verantwoording en toelichting Privacy is een thema dat door de digitalisering van de maatschappij en de populariteit van sociale media meer leeft dan ooit. Er wordt steeds meer informatie met elkaar gedeeld en dit roept vragen op over wat wel of niet verstandig is. Ook in het onderwijs is te merken dat ICT steeds vaker wordt ingezet in de klas, maar ook in het secundaire proces zoals bij de studentenadministratie. Het toenemend opslaan en verzamelen van informatie over leerlingen, maakt dat er ook meer aandacht moet zijn voor privacy en informatiebeveiliging. Willen onderwijsinstellingen in de toekomst gebruik blijven maken van gegevens, én willen leerlingen (en docenten) ook nog gegevens met scholen blijven delen, dan moet er een perfect samenspel zijn tussen: 1. de interactie van leerlingen; 2. de interactie met de betrokken partijen (zoals scholen en hun leveranciers); 3. de gebruikte middelen (de gegevens). Dit noemen we samen een digitale ecosysteem: partijen en middelen zijn van elkaar afhankelijk om in balans te komen. Bij een datalek, is er - spreekwoordelijk - sprake van vervuiling en een verstoring van die balans. Het lek moet worden gedicht, de vervuiling wordt zo veel mogelijk verwijderd, maatregelen worden genomen om herhaling te voorkomen en met betrokkenen wordt gebouwd aan het vertrouwen om te voorkomen dat een nieuw lek opnieuw plaatsvindt. Het zorgvuldig omgaan met gegevens is (wettelijk) de verantwoordelijkheid van onderwijsinstellingen zelf. Zij kunnen dit niet afwentelen op bijvoorbeeld hun leveranciers. Door het toegenomen gebruik van ICT in het onderwijs, en de toenemende mogelijkheden daarvan, komt de noodzaak voor informatiebeveiligingsbeleid en privacy steeds vaker in beeld. De bescherming van privacy en daarmee samenhangende gegevens wordt steeds belangrijker voor mbo-scholen. De persoon op wie de informatie betrekking heeft, noemen we betrokkene: dat kunnen leerlingen zijn, maar ook medewerkers (docenten, administratief personeel). Een goed ingericht secundair proces zorgt ervoor dat primaire processen beter kunnen renderen. ICT kan er aan bijdragen dat de organisatie van de randvoorwaarden efficiënter en effectiever wordt en draagt bij aan administratieve lastenverlichting. Door de inzet van ict kunnen beschikbare gegevens (over studenten en hun prestaties) beter worden benut. Scholen kunnen met die gegevens gemakkelijker transparant zijn over de resultaten en vorderingen van leerlingen. Leraren kunnen gegevens over het leerproces van de leerling gebruiken om dat leerproces te volgen en maatwerk te bieden. Bestuurders en managers kunnen op basis van (objectieve) gegevens onderbouwde keuzes maken om de effectiviteit en doelmatigheid van het onderwijs te verbeteren. Bovendien spelen gegevens een belangrijke rol bij de bekostiging, de verantwoording en het toezicht. En om goed onderwijs te bieden is het waardevol dat relevante informatie over een leerling van de ene instelling naar de andere wordt overgedragen. Bovendien is het wenselijk dat basale informatie, zoals namen en adresgegevens, niet steeds opnieuw moet worden ingevoerd. Juist omdat er steeds meer gegevens digitaal worden opgeslagen en overgedragen (zowel leerinhoud, toetsen, examens als gegevens over studenten), nemen de risico s toe. Het gaat daarbij om de organisatie (wie bewaart wat?), de ontsluiting (wie mag welke informatie zien en wanneer?) en de afscherming (hoe worden gemaakte afspraken afgedwongen of gecontroleerd?). Bij dit gebruik van gegevens van en over studenten en docenten, is het van belang dat aandacht wordt besteed aan informatiebeveiliging en privacy. Deze twee begrippen gaan samen op: het zorgvuldig en rechtmatig verzamelen van gegevens is niets waard als deze gegevens niet beveiligd zijn (en snel op straat liggen). Andersom is een optimale beveiliging van de administratie geen garantie dat informatie op de juiste wijze is opgevraagd bij de studenten. In deze publicatie worden de uitgangspunten en principes van privacy beschreven. Daarbij staat het doel van privacy centraal (het wat ), terwijl de manier om dat doel te bereiken, ondergeschikt is (het hoe ) en in andere publicaties wordt beschreven. IBPDOC2B, versie 0.8 Pagina 4 van 46
1.1 Verder ontwikkeling Compliance kader Dit Privacy Compliance kader MBO is ter goedkeuring voorgelegd aan de Taskforce Informatiebeveiliging en Privacy in het mbo. Het Privacy Compliance Kader MBO zal eind 2015 geëvalueerd en eind 2016 herzien worden. De evaluatie eind 2015 is bedoeld om kleine (tekstuele) aanpassingen te doen. In 2016 zal worden ingegaan op nieuwe ontwikkelingen rondom de Algemene Verordening Gegevensbescherming. Eveneens wordt bezien of aansluiting moet worden gezocht bij de ISO 27018 standaard, een verdere detaillering van de ISO 27002 norm, specifiek voor PII (Personally Identifiable Information). 1.2 Toetsingskader In aanvulling op het Privacy Compliance kader MBO is een Privacy Toetsingskader (IBPDOC7) beschikbaar. In dit toetsingskader staat in detail beschreven wat een instelling geregeld moet hebben om aan de normen te voldoen. In dit toetsingskader is voor ieder statement in dit compliance kader op procesniveau beschreven wat de vereisten zijn om aan een volgend volwassenheidsniveau te voldoen. problematiek op een juiste wijze aan te pakken. Een breed gedragen projectplan vanuit sambo-ict heeft de aanzet gegeven voor het IBP programma. Een breed samengestelde taskforce geeft leiding aan het programma en de uitvoering van de diverse activiteiten is door een aantal werkgroepen ter hand genomen. Hierbij leveren de mbo-instellingen zelf een grote bijdrage. Dit document schetst de uitgangspunten voor het programma, de samenhang met externe factoren en het geeft als zodanig ook een verantwoording voor de gekozen aanpak en de gemaakte keuzes. Ook worden de te verwachten resultaten van het programma gepresenteerd. IBPDOC2B, versie 0.8 Pagina 5 van 46
