Privacybescherming binnen het hoger onderwijs: zo wordt het geregeld

Deel 1 van 3 in een serie over informatiebeveiliging en privacybescherming binnen het hoger onderwijs.

Hoger onderwijsinstellingen zijn complexe en grote organisaties en hebben te maken met veel persoonsgegevens, waarbij datalekken en betrokkene verzoeken een vaak voorkomend verschijnsel zijn. 

De privacy moet daarom te allen tijde goed beschermd zijn.

Als privacy officer in een hoger onderwijsorganisatie betekent dit dat u druk bent met zowel de dagelijkse afhandeling van allerlei lopende zaken alsook de privacybescherming voor de middellange termijn moet organiseren. De privacybescherming moet immers niet alleen gewaarborgd worden, maar moet ook met enige regelmaat getoetst worden.

In deze specialistische, kennisintensieve en omvangrijke taak die onmiskenbaar een bepaalde hectiek met zich meebrengt, is het van groot belang om alle activiteiten en ontwikkelingen overzichtelijk en gestructureerd bij te houden.

Dit kunt u doen met behulp van een privacy management systeem, afgekort PMS of ook wel PIMS: Personal Information Management System.

Hoe zet je een privacy management systeem (PMS) op?

Een PMS wordt aan de hand van een aantal stappen opgezet, namelijk:

1. Bepaal de belanghebbenden

Binnen het hoger onderwijs zijn er verschillende belanghebbenden. Dit zijn de personen of groepen die er belang in stellen hoe de privacybescherming geregeld is. Om deze groepen te bepalen kunt u kijken naar de verschillende groepen binnen de onderwijsinstelling, zoals studenten en werknemers, maar ook naar diverse groepen betrokkenen.

Betrokkenen zijn uitsluitend de personen van wie persoonsgegevens worden verwerkt.

Belanghebbenden omvatten dus ook andere groepen, denk hierbij aan CvB, leidinggevenden, overheid et cetera.

Van verschillende groepen betrokkenen - denk hierbij aan studenten, alumni, belangstellenden, bezoekers, medewerkers en uiteenlopende groepen voortkomend uit onderzoek - worden verschillende soorten persoonsgegevens verwerkt.

Zodra u de belanghebbenden, inclusief de groepen betrokkenen, heeft bepaald stelt u de uitgangspunten voor het beleid op in lijn met de AVG.

2. Stel uitgangspunten voor het beleid op in lijn met de AVG

De AVG, Algemene Verordening Gegevensbescherming, is een verordening die opgesteld is om de privacy van betrokkenen beter te beschermen. Hiervoor zijn een groot aantal richtlijnen opgesteld, die u kunt gebruiken om de uitgangspunten voor het beleid op te stellen.

Onderwijsinstellingen kunnen onder andere het SURF beleidsmodel gebruiken. Dit document kunt u aanpassen aan uw eigen beleid, waardoor u direct een document hebt dat naar behoren opgesteld is. U kunt dit model ook als uitgangspunt gebruiken en uw eigen document samenstellen.

3. Bepaal rollen en verantwoordelijkheden binnen de organisatie

Binnen het hoger onderwijs is het benoemen van een functionaris gegevensbescherming (FG) noodzakelijk. Naast het benoemen van de FG moeten de verdere rollen en verantwoordelijkheden met betrekking tot de privacybescherming worden vastgelegd.

Belangrijk is om daarbij onderscheid te maken tussen wie verantwoordelijk is en wie uitvoert. In enkele gevallen loopt dat in elkaar over.

Uitvoerend, bijvoorbeeld:

• ICT-coördinator
• Privacy Officer
• Manager Informatiebeveiliging en Privacy (IBP)
• Verantwoordelijke IBP
• Informatiemanager
• Security Officer
• Functioneel beheerder
• ICT-beheerder
  

Verantwoordelijk, bijvoorbeeld:

• Faculteitsbestuur
• College van Bestuur
• Portefeuillehouder m.b.t. privacybescherming / informatiebeveiliging
• Decaan

U kunt er bijvoorbeeld voor kiezen speciale privacy officers die decentraal actief zijn aan te wijzen. Daarnaast kunnen er andere portefeuillehouders zijn, één of meerdere systeemeigenaren en leidinggevenden.

Bepaal per rol ook welke taken en verantwoordelijkheden hiermee gemoeid zijn.

4. Ga verwerkingen na en stel een verwerkingsregister op

Alle handelingen die een hoger onderwijsinstelling uitvoert met persoonsgegevens moeten goed geregistreerd worden in het privacy management systeem. U moet daarom alle verwerkingen nagaan en op basis hiervan het verwerkingsregister opstellen.

Binnen een hoger onderwijsinstelling is het wenselijk om inzicht te geven in de relevante verwerkingen per dienst of organisatie. Belangrijk om rekening mee te houden is dat gegevensverwerkingen vaak decentraal zijn ingericht.

Om de verwerkingen na te gaan en een verwerkingsregister op te stellen kunt u als startpunt de 25 standaard verwerkingen van SURF gebruiken.

5. Loop je leveranciers na en zorg voor passende verwerkersovereenkomsten

Ook hoger onderwijsinstellingen hebben te maken met leveranciers en partners die toegang en inzage hebben tot persoonlijke gegevens.

U moet er voor zorgen dat u hier een goed beeld van heeft en zorgen voor een passende verwerkersovereenkomst. Hiervoor heeft u meerdere mogelijkheden binnen het onderwijs. Zo kunt u voor een vaste verwerkersovereenkomst gaan, maar ook voor een modelovereenkomst van SURF kiezen.

U kunt ook de verwerkersovereenkomsten van de verschillende leveranciers als startpunt nemen, maar dan moet u voor elke leverancier/overeenkomst opnieuw na gaan of deze voldoet aan de belangrijkste eisen met betrekking tot de AVG.

