|
|
|
|
|
|
||
|
|
||
|
(5)Overig
|
Ja, wanneer de school informatie deelt over een leerling met meer
mensen dan alleen de leerling zelf (en de ouders daarvan), dan is er
geen grondslag.
Dit geldt dus ook voor lijsten met persoonsgegevens die normaliter in
de school werden opgehangen, zoa...
Ja, wanneer een school foto’s gebruikt heeft deze altijd toestemming
nodig voor het gebruik van foto’s.
Volgens de privacywetgeving maakt het gebruik van foto’s namelijk
geen onderdeel uit van het onderwijs. Er ontbreekt dan een juridische
grondslag en d...
Als een leverancier meerdere producten aanbiedt, dan is één
verwerkersovereenkomst voldoende, mits je voor ieder product een
aparte privacybijsluiter ontvangt.
-------------------------
_Dit antwoord is een korte samenvatting. Hoewel aan de totstandkomin...
Medewerkers moeten voor hun werk simpel en snel gegevens met elkaar
uitwisselen. Als je dat probeert te blokkeren vinden ze zelf wel weer
een nieuwe manier. Ze kunnen van tientallen sites en middelen gebruik
maken om gegevens op te slaan en uit te wissele...
In de aanpak IBP staat dit beschreven, in de uitgebreide handreiking
FG:
https://maken.wikiwijs.nl/81891/Aanpak_IBP_voor_het_PO_en_VO#!page-3692858
-------------------------
[https://maken.wikiwijs.nl/81891/Aanpak_IBP_voor_het_PO_en_VO#!page-3692858]_Di...
Het schoolbestuur (bevoegd gezag) doorloopt de volgende stappen om een
verwerkersovereenkomst af te sluiten:
* Kijk of je leverancier is aangesloten bij het privacyconvenant. Is
deze nog niet aangesloten? Nodig je leverancier uit om dat te doen.
* Vr...
Op de website van de Autoriteit Persoonsgegevens kan je meer
informatie vinden over hoe je dient om te gaan met een datalek:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken
In de aanpak IBP vind je meer informatie o...
Bij het gebruik van een adressenlijst, kan de volgende voorbeeldtekst
voor het verkrijgen van toestemming gebruikt worden:
> Op onze school wordt er, per klas, een klassenlijst gemaakt met de
> adressen van leerlingen. Deze lijst met contactgegevens is e...
Het is mogelijk om meerdere rollen aan één persoon toe te wijzen.
De rollen/functies zijn een suggestie voor verantwoordelijkheden die
je kan verdelen over personen met bestaande functies. Door de
vergelijkbare werkzaamheden zien we vaak de volgende over...
Het PGN (BSN of onderwijsnummer) mag alleen gebruikt worden als er een
specifieke wettelijke grond voor he gebruik is. Deze wettelijke
gronden zijn onder andere te vinden in art 178a Wpo en resp. art 103b
Wvo.
Enkele voorbeelden wanneer het bevoegd geza...
Ja, de wetgeving van de AVG is in de Aanpak IBP verwerkt.
Wij zijn continu bezig om de Aanpak IBP bij te werken. Dit doen we aan
de hand van de laatste berichtgevingen vanuit Europa, de visie van de
Autoriteit Persoonsgegevens. Maar ook aan de hand van ...
Dit kunnen wij als Kennisnet niet beoordelen. Dit moet een school zelf
doen.
In de aanpak IBP vind je meer informatie over hoe scholen om moeten
gaan met datalekken (waaronder een protocol beveiligingsincidenten en
datalekken):
https://maken.wikiwijs.nl/...
Nog niet, deze wordt in voor de zomer 2018 verwacht en in de aanpak
IBP gezet. Houdt deze pagina in de gaten voor (geplande) updates:
https://maken.wikiwijs.nl/81891/Aanpak_IBP_voor_het_PO_en_VO#!page-3515806
-------------------------
_Dit antwoord is ee...
Het afsluiten van een cyberverzekering is niet verplicht. Met een
cyberverzekering ben je verzekerd voor schade en herstelwerkzaamheden
voortkomend uit cybercrime. Als Kennisnet hebben wij geen uitgesproken
mening over het wel of niet afsluiten van een cy...
