Privacybeleid

 

Bron

Kennisnet

Bewerkt door:

Dansstudio Van Harten, Karin Hoekstra/Rosanne Bisschop

Versie Status Datum Auteur Omschrijving
01 concept juni 2018 Karin Hoekstra

Rosanne Bisschop

Privacybeleid

 

Inhoudsopgave

1    Het belang van informatiebeveiliging en privacy

 

2    Toelichting informatiebeveiliging en privacy

2.1     Toelichting informatiebeveiliging

2.2     Toelichting privacy

2.3     Vervlechting informatiebeveiliging en privacy.

 

3    Doel en reikwijdte.

3.1     Doel

3.2     Reikwijdte.

 

4    Beleid – Hoe doen we dat?

 

5    Uitwerking van het beleid – Wat doen we?

5.1     Relevante wet- en regelgeving.

5.2     Basisregels bij het omgaan met persoonsgegevens.

5.3     Ondersteunende richtlijnen en procedures.

5.4     Voorlichting en bewustzijn.

5.5     Classificatie en risicoanalyse.

5.6     Incidenten en datalekken.

5.7     Planning en controle.

5.8     Naleving en sancties.

5.9     Logging en monitoring.

 

6    Organisatie – Wie doet wat?.

6.1     Rollen en verantwoordelijkheden.

 

Bijlage 1: Ondersteunende richtlijnen en procedures.

 

1. Het belang van informatiebeveiliging en privacy

Het dansonderwijs is in toenemende mate afhankelijk van informatie en ict. De hoeveelheid informatie, waaronder persoonsgegevens, neemt toe door o.a. ontwikkelingen als digitale ledenadministratie en social media. Het is belangrijk om informatie goed te beschermen en veilig en verantwoord met persoonsgegevens om te gaan. De afhankelijkheid van ict en persoonsgegevens brengt nieuwe kwetsbaarheden en risico’s met zich mee. Het goed regelen van informatiebeveiliging en privacy in een privacybeleid is noodzakelijk om de gevolgen van deze risico’s tot een aanvaardbaar niveau te reduceren en onze bedrijfsvoering optimaal te kunnen waarborgen.

2. Toelichting informatiebeveiliging en privacy

2.1 Toelichting informatiebeveiliging

Onder informatiebeveiliging wordt verstaan het nemen en onderhouden van een hoeveelheid samenhangende maatregelen zodat de betrouwbaarheid van de informatievoorziening (mensen, procedures, gegevens, programmatuur en apparatuur) gegarandeerd kan worden.

Informatiebeveiliging richt zich op de volgende aspecten:

  •         Beschikbaarheid: de mate waarin gegevens en/of functionaliteiten beschikbaar zijn op de juiste momenten.
  •         Integriteit: de mate waarin gegevens en/of functionaliteiten juist en volledig zijn.
  •         Vertrouwelijkheid: de mate waarin de toegang tot gegevens en/of functionaliteiten beperkt is tot degenen die daartoe bevoegd zijn.

Onvoldoende informatiebeveiliging kan leiden tot ongewenste risico’s in het onderwijsproces en bij de bedrijfsvoering van de instelling. Incidenten en inbreuken in deze processen kunnen leiden tot financiële schades en imagoverlies.

2.2 Toelichting privacy

Privacy gaat over persoonsgegevens. Persoonsgegevens moeten beschermd worden volgens de huidige wet- en regelgeving. Daarnaast vindt Dansstudio Van Harten het belangrijk dat uw gegevens veilig zijn. Bescherming van de privacy regelt onder andere onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn hierbij alle gegevens die een natuurlijke persoon direct of indirect kunnen identificeren. Onder verwerking wordt elke handeling met betrekking tot persoonsgegevens verstaan. De wet noemt als voorbeelden van verwerking:

Het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekking door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.

2.3 Vervlechting informatiebeveiliging en privacy

Uit voorgaande blijkt dat informatiebeveiliging een belangrijke voorwaarde is voor privacy, terwijl omgekeerd de zorgvuldige omgang met persoonsgegevens noodzakelijk is voor informatiebeveiliging. Informatiebeveiliging en privacy staan naast elkaar en zijn van elkaar afhankelijk, en worden daarom samengevoegd tot één proces: ons privacybeleid. Dit beleid vormt de basis om informatiebeveiliging en privacy binnen Dansstudio Van Harten te regelen en vormt de kapstok voor de onderliggende afspraken en procedures.

