Stap 2: maak een privacyverklaring
Met een privacyverklaring informeren we de betrokkenen over de verwerkingen van hun persoonsgegevens.
Met een privacyverklaring informeert de verwerkingsverantwoordelijke de betrokkenen over wat hij doet met hun persoonsgegevens. De privacyverklaring vertelt ook wat de rechten zijn van de betrokkenen.
De privacyverklaring geeft op een transparante, duidelijke en gemakkelijk toegankelijke manier weer hoe de verwerkingsverantwoordelijke iemands persoonsgegevens verwerkt (Art. 12 GDPR).
De privacyverklaring kun je eventueel aanvullen met of laten verwijzen naar:- (een samenvatting van) het IVP-beleid;
- addenda, bijlagen … die specifieke verwerkingen verder toelichten;
- afzonderlijke communicatie (via brieven, e-mails, nieuwsbrieven …) over verwerkingen die ad hoc uitgevoerd worden en dus niet in de algemene privacyverklaring opgenomen zijn.
De verklaring informeert ook de betrokkenen over hun rechten en vermeldt ook op welke manier ze deze rechten kunnen uitoefenen (art. 15-22 GDPR).
De verklaring kun je op papier of digitaal bezorgen aan de betrokkenen. Betrokkenen dienen op de hoogte te zijn waar en hoe zij de privacyverklaring die voor hen van toepassing is, kunnen raadplegen. Indien de privacyverklaring (op de schoolwebsite) gepubliceerd wordt, dient dit op een eenvoudig terug te vinden plaats te zijn.
De privacyverklaring is een eenzijdig, informatief document. Je kunt de ontvanger(s) vragen om te tekenen voor kennisname (ontvangst), maar niet voor akkoord.
Om een aantal IVP-gerelateerde bepalingen bindend te maken neem je ze best op in het schoolreglement, dat wel bindend is.- de gegevens van een leerling die bij een schoolovergang doorgegeven worden;
- afspraken rond het maken en verspreiden van beeldmateriaal van medeleerlingen en/of personeel;
- (indien de school dit toepast) de afspraken rond elektronisch toezicht op telecommunicatie op het schoolnetwerk;
- …
Een privacyverklaring moet, op een duidelijke en eenvoudig geformuleerde manier, de volgende informatie omvatten:- wie de verwerkingsverantwoordelijke is (identificatie- en contactgegevens);
- wie de bevoegde functionaris voor gegevensbescherming (DPO) is;
- welke (categorieën van) persoonsgegevens je verwerkt en voor welke doeleinden;
- aan welke ontvangers je persoonsgegevens doorgeeft of uitwisselt, en voor welke doeleinden;
- welke verwerkers de verwerkingsverantwoordelijke inschakelt, en voor welke verwerkingen en doeleinden;
- welke maatregelen de verwerkingsverantwoordelijke toepast om de beschikbaarheid, integriteit en vertrouwelijkheid van de persoonsgegevens te garanderen. Je kunt eventueel verwijzen naar het IVP-beleid;
- welke rechten de betrokkene heeft aangaande zijn/haar persoonsgegevens, en hoe hij/zij deze kan uitoefenen;
- hoe de betrokkene contact kan opnemen met de toezichthoudende autoriteit;
- welke verwerkingen er gebeuren met als grondslag ‘gerechtvaardigd belang’ en welke geautomatiseerde besluitvorming er in dat geval gebeurt;
- wat eventueel de gevolgen zijn bij het niet verstrekken van bepaalde persoonsgegevens.
De verwerkingsverantwoordelijke (het school-, centrum- of internaatbestuur) zorgt ervoor dat: - elke instelling over een privacyverklaring beschikt en dat deze ter beschikking staat van de betrokkenen;
- een betrokkene op een eenvoudige manier zijn/haar rechten kan uitoefenen;
- er procedures zijn waarmee op elke uitoefening van rechten uiterlijk binnen de maand gereageerd of ingegaan wordt;
- er interne afspraken gemaakt worden rond de uitoefening van rechten en rond de opvolging van elke uitoefening van rechten door een betrokkene (wie doet wat, interne informatiestroom en communicatieafspraken …);
- er een procedure is om een melding van een beveiligingslek te beoordelen, te registreren en indien nodig te melden (aan de toezichthoudende autoriteit en/of aan de betrokkenen).