2. Basisbeginselen privacy 2.1 Ontstaan privacy Privacy is van alle tijden. Al rond 400 voor Christus bestaat al zoiets als respect voor in vertrouwen gedeelde informatie 1. Ook heeft privacy een ontwikkeling doorgemaakt van bescherming van de persoonlijke en materiele levenssfeer naar de bescherming van (digitale) informatie van en over een persoon. We zien de definitie van privacy als recht om met rust te worden gelaten, zich ontwikkelen tot een recht om te weten en bepalen wat er met gegevens over jou gebeurt, en om te weten wie de beschikking heeft over jouw gegevens. Privacy - in de zin van de algemene bescherming van het privéleven - bestaat uit verschillende aspecten. Zo kennen we relationele privacy (bescherming van het gezinsleven), ruimtelijke privacy (bescherming van de woning) en informationele privacy (bescherming van persoonlijke gegevens). Deze publicatie richt zich op informationele privacy. Alhoewel het lastig is om privacy in een wereldwijd geaccepteerd begrip te omschrijven, is er in de literatuur wel consensus dat een aantal universeel geaccepteerde fundamentele mensenrechten aan de basis liggen van informationele privacy: 1. Menselijke waardigheid: het recht op bestaan (van identiteit) Dit beginsel is terug te voeren tot het fundamentele principe dat iedereen het recht heeft om te bestaan. Iedereen heeft recht op lichamelijke en geestelijke integriteit. Ieder mens is uniek. Om een uniek persoon te identificeren, is informatie en een beschrijving nodig. Ieder uniek persoon willen we kunnen identificeren. Tegenwoordig bepaalt de informatie die over iemand beschikbaar is, mede zijn identiteit. Het hebben van een identiteit maakt dat iedere persoon weet en voelt dat hij iemand is. En omdat het gaat over de identiteit en integriteit van eenpersoon, moet die persoon er ook van uit kunnen gaan dat er met zijn gegevens zorgvuldig wordt omgegaan: de gegevens moeten kloppen, wijzigingen moeten tijdig worden doorgevoerd en fouten moeten worden gecorrigeerd. 2. Niet-delen als uitgangspunt Ieder persoon heeft zelf het recht om te beschikken over zijn eigen mens-zijn (menselijke waardigheid; integriteit). Dat kan alleen als een persoon ook kan bepalen wat hij (niet) deelt over zichtzelf: het gaat immers om informatie die hem identificeert en maakt tot wat hij is: hoe hij wordt gezien. Om de identiteit van een persoon te beschermen, is daarom het uitgangspunt dat informatie over een persoon niet wordt gedeeld (tenzij het belang van de persoon of diens medemens toch beter gediend is met het delen van informatie). Het recht om met rust te worden gelaten, is hier een uitwerking van. 3. Keuzevrijheid Informatie over een persoon, bepaalt mede zijn identiteit. Daar kan iedereen alleen zelf over beslissen. Dit zelfbeschikkingsrecht kan dus niet zomaar worden prijsgegeven, maar vraagt om een afweging. Het gaat om informatie over iemands persoonlijke levenssfeer. Een persoon is zelf het beste in staat om te bepalen wat er over hem wel of niet gedeeld wordt. Daarmee is het uitgangspunt dat ieder persoon zelf mag beslissen om informatie over zichzelf te delen. 4. Vertrouwelijkheid en beveiliging Omdat het bij gegevens over een persoon gaat om diens fundamentele mensenrechten, is vertrouwelijkheid en beveiliging uitgangspunt. Vertrouwelijkheid omdat alleen de persoon zelf beslist wie informatie over hem mag weten of delen. Hij moet er van uit gaan dat anderen zijn informatie niet delen (want dat bepaalt de persoon immers zelf). En beveiliging om dat te garanderen. En omdat de persoon centraal staat, bepaalt deze de voorwaarden van beveiliging en vertrouwelijkheid (het gaat immers om diens gegevens die op het spel staan). 1 Hippocrates leerde zijn studenten dat als hun iets als arts in vertrouwen is medegedeeld, geheim moet worden gehouden. IBPDOC2B, versie 0.8 Pagina 6 van 46
5. Transparantie (terugkoppeling) Als er informatie over een persoon wordt gebruikt, dan wil je vanuit het principe van de zorgvuldigheid ook kunnen uitleggen wat er met de informatie is gebeurd. De gebruiker van de informatie moet zich (kunnen) verantwoorden. Terugkoppeling is essentieel om een persoon in staat te stellen zijn eigen rechten te kunnen uitoefenen. Als deze beginselen worden uitgelegd en in onderling verband met elkaar worden gebracht, leidt dat tot weten regelgeving op het gebied van privacy. 2.2 Basis privacy principes De Organisatie van Economische Samenwerking en Ontwikkeling (OESO) heeft in de loop van de jaren een belangrijke rol gespeeld bij het bevorderen van respect voor privacy als een fundamentele waarde én als voorwaarde voor het vrije verkeer van persoonsgegevens over de grenzen heen. In 2013 zijn de Guidelines on the Protection of Privacy and Transborder Flows of Personal Data 2 uit 1980 herzien. Deze richtlijnen van de OESO gaan onder meer uit van de zelfde algemene privacy beginselen en zijn daarom een goed en internationaal erkend aanknopingspunt om algemene privacyprincipes aan te ontlenen. definiëren. Van de in paragraaf 1 genoemde algemene privacy beginselen, zijn de volgende privacy-principes afgeleid. Voor de formulering van deze principes wordt aangesloten bij de wereldwijd gehanteerde privacy-principes zoals die zijn opgenomen in de voornoemde Guidelines van de OESO. 2.2.1 Respect voor privacy Privacy is uitgangspunt: privacy by design. Zonder het respecteren en erkennen van elkaar privacy, is privacy niet mogelijk. Het respecteren van privacy is uitgangspunt en staat niet ter discussie. Privacybescherming is alleen mogelijk als we daar afspraken (regels) maken en nakomen. Voor iedereen moeten de zelfde uitgangspunten gelden. Uitvoering van alle hier opvolgende principes ligt in het verlengde van het respect voor de zorgvuldige omgang met en bescherming van persoonsgegevens in overeenstemming met de wet. In overeenstemming met de wet betekent dat omgang met persoonsgegevens is gebaseerd rechtmatig, eerlijk en transparant handelen ten opzichte van de betrokkene. Rechtmatigheid (grondslag) en transparantie worden respectievelijk in eigen beginselen uitgewerkt, en met eerlijkheid wordt beoogd een behoorlijke en fatsoenlijke omgang met betrokkenen en hun belangen. 2.2.2 Doel en doelbinding Het is aan iedereen zelf voorbehouden om te beschikken (beslissen) over zijn eigen persoonsgegevens. Daarom mogen persoonsgegevens niet zomaar verzameld worden. Het moet duidelijk zijn waarvoor de persoonsgegevens worden gebruikt. Dit doel wordt vastgesteld voordat de informatie wordt verzameld. Het gebruik van de persoonsgegevens moet overeenkomen met het doel, en mag daar niet mee onverenigbaar zijn. De gegevens zijn exclusief beschikbaar voor alleen dit vooraf bepaalde doel. Dit betekent dat deze gegevens - behoudens toestemming van betrokkene of op grond van de wet - niet bekend mag worden gemaakt, beschikbaar gesteld of anderszins gebruikt voor andere doeleinden dan die vooraf zijn overeengekomen. Verstrekking aan anderen (derden), kan bijvoorbeeld alleen als dat nodig is om het doel te bereiken. 