3. Doel en reikwijdte

3.1 Doel

Informatiebeveiliging en privacy heeft de volgende doelen:

Ø  Het waarborgen van de continuïteit van het dansonderwijs en de bedrijfsvoering.

Ø  Het garanderen van de privacy van alle betrokkenen waarvan Dansstudio Van Harten persoonsgegevens verwerkt, waaronder leerlingen, hun ouders/verzorgers en medewerkers. Beveiligings- en privacy-incidenten voorkomen en de eventuele gevolgen hiervan beperken.

Het privacybeleid is erop gericht om de kwaliteit van de verwerking van informatie en de beveiliging van persoonsgegevens te optimaliseren waarbij er een juiste balans moet zijn tussen privacy, functionaliteit en veiligheid. Het uitgangspunt is dat de persoonlijke levenssfeer van de betrokkene (o.a. medewerkers, leerlingen en hun ouders/verzorgers) wordt gerespecteerd en Dansstudio Van Harten voldoet aan relevante wet- en regelgeving.

3.2 Reikwijdte

  •         Het privacybeleid binnen Dansstudio Van Harten geldt voor alle medewerkers, leerlingen, ouders/verzorgers, bezoekers en externe relaties (inhuur / outsourcing). Onder dit beleid vallen ook alle devices van waar geautoriseerde toegang tot het schoolnetwerk verkregen kan worden.
  •         Het privacybeleid heeft betrekking op het verwerken van persoonsgegevens van alle betrokkenen binnen Dansstudio Van Harten waaronder in ieder geval alle medewerkers, leerlingen, ouders/verzorgers, bezoekers en externe relaties (inhuur/outsourcing), evenals op overige betrokkenen waarvan Dansstudio Van Harten persoonsgegevens verwerkt.
  •         Het beleid geldt voor die toepassingen, die vallen onder de verantwoordelijkheid van Dansstudio Van Harten. Hieronder valt tevens de gecontroleerde informatie, die door de dansstudio zelf is gegenereerd en wordt beheerd. Over de niet-gecontroleerde informatie waarop de studio kan worden aangesproken worden nadere afspraken gemaakt (b.v. whatsapp-groepen van ouders/leerlingen met docenten, uitspraken van medewerkers en leerlingen in discussies, op (persoonlijke pagina’s van) websites en of social media.)
  •         Het privacybeleid geldt voor de geheel of gedeeltelijk, geautomatiseerde/systematische verwerking van persoonsgegevens, die plaatsvindt onder de verantwoordelijkheid van Dansstudio Van Harten evenals op de daaraan ten grondslag liggende documenten die in een bestand zijn opgenomen. Het privacybeleid is ook van toepassing op niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
  •         Het privacybeleid heeft binnen Dansstudio Van harten raakvlakken met:

o  Algemeen veiligheids- en toegangsbeveiliging-beleid; met als aandachtspunten bedrijfshulpverlening, fysieke toegang en beveiliging, crisismanagement, huisvesting en ongevallen

o  Personeels- en organisatiebeleid; met als aandachtspunten in- en uitstroom van medewerkers, functiewisselingen, functiescheiding en vertrouwensfuncties

o    IT-beleid; met als aandachtspunten aanschaf, beheer en gebruik van ict en (digitale) leermiddelen

 

4. Beleid – Hoe doen we dat?

Dansstudio Van Harten hanteert de volgende uitgangspunten om de gestelde doelen van informatiebeveiliging en privacy te bereiken:                                                                                                  