Dit zijn:

• De te verwerken persoonsgegevens en de verwerking
• Vertrouwelijkheid
• Mogelijke inzet van subverwerkers
• Rechten van betrokkenen
• Ondersteuning bij beveiliging, datalekken en DPIA’s
• Persoonsgegevens na afloop van de verwerkingsdiensten
• Controle op naleving en audits
• Beveiliging van de verwerking

6. Stel een procedure datalekken op

Een datalek moet te allen tijde voorkomen worden, echter kan het wel plaatsvinden bijvoorbeeld door menselijke fouten of een gerichte aanval van buitenaf. Als een datalek zich voordoet moet u zorgen dat u hier een procedure voor heeft om de gevolgen van het datalek te minimaliseren.

Bepaal bijvoorbeeld wie het eerste aanspreekpunt is bij een (mogelijk) datalek, binnen welke termijn medewerkers een (mogelijk) datalek bij het aanspreekpunt moeten melden en maak afspraken over wie wat doet om het datalek te beëindigen.

Hier komt ook de rol van de FG bij kijken. De volledige procedure kunt u opstellen in een document, dat u er direct kunt bijpakken in geval van een datalek. Of beter nog; binnen uw PMS automatisch tot uitvoering kunt brengen.

7. Hoe worden betrokkene-verzoeken afgehandeld?

Er zijn verschillende privacyrechten die betrokkenen hebben om controle te houden over hun persoonsgegevens. Door gehoor te geven aan ingediende verzoeken geef je blijk van een gezond privacybeleid. Dit draagt weer bij aan het vertrouwen van mensen in uw onderwijsinstelling.

Er zijn verschillende rechten waarop een verzoek kan worden ingediend, onder andere:

• Recht op inzage;
• Recht op vergetelheid;
• Recht op rectificatie en aanvulling;
• Recht op dataportabiliteit;
• Recht op beperking van de verwerking;
• Recht met betrekking tot geautomatiseerde besluitvorming en profilering;
• Recht om bezwaar te maken tegen de gegevensverwerking;
• Ten slotte hebben mensen recht op duidelijke informatie over wat u met hun persoonsgegevens doet.

De betrokkene-verzoeken kunt u laten binnenkomen middels een publiek formulier waarop de betrokkene zijn verzoek kenbaar maakt. Een alternatief via een telefonische melding moet eveneens beschikbaar zijn om personen die niet via een webformulier kunnen of willen registreren de mogelijkheid tot contact te bieden.

Zodra een betrokkene een verzoek heeft ingediend, zal deze op de juiste plek terechtkomen door het privacy management systeem en kan de verantwoordelijke dit direct oppakken. Voordat u het verzoek inwilligt, is het noodzakelijk te controleren of u met de juiste persoon te maken heeft.

Wat zijn de onderdelen van een PMS?

Het privacy management systeem omvat dus verschillende onderdelen. Denk daarbij aan onder andere:

• Overzicht van belanghebbenden en hun eisen en verwachtingen
• Het privacybeleid inclusief de procedures
• Rollen en verantwoordelijkheden

In het systeem ziet u ook:

• Het verwerkingsregister
• Eventueel ook de verwerkers en verwerkersovereenkomsten
• Afhandeling en registratie van datalekken
• Afhandelingen en registratie van betrokkene-verzoeken
• Het uitvoeren van privacy toetsen en (D)PIA’s
• Een programma van controleactiviteiten / audits

Hoe rapporteer je over het PMS?

Het is belangrijk om belanghebbenden op de hoogte te houden van de ontwikkelingen met betrekking tot de privacybescherming en alle daaraan gerelateerde zaken. Ook het privacy team zelf moet uiteraard continu monitoren en de mogelijkheid hebben om dagelijks inzicht te krijgen in de status van privacybescherming.

Om periodiek te rapporteren is het handig om beschikking te hebben over dashboards.

Binnen het onderwijs ontvangt ook het CvB specifieke rapportages. Dit kan maandelijks of elk kwartaal, maar kan ook een jaarlijkse rapportage inclusief verantwoording zijn. Zo zijn alle relevante partijen op de hoogte van het waarborgen van de privacybescherming.

Hoe beveilig je persoonsgegevens?

Voor de privacybescherming is het uiteraard essentieel om de opslag en verwerking goed te beveiligen. Hierdoor ligt er een sterke relatie met de informatiebeveiliging.

Bij informatiebeveiliging gaat het om beschikbaarheid, integriteit en vertrouwelijkheid van (privacy)gevoelige informatie. Het is een omvangrijk proces, dat vele aspecten kent.

Een informatiebeveiligingsplan kan uw organisatie helpen om de doelstellingen met betrekking tot informatiebeveiliging in samenhang op te stellen en beveiligingsactiviteiten structureel uit te voeren.

Daarbij kunnen ook trainingen voor bewustwording voor medewerkers helpen. Zo weten alle medewerkers wat er van hen verwacht wordt en kun je voor de juiste informatiebeveiliging zorgen en is de bescherming van persoonsgegevens te allen tijde goed geregeld.

Een ander aspect van het informatiebeveiligingsplan zijn de meer technische beveiligingsmaatregelen (security). Deze worden in deel 2 van deze serie behandeld.

Met behulp van Base27 biedt Axxemble een oplossing om informatiebeveiliging snel en effectief te realiseren.

Door gebruik te maken van best practices op het gebied van privacybescherming, toegespitst op het hoger onderwijs, heeft u alle middelen tot uw beschikking om medewerkers te informeren, processen veilig te maken, risicoanalyses snel en gemakkelijk uit te voeren en de beveiliging continu te bewaken en te verbeteren.