2.2.3 Grondslag Persoonsgegevens kunnen alleen op basis van een rechtmatig (wettelijk bepaald) doeleinde worden verwerkt. Persoonsgegevens moeten rechtmatig verkregen worden: hoe kom ik aan deze gegevens? Daarvoor is er een grond nodig voor het gebruik van persoonsgegevens. Het universele uitgangspunt is dat de betrokkene toestemming geeft. Indien dat niet mogelijk is, moet de wet een grondslag geven. In wetgeving, bijvoorbeeld de Wet bescherming persoonsgegevens, zijn de volgende gronden (grondslagen) toegestaan: Toestemming: er is toestemming van de betrokkene; Voorbeeld: de student geeft op een formulier toestemming om zijn foto op te nemen op de website van de school. 2 http://www.oecd.org/internet/ieconomy/privacy-guidelines.htm IBPDOC2B, versie 0.8 Pagina 7 van 46
Uitvoering overeenkomst: om een overeenkomst uit te kunnen voeren, is het noodzakelijk om persoonsgegevens van de betrokkene te verwerken; Voorbeeld: voor aanvang van het onderwijs, tekenen onderwijsinstelling, student en diens ouders de onderwijsovereenkomst (OOK). Daarin worden afspraken gemaakt over het geven aan en volgen van onderwijs door de student. Om deze overeenkomst goed uit te kunnen voeren, moet de onderwijsinstelling een aantal gegevens over de student vastleggen en gebruiken om bijvoorbeeld de leerresultaten en studievoortgang te registreren. Wettelijke verplichting: de verwerking van persoonsgegevens is wettelijk verplicht of opgedragen door de wetgever; Voorbeeld: de onderwijsinstelling is wettelijk verplicht om jaarlijks aan DUO gegevens over de ingeschreven studenten door te geven. Daarbij is in die wet specifiek opgenomen welke gegevens moeten worden verstrekt. Publiekrechtelijke taak: voor de uitvoering van een publieke taak (overheid) is de verwerking van persoonsgegevens noodzakelijk; Voorbeeld: het afnemen van examens en uitreiken van diploma s is een wettelijke (publieke) taak. Om deze diploma s uit te kunnen reiken moet de onderwijsinstelling persoonsgegevens van de examinandi hebben om o.a. op het diploma te kunnen vermelden of door te geven aan het diplomaregister. Vitaal belang (bescherming van de betrokkene): het verwerken van persoonsgegevens is noodzakelijk om een ernstige bedreiging van de gezondheid van betrokkene beperken/voorkomen; Voorbeeld 1: een student met een bekende medische geschiedenis, is tijdens college onwel geworden. Er wordt contact opgenomen met diens huisarts om te overleggen. Voor dit overleg is geen toestemming gevraagd maar dat is wel in het belang van de student. Voorbeeld 2: een minderjarige student die regelmatig met blauwe plekken op de onderwijsinstelling verschijnt en geen logische verklaring kan geven voor het letsel. Er is vermoeden van mishandeling (huiselijk geweld) en daarover neemt de onderwijsinstelling conform de gedragscode Meldcode Huiselijk Geweld en Kindermishandeling contact op met het meldpunt Kindermishandeling. Hierbij worden er gegevens over de student uitgewisseld zonder dat deze of diens ouders hiervoor toestemming hebben gegeven. Gerechtvaardigd belang (belangenafweging): de gegevensverwerking is noodzakelijk waarbij het belang van het verwerken van die gegevens zwaarder weegt dan het privacy-belang van de betrokkene. Voorbeeld: voor het gebruik van digitaal leermateriaal, moet de onderwijsinstelling gegevens doorgeven aan bijvoorbeeld een uitgever. Voor deze uitwisseling is geen toestemming gevraagd aan de student, toch is de uitwisseling noodzakelijk om goed onderwijs te geven. Mits de onderwijsinstelling zich aan de wet houdt en afspraken maakt met de leverancier over deze persoonsgegevens, is het belang voor de uitwisseling groter dan het belang om de privacy van de leerling te beschermen. 2.2.4 Dataminimalisatie Er zijn grenzen aan het verzamelen van persoonsgegevens. Informatie moet door wettige en eerlijke middelen en manieren zijn verkregen. Daarbij is de gegevensverzameling: 1. Proportioneel: dit betekent dat het verzamelen van persoonsgegevens redelijk moet zijn, het moet in verhouding staan tot het doel dat je wilt bereiken. De inbreuk op de privacy moet te rechtvaardigen zijn om je doel te bereiken. 2. Subsidiair: dit betekent dat het doel waarvoor de persoonsgegevens worden verzameld, in redelijkheid niet op een andere manier wordt bereikt dan door de persoonsgegevens te gebruiken. Er mogen geen alternatieven zijn die minder ingrijpend zijn voor de privacy van de betrokkene. Als gebruik van anonieme gegevens mogelijk is, mogen er geen persoonsgegevens worden gebruikt. Proportionaliteit legt daarmee een bovengrens, terwijl subsidiariteit een zekere ondergrens stelt aan de aard en hoeveelheid uit te wisselen gegevens. Persoonsgegevens worden alleen bewaard zolang het gestelde doeleinde nog niet is behaald, daarna worden zij verwijderd of vernietigd. Dit gaat over de (wettelijk bepaalde) bewaartermijnen. 2.2.5 Transparantie Omdat het gaat om persoonsgegevens van en over de betrokkene, moet deze volstrekt helder en begrijpelijk zijn geïnformeerd welke gegevens er worden verzameld, en wat er met de gegevens gebeurt. Openheid en transparantie over de gegevensverwerking is uitgangspunt. Bij voorkeur is er organisatie breed beleid ontwikkeld hoe er met persoonsgegevens wordt omgegaan, wat de doelen zijn, en wat de rechten en plichten zijn. Er IBPDOC2B, versie 0.8 Pagina 8 van 46