  1. Dansstudio Van Harten neemt de verantwoordelijkheid om ervoor te zorgen dat informatiebeveiliging en privacy geregeld wordt. Het bestuur is hierop aan te spreken en legt hier verantwoording over af. In termen van de wet is het bestuur de verwerkingsverantwoordelijke.
  2.   Dansstudio Van Harten streeft er naar om binnen één jaar te voldoen aan alle relevante wet- en regelgeving.
  3.   Bij Dansstudio Van Harten is de verwerking van persoonsgegevens altijd gekoppeld aan een specifiek doel en gebaseerd op één van de wettelijke grondslagen. Een goede balans tussen het belang van Dansstudio Van Harten om persoonsgegevens te verwerken en het belang van betrokkene om in een vrije omgeving eigen keuzes te maken met betrekking tot het gebruik van zijn/haar persoonsgegevens is essentieel. Bij alle verwerkingen van persoonsgegevens op basis van toestemming kunnen betrokkenen ten alle tijden hun toestemming herzien.
  4. Dansstudio Van Harten zal alle betrokkenen helder en actief informeren over de verwerkingen van  hun persoonsgegevens, die zowel direct als indirect zijn verkregen. Ook worden alle betrokkenen gewezen op hun rechten met betrekking tot informatie, inzage, verbetering, het wissen van gegevens, beperking van verwerking, verzet, dataportabiliteit en profilering.
  5. Dansstudio Van Harten legt alle verwerkingen van persoonsgegevens vast in een data-register en zal deze up-to-date houden. Dansstudio Van Harten voldoet hiermee aan de documentatieplicht.
  6.  Bij Dansstudio Van Harten is het veilig en betrouwbaar omgaan met informatie de verantwoordelijkheid van iedereen. Hierbij hoort niet alleen het actief bijdragen aan de veiligheid van geautomatiseerde systemen en de daarin opgeslagen informatie, maar ook van papieren documenten.
  7.   Dansstudio Van Harten is eigenaar van de informatie die onder haar verantwoordelijkheid wordt geproduceerd. Daarnaast beheert de school informatie, waarvan het eigendom (auteursrecht) toebehoort aan derden. Medewerkers en leerlingen worden goed geïnformeerd over de regelgeving rondom het gebruik van informatie.
  8.   Dansstudio Van Harten classificeert informatie en informatiesystemen. De classificatie is het uitgangspunt voor de risicoanalyse en de te nemen maatregelen. Er is een balans tussen de risico’s die we willen afdekken en de benodigde investeringen en de te nemen maatregelen.
  9. Dansstudio Van Harten sluit met alle organisaties waar zij mee samenwerkt, verwerkersovereenkomsten af als zij, in opdracht van de school, persoonsgegevens verwerken. Dit geldt ook voor andere organisaties indien er gegevens van leerlingen of medewerkers worden verstrekt.
  10. Dansstudio Van Harten verwacht van alle medewerkers, leerlingen, (geregistreerde) bezoekers en externe relaties dat zij zich ‘fatsoenlijk’ gedragen met een eigen verantwoordelijkheid. Het is niet acceptabel dat door al dan niet opzettelijk gedrag onveilige situaties ontstaan die leiden tot schade en/of imagoverlies.
  11. Informatiebeveiliging en privacy is bij Dansstudio Van Harten een continu proces, waarbij regelmatig (minimaal jaarlijks) wordt geëvalueerd en wordt gekeken of aanpassing gewenst is.
  12. Dansstudio Van Harten kijkt bij wijzigingen in de infrastructuur of de aanschaf van nieuwe (informatie)-systemen vóóraf naar de impact hiervan op de informatiebeveiliging en privacy, zodat tijdig de juiste maatregelen genomen kunnen worden.
  13. Dansstudio Van Harten neemt passende technische (beveiligings-)maatregelen om persoonsgegevens en overige data te beschermen tegen de risico’s, die de voortgang van het onderwijs, de privacy en de bedrijfsvoering kunnen verstoren.

 

  1.  Dansstudio Van Harten zal alle beveiligingsincidenten vastleggen en datalekken volgens een vast protocol afhandelen en melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen

 

       

5. Uitwerking van het beleid – Wat doen we?

Dit hoofdstuk geeft een praktische invulling van bovenstaand beleid en is daarmee de minimale invulling van het beleid.

5.1 Relevante wet- en regelgeving      

De uitwerking van het beleid voldoet aan alle van toepassing zijnde relevante wet- en regelgeving, waaronder:

  • Wet bescherming persoonsgegevens (Wbp; tot 25 mei 2018)
  • Algemene Verordening Gegevensbescherming (AVG; vanaf 25 mei 2018)*
  • Archiefwet
  • Leerplichtwet
  • Auteurswet
  • Wetboek van Strafrecht

De internationale norm voor informatiebeveiliging NEN-ISO/IEC 27001 en 27002 (2015) is leidend voor de te nemen beveiligingsmaatregelen.

De bepalingen van de meest recente versie van het convenant ‘Digitale onderwijsmiddelen en privacy’ zijn leidend bij het maken van afspraken met leveranciers, die in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerken.