Ja. In het privacyconvenant en de bijbehorende model
verwerkersovereenkomst worden alle afspraken gemaakt die een
schoolbestuurder, als verantwoordelijke voor de persoonsgegevens, moet
maken.
Het convenant is voor meer dan de driekwart een invulling van...
Nee, dat is niet voldoende.
De privacywetgeving eist dat het schoolbestuur (bevoegd gezag)
concrete afspraken maakt over de verwerking en bescherming van
persoonsgegevens. Dat gebeurt in een zogenaamde
verwerkersovereenkomst. Je moet altijd kunnen bewij...
Een school en samenwerkingsverband passend onderwijs hebben allebei
een in de wet opgenomen publiekrechtelijke taak. Het schoolbestuur en
het bestuur van het samenwerkingsverband zijn allebei
verwerkingsverantwoordelijke voor de gegevens die ze bij het ui...
Kennisnet wordt gefinancierd door het ministerie van OCW, en kan
vanwege deze subsidie geen activiteiten kan verrichten die
‘marktverstorend’ zijn: we kunnen geen diensten verlenen of
adviezen geven waarvoor scholen zelf juristen, advocaten of
ict-adviseu...
Nee, dat kunnen we niet.
Kennisnet en de sectorraden detacheren geen experts om scholen te
begeleiden. Kennisnet wordt gefinancierd door het ministerie van OCW,
en kan vanwege deze subsidie geen activiteiten kan verrichten die
‘marktverstorend’ zijn: we ...
Nee, dat kan (en mag) niet.
Volgens de privacywetgeving is in alle gevallen het schoolbestuur
(bevoegd gezag) verantwoordelijk om de privacy van leerlingen en
medewerkers te garanderen. Dat kan alleen als het bestuur zélf
volledige zeggenschap heeft en h...
Nee, dat kunnen we niet. Er is wel een alternatief.
Kennisnet is gefinancierd door het ministerie van OCW, en vanwege deze
subsidie geen activiteiten kan verrichten die ‘marktverstorend’
zijn: we kunnen geen diensten verlenen of adviezen geven waarvoor
s...
Nee, dat kan (en mag) niet.
Volgens de privacywetgeving is ieder schoolbestuur verantwoordelijk
voor het regelen van de privacy van leerlingen en medewerkers. Dat kan
alleen als het bestuur zélf volledige zeggenschap heeft en houdt over
de persoonsgegeve...
Op basis van de wettelijke taak van de Inspectie van het Onderwijs mag
de inspecteur die gegevens inzien. De inspecteur zal natuurlijk
zorgvuldig omgaan met de persoonsgegevens en alleen die
(persoons)gegevens gebruiken die hij of zij nodig heeft voor het...
Een fotograaf van de krant mag foto's maken (we spreken hier dan van
een gerechtvaardigd belang, namelijk de journalistiek).
Wij adviseren om duidelijke afspraken te maken met de krant/fotograaf:
de foto's worden enkel gebruikt voor dát artikel en worden...
Ja, dat mag.
Een leverancier of schoolbestuur kan altijd een specifieke
(beveiligings)maatregel opnemen in de verwerkersovereenkomst. Dit
gebeurt in de praktijk vaak wanneer uit ervaringen blijkt dat scholen
of leveranciers een bepaalde maatregel niet aa...
Onder bepaalde voorwaarden kan dat prima.
Een belangrijke vraag is met welke devices de synchronisatie wordt
uitgevoerd en hoe veilig die zijn. Als dat schooldevices zijn, waarbij
onder andere schijf encryptie is toegepast, lijkt het datalek risico
ons d...
Alleen met toestemming.
Op basisscholen worden er vaak klassenlijsten of telefoonlijsten
uitgedeeld met namen, adressen en telefoonnummers (van ouders) van
leerlingen. Deze gegevens zijn persoonsgegevens en vallen dus onder de
privacywetgeving. Het delen...
Ja, het vragen van toestemming aan de ouders is hiervoor niet nodig.
De school beslist dat een e-mailadres nodig is voor het onderwijs. De
school schakelt ook leveranciers in (zoals bijvoorbeeld Noordhoff of
Heutink) die gegevens van de school krijgen; ...