is ook duidelijk hoe lang de gegevens worden bewaard, en met wie de gegevens zijn/worden gedeeld. Voorbeelden van transparantie zijn het privacyreglement (in de studiegids, op de website), of uitleg bij het inschrijfformulier hoe de onderwijsinstelling omgaat met de persoonsgegevens. 2.2.6 Rechten van de betrokkene In geval van verzameling van persoonsgegevens, heeft de betrokkene altijd, bij iedere stap, een aantal rechten. Deze rechten moeten zonder belemmering kunnen worden uitgevoerd. Het gaat hierbij om: de betrokkene wordt (vooraf) in begrijpelijke taal actief en laagdrempelig geïnformeerd over de gegevensverwerking; het op verzoek van de betrokkene inzage geven welke persoonsgegevens er worden verwerkt; het op verzoek van betrokkene corrigeren van ontbrekende of verkeerd vastgelegde persoonsgegevens; het op verzoek van betrokkenen verwijderen van persoonsgegevens die niet (langer) nodig zijn om de vastgestelde doelen te behalen; het door betrokkene verzet instellen tegen een verwerking van zijn persoonsgegevens die plaats vond op grond van een gerechtvaardigd belang. Een voorbeeld hiervan is het gebruik van de persoonsgegevens door de leverancier van leermiddelen van de leerling, de student wil niet langer aanbiedingen krijgen en meldt zich af. Deze rechten moeten binnen een redelijke tijd worden uitgeoefend, zonder dat de betrokkene een buitensporige vergoeding hoeft te betalen. De verstrekte informatie moet gemakkelijk verstaanbaar en begrijpelijk zijn. Een voorbeeld voor de uitoefening van de rechten, is een student wiens ouders recent zijn gescheiden. Die student wil zien welke informatie over hem en zijn ouders zijn geregistreerd en hij vraagt om correctie van zijn gegevens. 2.2.7 Beveiliging Er moet zorgvuldig worden omgegaan met de persoonsgegevens die iemand worden toevertrouwd: het gaat om andermans gegevens. Persoonsgegevens moeten zijn beschermd met een redelijke zekerheid en waarborgen tegen risico's zoals verlies of onbevoegde toegang, vernietiging, gebruik, wijziging of openbaarmaking van gegevens. Hierbij wordt voldaan gemaakt van algemeen geaccepteerde organisatorische en technische beveiligingsnormen (zoals bijvoorbeeld ISO-normen). 2.2.8 Datakwaliteit (data-integriteit) Bij persoonsgegevens gaat het informatie waarmee personen worden geïdentificeerd, gegevens die iets zegt over een persoon. Daarom moet die informatie gegarandeerd juist, nauwkeurig, volledig en up-to-date (tijdig) zijn en blijven. 2.2.9 Verantwoordelijkheid (responsibility) Degene die de persoonsgegevens verzamelt (de verantwoordelijke ), is verantwoordelijk voor de nakoming deze algemene privacy regels en is daarop aanspreekbaar. De verantwoordelijke legt daarover verantwoording af. Ook als er anderen namens de verantwoordelijke met de persoonsgegevens willen werken, moet de verantwoordelijke met die partij ( bewerker genoemd) afspraken maken over deze algemene privacy regels. Verwerking vindt dus alleen plaats in overeenstemming met de wet. De verantwoordelijke draagt ook de bewijslast aan om dit aan te tonen. Ook speelt de verantwoordelijke een belangrijke rol bij verstrekking van gegevens aan derden. Bij vertrekking van gegevens aan een bewerker moeten er dan ook goede afspraken worden gemaakt. 2.3 Eigendom Privacy zegt iets over hoe er moet worden omgegaan met persoonsgegevens. Daarbij is het niet relevant van wie die gegevens zijn. Dat is juist ook de kracht van privacy, ongeacht wáár de persoonlijke informatie staat, of van wie die is, er moet altijd zorgvuldig mee worden omgegaan. In juridische zin kunnen op persoonsgegevens echter geen eigendomsrechten rusten: gegevens zijn niets anders dan een verzameling eentjes en nullen (I/O). Op een database met persoonsgegevens kan wel een databankenrecht rusten, of er kan een er een geheimhoudingsverplichting op rusten. Ook kan een verzameling met IBPDOC2B, versie 0.8 Pagina 9 van 46
persoonlijke gegevens een bepaalde commerciële waarde vertegenwoordigen. Maar daarmee ontstaat er geen exclusief recht om te beschikken over die persoonsgegevens. Bij privacy gaat het om rechten en verplichtingen van degenen die met die gegevens om moeten gaan. Daarbij kan iedereen een aparte rol hebben (verantwoordelijke; bewerker). Privacy maakt duidelijk wie bevoegd is om informatie te verstrekken aan andere partijen. Om verwarring te voorkomen, is het beter om niet meer te spreken over eigendom van de persoonsgegevens, maar om rechten en plichten jegens die gegevens te duiden in termen van 'zeggenschappen'. De ROSA biedt hiervoor een zeggenschapsmodel, waarin onderscheid wordt gemaakt in de verschillende zeggenschappen die partijen kunnen hebben over persoons- en andere gegevens. IBPDOC2B, versie 0.8 Pagina 10 van 46
3. Afgeleide privacy principes: statements 3.1 Algemeen De algemene privac yprincipes beschrijven de uitgangspunten voor privacy op hoofdlijnen (het wat ). Deze principes worden uitgewerkt in hanteerbare en praktische statements. De statements zijn geabstraheerd van wetgeving. Hierdoor wordt voorkomen dat dit Compliance kader moet worden aangepast bij wetswijzigingen. Daarmee is dit Compliance kader toekomstvast, zonder daarmee uit te sluiten dat dit kader te zijner tijd moet worden aangepast aan (inter) nationale ontwikkelingen op het gebied van privacy. In aanvulling op dit Compliance Kader MBO, is er een Toetsingskader Privacy (IBPDOC 7) beschikbaar. In dit toetsingskader is voor ieder statement in dit Compliance Kader beschreven welke maatregelen er getroffen moeten worden en wat de vereisten zijn om dit op verschillende niveaus te toetsen. Het toetsingskader is opgesteld in nauwe samenhang met het bestaande toetsingskader informatiebeveiliging MBO (IBPDOC3), ook hierin zijn de maatregelen gekoppeld aan de zgn. volwassenheidsniveaus van het Capability Maturity Model (CMM). Omwille van de duidelijkheid, is er voor gekozen om de statements voor privacy aan te laten sluiten bij de indeling (clustering) zoals deze in het Normenkader Informatiebeveiliging is uitgewerkt. Deze clustering wordt ook in het hoger onderwijs aangehouden. Hierbij worden 6 clusters aangehouden. Deze clusters groeperen maatregelen die logischerwijs met elkaar samenhangen. Hiermee kan inzichtelijk gemaakt worden op welk onderdeel (beleid, personeel, fysieke beveiliging, continuïteit ed.) een instelling sterk of zwak is en kunnen inspanningen voor verbetering en controle beter en in samenhang gestuurd worden. 