5.2 Basisregels bij het omgaan met persoonsgegevens

Bij het verwerken van persoonsgegevens zijn de wettelijke beginselen inzake verwerking persoonsgegevens (art.5 AVG) leidend. Deze zijn samengevat in de vijf vuistregels met betrekking tot de omgang met persoonsgegevens te weten:

  1. Doelbepaling en doelbinding: persoonsgegevens worden alleen gebruikt voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Deze doeleinden zijn concreet en voorafgaand aan de verwerking vastgesteld. Persoonsgegevens worden niet verder verwerkt op een manier die onverenigbaar is met de doelen waarvoor ze zijn verkregen.
  2.  Grondslag: verwerking van persoonsgegevens is gebaseerd op een van de zes wettelijke grondslagen.
  3.   Dataminimalisatie: bij de verwerking van persoonsgegevens blijft de hoeveelheid en het soort gegevens beperkt: het type persoonsgegevens moet redelijkerwijs nodig zijn om het doel te bereiken; ze staan in verhouding staan tot het doel (proportioneel). Het doel kan niet met minder, alternatieve of andere gegevens worden bereikt (subsidiair). Dit betekent ook dat data niet langer wordt bewaard dan noodzakelijk.
  4.  Transparantie: de school legt aan betrokkenen (leerlingen, hun ouders en medewerkers) op transparante wijze verantwoording af over het gebruik van hun persoonsgegevens, alsmede over het gevoerde privacybeleid. Deze informatievoorziening vindt ongevraagd plaats. Daarnaast hebben betrokkenen recht op verbetering, aanvulling, verwijdering of afscherming van hun persoonsgegevens. Tevens kunnen betrokkenen zich verzetten tegen het gebruik van hun gegevens.
  5.  Data-integriteit: er zijn maatregelen getroffen om te waarborgen dat de te verwerken persoonsgegevens juist en actueel zijn.

5.3 Ondersteunende richtlijnen en procedures

Diverse aanvullende beleidsstukken, richtlijnen, procedures en protocollen geven invulling aan de uitwerking van het beleid. Bijlage 1 geeft een overzicht van de diverse aanvullende beleidsstukken, richtlijnen, procedures en protocollen. Daarnaast worden alle verwerkingen van persoonsgegevens vastgelegd en up-to-date gehouden in een data-register.

5.4 Voorlichting en bewustzijn

Beleid en maatregelen zijn niet voldoende om risico’s op het terrein van informatiebeveiliging en privacy uit te sluiten. De mens is hier een belangrijke factor. Daarom wordt het bewustzijn van de individuele medewerkers voortdurend aangescherpt, zodat de kennis van risico’s wordt verhoogd en veilig en verantwoord gedrag wordt aangemoedigd. Onderdeel van het beleid zijn de regelmatig terugkerende bewustwordingscampagnes voor medewerkers, leerlingen en gasten. Verhoging van het privacy bewustzijn is een gezamenlijke verantwoordelijkheid van Dansstudio Van Harten.

5.5 Classificatie en risicoanalyse

Alle informatie heeft waarde, daarom worden alle gegevens en informatiesystemen waarop dit beleid van toepassing is, geclassificeerd. Het niveau van de te nemen beveiligingsmaatregelen is afhankelijk van de classificatie. De classificatie van informatie is afhankelijk van de gegevens in het informatiesysteem en wordt bepaald op basis van risicoanalyses. Daarbij zijn beschikbaarheid, integriteit en vertrouwelijkheid de betrouwbaarheidsaspecten die van belang zijn.     

Bij wijzigingen in de infrastructuur of de aanschaf van nieuwe (informatie)-systemen, wordt vóóraf gekeken naar de impact van de ontwikkelingen en de beoogde verwerkingen op informatiebeveiliging en privacy, zodat passende maatregelen genomen kunnen worden. Vanaf de start van nieuwe (ict)projecten wordt rekening gehouden met informatiebeveiliging en privacy.

5.6 Incidenten en datalekken

Alle medewerkers, die een beveiligingsincident of datalek vermoeden dienen dit te melden. Het melden van beveiligingsincidenten en datalekken is vastgelegd in een protocol. De afhandeling van deze incidenten volgt een gestructureerd proces, dat ook voorziet in de juiste stappen rondom de meldplicht datalekken. Alle (beveiligings)incidenten worden vastgelegd in een incidentenregister.

Periodiek zullen de beveiligingsincidenten besproken worden en waar nodig aanvullende passende beleidsmaatregelen genomen worden.

