Stap 10: werk bij waar nodig

Na de implementatie van de GDPR/AVG stuurt de onderwijsinstelling bij waar nodig.

Inleiding

sla link op in klembord

Zodra aan het informatieveiligheid- en privacybeleid (IVP-beleid) en de implementatie ervan uitvoering is gegeven, begint een nieuwe fase. In deze fase houdt de verwerkingsverantwoordelijke toezicht op informatieveiligheid & privacy en stuurt bij waar nodig. Beveiligingsincidenten  de cyclische PDCA-methode en periodiek testen zorgen voor de bijsturing. Deze fase zal nooit klaar zijn.

De verwerkingsverantwoordelijke evalueert en actualiseert indien nodig de genomen maatregelen (art. 24, lid 1 GDPR).

Is bijsturen na de implementatie wettelijk verplicht?

sla link op in klembord

De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de gegevensverwerking wordt uitgevoerd in overeenstemming met de GDPR/AVG.

De verwerkingsverantwoordelijke evalueert en actualiseert indien nodig de genomen maatregelen (art. 24, lid 1 GDPR).

Wie doet wat?

sla link op in klembord

Verantwoordelijkheid

sla link op in klembord

Schoolbestuur
Het schoolbestuur als verwerkingsverantwoordelijke voorziet de nodige tijd en middelen voor de evaluatie van de genomen maatregelen op basis van de periodiciteit vastgelegd in het IVP-beleid. Indien nodig actualiseert het schoolbestuur de maatregelen.

Uitvoering

sla link op in klembord

Aanspreekpunt informatieveiligheid
​​​​​​​
Het aanspreekpunt informatieveiligheid (AIV) plant de evaluatie van de maatregelen op basis van de periodiciteit vastgelegd in het IVP-beleid. Het AIV kan de evaluaties ook uitvoeren. Het aanspreekpunt rapporteert aan het schoolbestuur.

Data Protection Officer
​​​​​​​
De Data Protection Officer (DPO) of functionaris voor gegevensbescherming adviseert en informeert het aanspreekpunt informatieveiligheid en het schoolbestuur bij het plannen van de evaluaties.

ICT-coördinator
​​​​​​​
De ICT-coördinator helpt mee bij de uitvoering van de evaluaties en indien nodig bij het actualiseren van de maatregelen.

Verwerker
De verwerker dient, afhankelijk van de aard van de verwerking, aan de uitvoerder van de evaluatie bijstand te verlenen.

Personeelslid
​​​​​​​Personeelsleden kun je betrekken bij het evalueren van de maatregelen.

Aan de slag

sla link op in klembord

Bijsturen kan op basis van:

  • beveiligingsincidenten;
  • PDCA-methode;
  • periodieke testen.

Beveiligingsincidenten

sla link op in klembord

Soms wordt een onderwijsinstelling met de neus op fouten gedrukt. Bijvoorbeeld wanneer er een klacht van een betrokkene binnenkomt, een server is besmet met ransomware (gijzelsoftware) of er een gegevenslek is geweest. Beveiligingsincidenten zijn een aanleiding om het IVP-beleid en de implementatie ervan bij te sturen.

PDCA-methode

sla link op in klembord

De wetgeving, procedures, technologie … allemaal zijn ze voortdurend aan verandering onderhevig. Hetzelfde geldt voor een onderwijsinstelling, of het nu gaat om verandering in het opleidingsaanbod, een wijziging in het personeel of een update van gegevensverwerkende processen. De verwerkingsverantwoordelijke zal daarom op geregelde tijdstippen moeten kijken of de genomen maatregelen nog wel geschikt zijn. Een manier om dit te doen is de Plan-Do-Check-Act (PDCA) verbetermethode (de kwaliteitscirkel van Deming). De PDCA-methode is bedoeld als verbeterproces en kun je gebruiken voor het bijwerken van alles dat te maken heeft met het IVP-beleid.

  • Plan: in de plan-fase analyseer je het probleem. Je bedenkt wat er nodig is om het doel te bereiken en ontwikkelt een plan om het probleem op te lossen.
  • Do: vervolgens voer je het plan op kleine schaal uit. In deze fase verzamel je de gegevens die nodig zijn om te meten of het plan gelukt is.
  • Check: in de check-fase analyseer je de gegevens uit de do-fase en beoordeel je of het plan goed is uitgevoerd. Als het doel niet bereikt wordt, begin dan de PDCA-cyclus opnieuw.
  • Act: in de laatste fase pas je het plan op basis van de beoordeling op brede schaal toe.

Periodieke testen

sla link op in klembord

Door te observeren, gesprekken te voeren, bevragingen te doen, simulaties uit te voeren … kun je achterhalen of de gegevensverwerkingen worden uitgevoerd conform de GDPR/AVG. De uitvoerder rapporteert aan de verwerkingsverantwoordelijke en het aanspreekpunt informatieveiligheid. Op basis van het resultaat worden de maatregelen aangepast.

Contact

×
Kijkt als...
Niveau
Regio