3.2 Samenhang informatiebeveiliging en privacy Het beveiligen van persoonsgegevens is een belangrijke randvoorwaarde. Door het College Bescherming Persoonsgegevens is in 2013 vastgesteld dat de ISO 27001 en ISO 27002 een goed uitgangspunt zijn voor de te nemen beveiligingsmaatregelen en dat deze ISO-normen voor informatiebeveiliging aansluiten bij wet- en regelgeving. Dit betekent dat om te voldoen aan privacywetgeving, moet worden voldaan aan de ISO-normen voor informatiebeveiliging. Het voldoen aan het bij het normenkader behorende Toetsingskader voor Informatiebeveiliging en Privacy MBO (IBPDOC 3), is dus relevant om te voldoen aan privacy wet- en regelgeving. De ISO-normen 27001 en 27002 zijn een uitgangspunt zijn voor de beveiliging van persoonsgegevens. Om privacy te waarborgen, moet op een aantal ISO-statements voldaan worden aan een bepaald beveiligingsniveau. Vertaald naar het Normenkader en Toetsingskader IBP, betekent dit dat aan bepaalde maturity-levels moet worden voldaan. In deze paragraaf wordt beschreven welke statements uit het Toetsingskader Informatiebeveiliging (IBPDOC 3) moeten voldoen aan een minimum maturity-level. Cluster beleid en organisatie 1.7 1.8 1.11 1.12 Classificatie van informatie: Informatie behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging. Informatie labelen: Om informatie te labelen behoort een passende reeks procedures te worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie. Verwijdering van bedrijfsmiddelen: Apparatuur, informatie en software behoren niet van de locatie te worden meegenomen zonder voorafgaande goedkeuring. Beleid en procedures voor informatietransport: Ter bescherming van het informatietransport, dat via alle soorten communicatiefaciliteiten verloopt, behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn. IBPDOC2B, versie 0.8 Pagina 11 van 46
1.13 1.21 Overeenkomsten over informatietransport: Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen. Scheiding van taken: Conflicterende taken en verantwoordelijkheden behoren te worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen. Personeel, studenten en gasten 2.3 2.4 2.5 Toegangsrechten intrekken of aanpassen: De toegangsrechten van alle medewerkers en externe gebruikers voor informatie en informatie verwerkende faciliteiten behoren bij beëindiging van hun dienstverband, contract of overeenkomst te worden verwijderd, en bij wijzigingen behoren ze te worden aangepast. Clear desk - en clear screen -beleid: Er behoort een clear desk -beleid voor papieren documenten en verwijderbare opslagmedia en een clear screen -beleid voor informatie verwerkende faciliteiten te worden ingesteld. Vertrouwelijkheids- of geheimhoudingsovereenkomst: Eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie betreffende het beschermen van informatie weerspiegelen, behoren te worden vastgesteld, regelmatig te worden beoordeeld en gedocumenteerd. Ruimtes en apparatuur 3.2 3.12 3.14 Verwijderen van media: Media behoren op een veilige en beveiligde manier te worden verwijderd als ze niet langer nodig zijn, overeenkomstig formele procedures. Onderhoud van apparatuur: Apparatuur behoort correct te worden onderhouden om de continue beschikbaarheid en integriteit ervan te waarborgen. Veilig verwijderen of hergebruiken van apparatuur: Alle onderdelen van de apparatuur die opslagmedia bevatten, behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven. Continuïteit 4.5 4.6 4.15 Back-up van informatie: Regelmatig behoren back-upkopieën van informatie, software en systeemafbeeldingen te worden gemaakt. Back-up van informatie: Gemaakte back ups worden regelmatig getest conform het back-up beleid. Beschikbaarheid van informatie verwerkende faciliteiten: Informatie verwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan beschikbaarheidseisen te voldoen. Vertrouwelijkheid en integriteit 5.2 5.3 5.4 5.5 5.6 Toegang tot netwerken en netwerkdiensten: Gebruikers behoren alleen toegang te krijgen tot het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn. Registratie en afmelden van gebruikers: Een formele registratie- en afmeldingsprocedure behoort te worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken. Gebruikers toegang verlenen: Een formele gebruikerstoegangsverleningsprocedure behoort te worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken. Beheren van speciale toegangsrechten: Het toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerst. Beheer van geheime authenticatie-informatie van gebruikers: Het toewijzen van geheime authenticatie-informatie behoort te worden beheerst via een formeel beheersproces. IBPDOC2B, versie 0.8 Pagina 12 van 46
5.7 5.9 5.12 5.16 Geheime authenticatie-informatie gebruiken: Van gebruikers behoort te worden verlangd dat zij zich bij het gebruiken van geheime authenticatie informatie houden aan de praktijk van de organisatie. Beveiligde inlogprocedures: Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot systemen en toepassingen te worden beheerst door een beveiligde inlogprocedure. Beschermen van informatie in logbestanden: Logfaciliteiten en informatie in logbestanden behoren te worden beschermd tegen vervalsing en onbevoegde toegang. Elektronische berichten: Informatie die is opgenomen in elektronische berichten behoort passend te zijn beschermd Controle en Logging 6.1 Beoordeling van toegangsrechten van gebruikers: Eigenaren van bedrijfsmiddelen behoren toegangsrechten van gebruikers regelmatig te beoordelen. 3.3 Specifieke privacy-statements In de onderstaande statements wordt in de eerste kolom met een kleur aangegeven met welke wet of norm dit statement concreet overeenkomt. Het statement (of een afgeleide daarvan) kan in andere bewoordingen bijvoorbeeld ook voorkomen in de Wbp of AVG. Bij een mogelijke overlap wordt gekozen voor de wet- of regel die daarbij het beste aansluit. Bij een wit veld is er sprake van een algemene norm die niet expliciet genoemd wordt in wetgeving, of juist wél voorkomt in alle wetten. In de laatste kolom wordt vermeld van welk privacyprincipe het statement is afgeleid. Het betreft de kleuren: Kleuren EVRM AVG Wbp NEN7510 Andere nationale wetgeving Basis Europees Verdrag voor de Rechten van de Mens Algemene Verordening Gegevensbescherming (toekomstige Europese wetgeving met directe werking) Wet bescherming persoonsgegevens NEN-norm voor privacy en informatiebeveiliging in de zorg, veel gebruik in academische ziekenhuizen Overige nationale wetgeving zoals de Archiefwet Hierna wordt er met instelling niet het instituut school bedoeld, maar de verplichting die rust op de juridische entiteit. De instelling wordt op het gebied van privacy vertegenwoordigd door de verantwoordelijke: degene die, alleen of samen met anderen, het doel van en de middelen voor verwerking van persoonsgegevens bepaalt. Doorgaans zal dit de voorzitter van het College van Bestuur zijn. 3.3.1 Beleid en organisatie Nr. Statement Principe P.1 P.2 P.3 Privacy en bescherming van persoonsgegevens: Privacy en bescherming van persoonsgegevens worden, voor zover van toepassing, gewaarborgd in overeenstemming met relevante wet- en regelgeving. Doelbepaling: De instelling draagt er zorg voor dat voor iedere categorie van verwerkingen voorafgaand aan die verwerking - een specifiek doeleinde is vastgesteld, en dat dit doeleinde is gecommuniceerd bij de gegevensverzameling. Doelbinding: De instelling zorgt er voor dat persoonsgegevens alleen worden verwerkt voor het doeleinde waarvoor die gegevens verkregen zijn. 1) Privacy by design 2) Doel en doelbinding 2) Doel en doelbinding IBPDOC2B, versie 0.8 Pagina 13 van 46