5.7 Planning en controle

Dit privacybeleid wordt minimaal elke twee jaar getoetst en bijgesteld door de directie. Hierbij wordt rekening gehouden met:

  •         De status van de informatiebeveiliging als geheel (beleid, organisatie, risico’s);
  •         de actuele geïnventariseerde risico’s;
  •         de effectiviteit van de genomen maatregelen en aantoonbare werking daarvan

Daarnaast kent Dansstudio Van Harten een jaarlijkse planning en control cyclus voor informatiebeveiliging en privacy. Dit is een periodiek evaluatieproces waarmee de inhoud en effectiviteit van het informatiebeveiligings- en privacybeleid wordt getoetst. Tevens worden hier actuele ontwikkelingen op het gebied van techniek, wet- en regelgeving et cetera meegenomen.

5.8 Naleving en sancties

De naleving bestaat uit algemeen toezicht in de dagelijkse praktijk op de naleving van beleid en richtlijnen. Van belang hierbij is dat leidinggevenden en proceseigenaren hun verantwoordelijkheid nemen en medewerkers & docenten aanspreken in geval van tekortkomingen. Er wordt actief aandacht besteed aan privacy bij de aanstelling, tijdens functioneringsgesprekken, met een instelling brede gedragscode, met periodieke bewustwordingscampagnes, etc.

Voor toezicht op de naleving van de AVG vervult de Functionaris voor Gegevensbescherming (FG)  een belangrijke rol. Omdat Dansstudio Van Harten geen publieke organisatie of overheidsorganisatie is, geen bijzondere persoonsgegevens verwerkt & niet als kernactiviteit mensen volgt of profileert, is het niet noodzakelijk om een Functionaris voor Gegevensbescherming in te stellen. Dit kan in de toekomst natuurlijk worden aangepast.  

Over het eventueel opleggen van sancties bij het ernstig tekort schieten van het naleven van het beleid maakt Dansstudio Van Harten nader afspraken.

5.9 Logging en monitoring

Logging en monitoring door de IT-afdeling zorgt er voor dat gebeurtenissen met betrekking tot geautomatiseerde systemen en toegang tot gegevens wordt vastgelegd. Hieronder vallen onder andere het in- uitloggen van gebruikers en (poging) tot ongeautoriseerde toegang tot het netwerk.

 

6. Organisatie – Wie doet wat?

6.1 Rollen en verantwoordelijkheden

De organisatie van privacy gaat over processen, gewoontes, beleid, wetten en regels die van betekenis zijn voor de manier waarop mensen een organisatie sturen, besturen, beheren en controleren. Hierbij spelen  de relaties tussen de verschillende betrokkenen en de doelen van de organisatie een rol. Onderstaand overzicht geeft aan welke verantwoordelijkheden en taken bij welke rollen horen bij Dansstudio Van Harten.

 

Directie dansstudio: Rosanne & Annegien

  • eindverantwoordelijk
  • beleidsvorming- & vastlegging
  • uitdragen van het beleid
  • evaluatie privacybeleid
  • implementeren van beleidsmaatregelen
  • communicatie naar betrokkenen

 

ICT-medewerker: Raymond van Beek

  • functioneel en/of applicatiebeheer: uitvoeren taken conform gegeven richtlijnen en procedures.
  • klankbord bij implementeren van beleidsmaatregelen

 

Docenten & medewerkers: kantoor & dansstudio

  • verantwoordelijk omgaan met privacybeleid bij hun dagelijkse werkzaamheden
  • kennis over actuele beleidsmaatregelen & privacybeleid

 

 

Bijlage 1: Ondersteunende richtlijnen en procedures

 

Deze bijlage bevat een aantal aanvullende beleidsstukken, richtlijnen, procedures en protocollen. Een aantal zijn vanuit de Algemene Verordening Gegevensbescherming verplicht.

Documenten:                                                                                    Aandachtspunten:

Procedure toestemming gebruik beeldmateriaal                    (toestemmingsbrief)

Procedure voor verwijderen van gegevens              (bewaartermijnen)

Communicatie rechten betrokkenen                                         (communicatie richting betrokkenen)

Procesbeschrijving rechten betrokkenen                                

Privacyreglement

Afspraken gebruik sociale media

Procedure rondom training medewerkers                               (bewustzijn creëren)

Wachtwoordbeleid

Gedragscode ict en internetgebruik

Procedure rondom uitwisselen gegevens                                

Verplicht vanuit de AVG:

Procesbeschrijving melden datalekken

Registratie beveiligingsincidenten

Dataregister om te voldoen aan de registratieplicht

Verwerkersovereenkomsten                                                                      

Risicoanalyse