P.4 P.5 P.6 P.7 P.8 P.9 P.10 P.11 P.12 P.13 P.14 P.15 P.16 P.17 Grondslag: De instelling zorgt er voor dat persoonsgegevens altijd op basis van een wettelijke grondslag worden verwerkt. Daarbij maakt de instelling geen gebruik van opt-out regelingen als het gaat om verwerkingen van persoonsgegevens. Grond bij minderjarigen: Bij verwerkingen van persoonsgegevens van leerlingen jonger dan 16 jaar, wordt toestemming altijd afgestemd met de wettelijke vertegenwoordigers. Dataminimalisatie: Het verwerken van persoonsgegevens moet redelijk zijn en in verhouding staan tot het te realiseren doel van die verwerking: de inbreuk op de privacy moet te rechtvaardigen zijn om het doeleinde te bereiken (proportionaliteit), de te verzamelen persoonsgegevens blijven beperkt tot datgene wat minimaal nodig is om de doeleinde(n) te bereiken waarvoor de data worden verwerkt (subsidiariteit). Bewaartermijnen: Er is een actief archief- en vernietigingsbeleid: persoonsgegevens worden niet langer bewaard dan nodig voor het gestelde doeleinde. De instelling stelt op basis van de Archiefwet de vernietigings- en bewaartermijnen vast van de verwerkte persoonsgegevens. Verwerking t.b.v. onderzoek: Verwerking van persoonsgegevens historische, statistische of wetenschappelijke doeleinden is alleen mogelijk ten behoeve van het (optimaliseren van het) leerproces of het beleid van de Onderwijsinstelling. Deze verwerking is alleen mogelijk op basis van strikte voorwaarden vergelijkbaar met de Wbp Gedagscode voor Onderzoek & Statistiek en vereist voorafgaande toestemming van de verantwoordelijke. Bijzondere persoonsgegevens: De instelling verwerkt geen persoonsgegevens betreffende iemands godsdienst of levensovertuiging, tenzij dit gelet op het doel van de instelling en voor de verwezenlijking van haar grondslag strikt noodzakelijk is, ras, tenzij de instelling daartoe op grond van een wet verplicht is, of alleen in met het doel om personen van een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen om feitelijke nadelen verband houdende met de grond ras op te heffen of te verminderen gezondheid, voor zover dat met het oog op de speciale begeleiding van leerlingen of het treffen van bijzondere voorzieningen in verband met hun gezondheidstoestand noodzakelijk is. Profilering: In geval de instelling gebruik maakt van profilering, zal zij: geen geautomatiseerde beslissingen laten nemen over de betrokkene zonder dat bij die beslissing een natuurlijk persoon namens de instelling betrokken is bij de besluitvorming, en er aan de betrokkene duidelijke informatie is verstrekt over de wijze van profilering, en de betrokkene de mogelijkheid heeft in verweer te komen tegen een dergelijke geautomatiseerde beslissing. Instellen (intern) privacy-beleid: Ten behoeve van het garanderen van privacy van studenten en medewerkers, behoort een reeks beleidsregels te worden gedefinieerd en goedgekeurd door het bestuur. In dit beleid is voorzien in procedures voor het uitoefenen van de rechten van leerlingen en docenten. Beoordeling van het privacy-beleid: Het beleid voor privacy behoort met geplande tussenpozen of als zich significante veranderingen voordoen, te worden beoordeeld om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is en voldoet aan wet- en regelgeving. Taken en verantwoordelijkheden privacy: De verantwoordelijke is eindverantwoordelijk voor alle verwerkingen van persoonsgegevens binnen de instelling. Alle gedelegeerde en/of gemandateerde verantwoordelijkheden zijn gedefinieerd, inzichtelijk en toegewezen. Functionaris gegevensbescherming: De instelling benoemt een functionaris gegevensbescherming (privacy officer) die is belast met intern toezicht op de verwerkingen van persoonsgegevens binnen de instelling, en alle verwerkingen van persoonsgegevens inventariseert en registreert. De verantwoordelijke zorgt er voor dat alle andere beroepswerkzaamheden van de FG verenigbaar zijn met zijn taken en verplichtingen als FG en dat die niet tot een belangenconflict leiden. De FG rapporteert aan de verantwoordelijke Informatiebeveiliging: De instelling zorgt voor passende technische en organisatorische maatregelen om de verwerkte persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze beveiliging is afhankelijk van de aard en omvang van de verwerkte persoonsgegevens. Hierbij wordt aangesloten bij algemeen geaccepteerde beveiligingsstandaarden binnen de praktijk van de informatiebeveiliging. Bewerkersovereenkomsten: met alle leveranciers die als bewerker voor of namens de instelling persoonsgegevens verwerken, worden bewerkersovereenkomsten gesloten waarin alle wettelijk vereiste afspraken zijn vastgesteld. Meldplicht: Een verwerking van persoonsgegevens wordt gemeld aan de aangestelde Functionaris Gegevensbescherming die daartoe een (openbaar) register bijhoudt, tenzij de betreffende werking is vrijgesteld van de meldingsplicht. 3) Grondslag 3) Grondslag 4) Dataminimalisatie 4) Dataminimalisatie 2) Doel en doelbinding 2) Dataminimalisatie 2) Doel en doelbinding 5) Transparantie 5) Transparantie 9) Verantwoordelijkheid 9) Verantwoordelijkheid 7) Beveiliging 9) Verantwoordelijkheid 9) Verantwoordelijkheid IBPDOC2B, versie 0.8 Pagina 14 van 46
3.3.2 Personeel, studenten en gasten Nr. Statement Principe P.18 P.19 P.20 P.21 P.22 Informatieplicht beleid: De instelling informeert de (ouders van) leerlingen en medewerkers van wie persoonsgegevens worden verwerkt, in begrijpelijke taal over het privacybeleid en de rechten en verplichtingen van betrokkenen. Informatieplicht verwerkingen: De instelling informeert actief, al dan niet met gebruikmaking van door leveranciers geleverde informatie, aan de (ouders van) leerlingen en medewerkers van wie persoonsgegevens worden verwerkt, welke verwerking er in welke informatiesystemen binnen de instelling plaatsvindt en welke maatregelen er zijn getroffen om de privacy van die leerling te kunnen waarborgen. Aan de betrokken leerlingen en docenten wordt ten minste medegedeeld: welke persoonsgegevens worden verwerkt, of die verwerking beperkt is tot dat wat voor het gestelde doeleinde strikt noodzakelijk is, of persoonsgegevens ook voor andere doeleinden worden verwerkt, wat de bewaar- en vernietigingstermijnen zijn; of persoonsgegevens worden gedeeld met commerciële derden, of persoonsgegevens worden verkocht of verhuurd, of persoonsgegevens gecodeerd worden bewaard. Rechten betrokkene: Leerlingen (dan wel hun ouders) en medewerkers hebben het recht een verzoek te doen ter verbetering, aanvulling, verwijdering of afscherming van hun persoonsgegevens, in het geval dat deze gegevens: feitelijk onjuist zijn, voor het gestelde doeleinde onvolledig of niet ter zake dienend zijn, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Arbeidsvoorwaarden: In de contractuele overeenkomst met medewerkers en contractanten zijn hun (eventuele) verantwoordelijkheden voor privacy en informatiebeveiliging opgenomen. In deze overeenkomst is voorzien in een vertrouwelijkheids- of geheimhoudingsbeding ten aanzien van de verwerkte persoonsgegevens. Bewustzijn, opleiding en training ten aanzien van privacy: Alle medewerkers van de organisatie en - voor zover relevant - contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie. De FG is hierbij betrokken. 5) Transparantie 5) Transparantie 6) Rechten betrokkene 9) Verantwoordelijkheid 5) Transparantie 3.3.3 Ruimtes en apparatuur Nr. Statement Principe P.23 Verwijderen van persoonsgegevens: van apparatuur die niet langer wordt gebruikt, worden de op het apparaat aanwezige persoonsgegevens op een betrouwbare en veilige wijze vernietigd. In geval van vernietiging door een derde, geeft deze een verklaring af aangaande vernietiging. Vernietiging is mogelijk door vernietiging van de gegevensdrager zelf. 4) Dataminimalisatie 7) Beveiliging 3.3.4 Continuïteit Nr. Statement Principe P.24 P.25 Datakwaliteit: De verantwoordelijke gaat zorgvuldig om met de verwerkte persoonsgegevens en waarborgt de het behoud en bescherming van de juistheid en de consistentie van die gegevens. Beheersmaatregelen tegen dataverlies: Ter bescherming tegen beschadiging en verlies van data behoren beheersmaatregelen te worden geïmplementeerd. 8) Datakwaliteit 7) Beveiliging IBPDOC2B, versie 0.8 Pagina 15 van 46
3.3.5 Vertrouwelijkheid en integriteit Nr. Statement Principe P.26 P.27 P.28 Beperking toegang tot informatie: Medewerkers en leveranciers hebben alleen toegang tot informatie en systeemfuncties van toepassingen waarin persoonsgegevens worden verwerkt, indien dat strikt noodzakelijk is voor uitoefening van de opgedragen taken en werkzaamheden. Datalek: In geval van een inbreuk op de beveiliging van persoonsgegevens, die leidt tot (de aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van Persoonsgegevens van leerlingen en medewerkers, dan: meldt de verantwoordelijke het Cbp deze inbreuk zonder onnodige vertraging worden de betreffende leerlingen en medewerkers geïnformeerd over aard van de inbreuk, en de gevolgen van de inbreuk op hun privacy. Bijzondere persoonsgegevens: Bij verwerking van bijzondere persoonsgegevens zoals gezondheidsgegevens, neemt de instelling (extra) passende, consequente en specifieke maatregelen om de veiligheid van de gegevens te garanderen. Het gebruik van deze bijzondere gegevens blijft beperkt tot alleen die gevallen dat de informatie strikt noodzakelijk en evenredig is. 7) Beveiliging 5) Transparantie 4) Beveiliging 3.3.6 Controle en Logging Nr. Statement Principe P.29 P.30 P.31 P.32 P.33 P.34 Privacy in informatiesystemen: bij het gebruiken en/of ontwerpen van informatiesystemen die persoonsgegevens van leerlingen en medewerkers verwerken, worden privacyregels zoals privacy by design en privacy by default in die systemen een aangehouden en zo mogelijk ingebouwd: Gegevensminimalisatie af te dwingen (zo min mogelijk vrije velden) Transparantie over gebruik van gegevens Afschermen van de identiteit (pseudonimisering) Gebruik sticky policies Data tracking (waaronder logging). Terugkerende PIA: De instelling voert een (tweejaarlijks terugkerende) evaluatie uit van de mogelijke effecten van de verschillende gegevensverwerking op de rechten en vrijheden van de betrokkenen. Deze evaluatie vindt eveneens plaats in geval van een wijziging in de verwerking van persoonsgegevens die specifiek de risico s wijzigt voor de privacy van de betrokken leerlingen en medewerkers. Veranderingen in de dienstverlening van leveranciers De instelling voert naar aanleiding van de evaluatie een volledige PIA uit in geval de verwerking van de persoonsgegevens: Meer dan 5000 betrokkenen betreft en langer duurt dan 12 maanden; Bijzondere persoonsgegevens (ras, gezondheid) worden verwerkt; Er sprake is van profilering; Geautomatiseerde bewaking van publiek toegankelijke ruimtes; Inbreuken die waarschijnlijk negatieve gevolgen heeft voor bescherming van de persoonsgegevens; Verwerkingen die regelmatige en stelselmatige observatie van betrokkenen vereisen; Toegankelijk is voor een grotere groep gebruikers. De beoordeling heeft betrekking op de gehele levenscyclus van persoonsgegevens van verzameling van verwerking tot verwijdering. PIA: in geval van herziening van of nieuwe verwerkingen van grote hoeveelheden persoonsgegevens, wordt vooraf bepaald wat de impact is van deze (gewijzigde) verwerking op de privacy van de leerlingen (zie ook samenhang met F.2: PIA). Documentatieplicht: De organisatie behoort procedures te definiëren en toe te passen voor het identificeren, verzamelen, verkrijgen en bewaren van informatie die als bewijs kan dienen. De verantwoordelijke bewaart bijgewerkte documenten die nodig zijn om aan te tonen dat zij voldoen aan de wettelijke vereisten voor verwerking van persoonsgegevens. Gebeurtenissen registreren: Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig beoordeeld. Naleving van privacy beleid en normen: de instelling controleert (laat controleren) regelmatig de naleving van de privacy regels en informatieverwerking en -procedures binnen haar verantwoordelijkheidsgebied aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging. 4) Dataminimalisatie 8) Datakwaliteit 7) Doel en doelbinding 8) Datakwaliteit 2) Doel en doelbinding 8) Datakwaliteit 9) verantwoordelijkheid 5) Transparantie 9) Verantwoordelijkheid 9) Verantwoordelijkheid P.35 Rapportage van privacy-gebeurtenissen: privacy- en informatiebeveiligingsincidenten behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd aan de FG en verantwoordelijke. 7) Beveiliging IBPDOC2B, versie 0.8 Pagina 16 van 46
4. Samenhang principes en wettelijke kaders 4.1 Respect voor privacy (privacy by design) Onderwijsinstellingen respecteren privacy van leerlingen en medewerkers en komen wet- en regelgeving na. In het convenant Digitale Onderwijsmiddelen en Privacy worden afspraken gemaakt over de bescherming van persoonsgegevens en waarborgen voor de zorgvuldige omgang met Persoonsgegevens die worden verwerkt in het kader van het gebruik van Digitale Onderwijsmiddelen voor het volgen van onderwijs bij Onderwijsinstellingen. Onderwijsinstellingen in het PO en VO, onderschrijven het Convenant Digitale Onderwijsmiddelen en Privacy (Leermiddelen en Toetsen). IBPDOC2B, versie 0.8 Pagina 17 van 46
4.2 Doel en Doelbinding Persoonsgegevens mogen alleen worden verwerkt aan welbepaalde, uitdrukkelijk doeleinden op een wijze die niet onverenigbaar is met deze doeleinden. Persoonsgegevens worden niet verder verwerkt op een De instelling draagt er zorg voor dat voorafgaand wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. aan verwerking voor iedere categorie van verwerkingen een specifiek doeleinde is vastgesteld en dat dit is gecommuniceerd aan de betrokkenen. Bij de beoordeling hiervan houdt de verantwoordelijke in elk geval rekening met: Persoonsgegevens worden alleen verwerkt in het a. de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen; kader van het doel waarvoor die gegevens verkregen zijn (doelbinding). b. de aard van de betreffende gegevens; c. de gevolgen van de beoogde verwerking voor de betrokkene; d. de wijze waarop de gegevens zijn verkregen en e. de mate waarin jegens de betrokkene wordt voorzien in passende waarborgen. In beginsel is het verwerken van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden, die primair voor een ander dan deze doeleinden zijn verzameld, niet in strijd met de wet. Wel dient de verantwoordelijke in die gevallen passende voorzieningen te treffen ten einde te verzekeren dat verwerking uitsluitend voor deze doeleinden geschiedt. Verwerking van persoonsgegevens historische, statistische of wetenschappelijke doeleinden is alleen mogelijk ten behoeve van het (optimaliseren van het) leerproces of het beleid van de Onderwijsinstelling. Deze verwerking is alleen mogelijk op basis van strikte voorwaarden vergelijkbaar met de Wbp Gedagscode voor Onderzoek & Statistiek en vereist voorafgaande toestemming van de verantwoordelijke AVG Rechten en verplichtingen Beheersmaatregelen Aangescherpte voorwaarden, verwerking is dan alleen mogelijk indien: a. de doeleinden niet op een andere manier kunnen worden bereikt, namelijk door verwerking van gegevens waarmee de betrokkene niet of niet langer kan worden geïdentificeerd (anonimisering of pseudonimisering) b. gegevens waardoor informatie aan een geïdentificeerde of identificeerbare betrokkene kan worden toegekend, gescheiden worden bewaard van andere informatie, volgens de allerhoogste technische standaarden, en alle noodzakelijke maatregelen worden getroffen om het onmogelijk te maken dat de betrokkenen alsnog om ongegronde redenen worden geïdentificeerd. [opgenomen onder dataminimalisatie] IBPDOC2B, versie 0.8 Pagina 18 van 46
Persoonsgegevens worden niet verwerkt in het geval dat daaraan een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift in de weg staat. Dit geldt slechts voor die persoonsgegevens die voor de verantwoordelijke of bewerker in het kader van een onder deze geheimhoudingsplicht vallende activiteit heeft ontvangen of verkregen. NEN7510 Rechten en verplichtingen Beheersmaatregelen "Eisen voor vertrouwelijkheid die een weerslag vormen van de behoefte van de organisatie aan beveiliging van informatie behoren in een geheimhoudingsovereenkomst te worden vastgesteld. Deze eisen en deze overeenkomst behoren regelmatig te worden beoordeeld. (ISO 27799)" IBPDOC2B, versie 0.8 Pagina 19 van 46
4.3 Grondslag Persoonsgegevens mogen slechts worden verwerkt indien er sprake is van: a. Toestemming De betrokkene heeft voor verwerking zijn ondubbelzinnige toestemming gegeven (ook wel geïnformeerde toestemming of informed consent). b. Uitvoering overeenkomst: De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is. c. Wettelijke verplichting: De verwerking is noodzakelijk om een wettelijke verplichting na te komen. d. Vitaal belang: De verwerking is noodzakelijk om een ernstige bedreiging voor de gezondheid van de betrokkene te bestrijden. e. Publiekrechtelijke taak: Verwerking is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak. f. Gerechtvaardigd belang verantwoordelijke/bewerker: Belangenafweging tussen (i) het gerechtvaardigd belang van de verantwoordelijke en (ii) het gerechtvaardigd belang van de betrokkene Let op: De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. De betrokkene wordt door verantwoordelijke op de hoogte gebracht indien de intrekking van de toestemming kan leiden tot de beëindiging van de geleverde diensten of van de betrekkingen met de verantwoordelijke. Toestemming is aan het specifieke doeleinde gebonden, en niet meer geldig zodra dit doel wegvalt of is voltooid. Toestemming is geen rechtmatige grondslag als er sprake is van een hiërarchische verhouding tussen verantwoordelijke en betrokkene. De instelling draagt er zorg voor dat persoonsgegevens ten alle tijde op basis van een wettelijke grondslag worden verwerkt. [geregeld bij rechten betrokkene] AVG Rechten en verplichtingen Beheersmaatregelen Opt-out is niet langer toegestaan, omdat dan geen sprake is van toestemming aangezien niet gesproken kan worden van expliciete wilsverklaring door het vergeten een link uit te klikken. N.v.t. IBPDOC2B, versie 0.8 Pagina 20 van 46