Nee, e-mailen van persoonsgegevens kan niet zonder meer. E-mail kent
zelf geen standaard beveiliging en wordt als onveilig beschouwd.
Een mogelijkheid om alsnog gegevens via e-mail te versturen zijn:
* Versleuteling van de bestanden (en het wachtwoor...
Maak geen gebruik van de Google accounts van de medewerkers zelf, maar
regel een omgeving voor je school.
Als organisatie wil je zeker zijn dat je gegevens veilig zijn. Dat
betekent dat alle medewerkers alleen gegevens opslaan op plekken
waarvan je zeker...
Er mag gevraagd worden naar het identiteitsbewijs van de leerling.
Maar het is niet toegestaan om die kopie in het dossier te bewaren.
Volgens de wet moet de school de identiteit controleren, en dat
betekent niet dat een kopie mag worden bewaard. Een pr...
NEe, want een belangrijk uitgangspunt bij het delen van informatie is
dataminimalisatie.
Een leerplichtambtenaar heeft alleen recht op die informatie die
hij/zij strikt noodzakelijk nodig heeft voor de uitoefening van zijn
werk. Het geven van een accoun...
Door het briefgeheim is de post een veilige manier van verzenden.
Ook wordt fysieke post minder snel onderschept of verkeerd
geadresseerd dan een e-mail.
-------------------------
_Dit antwoord is een korte samenvatting. Hoewel aan de totstandkoming
h...
In standaardgevallen is het antwoord ja, maar wel met een
verwerkersovereenkomst.
Een schoolfotograaf heeft gegevens nodig van leerlingen om de juiste
foto’s bij de juiste klassen terecht te laten komen. Als de
fotograaf zelf de foto’s verstuurt naar de ...
Het maken van foto’s en video’s door ouders op school kun je
moeilijk verbieden.
Je bent als schoolbestuur niet verantwoordelijk voor de foto’s die
ouders maken op school. Een ouder die op een schoolfeest een foto
maakt en zelf op Facebook zet, is niet ...
Dat mag niet zomaar. Je moet afspraken maken over beveiliging en soms
ook toestemming vragen van ouders.
Met alle leveranciers waarmee je persoonsgegevens uitwisselt moet je
een verwerkersovereenkomst afsluiten. Maar, Google is een grote
partij, die (nog...
Met alle leveranciers van software die persoonsgegevens ontvangen van
de school (schoolbestuur) en die gegevens voor jouw school/bestuur
verwerken, moet je een verwerkersovereenkomst afsluiten. Het maakt
niet uit of dat de persoonsgegevens zijn van je lee...
Organisaties met minder dan 250 medewerkers hoeven normaliter geen
verwerkingsregister aan te leggen. Enkele uitzonderingen zijn
persoonsgegevens die niet incidenteel worden verwerkt en
persoonsgegevens die een hoog risico inhouden.
Dat is voor scholen ...
Ja. Op grond van de AVG, artikel 37-39, moet een schoolbestuur
(bevoegd gezag) een functionaris voor gegevensbescherming (FG)
aanstellen.
De verplichting om een FG te hebben geldt per organisatie. Niet iedere
school moet een FG hebben, maar ieder school...
Dat hoeft in de meeste gevallen niet.
Het bevoegd gezag (schoolbestuur) van de onderwijsinstelling is
volgens de privacywetgeving de verwerkingsverantwoordelijke. Deze moet
een verwerkersovereenkomst afsluiten met alle leveranciers die
persoonsgegevens o...
Met alle leveranciers waarmee je persoonsgegevens uitwisselt moet je
een verwerkersovereenkomst afsluiten. Dit geldt dus voor zowel
persoonsgegevens van leerlingen als van medewerkers.
Het schoolbestuur mag in beide gevallen de model
verwerkersovereenkom...
Dat is afhankelijk van de specifieke opdracht en – als er
persoonsgegevens worden verwerkt – waar de website uiteindelijk komt
te staan. Anders gezegd: kan de websitebouwer bij gegevens van
leerlingen en medewerkers?
De vraag is of de websitebouwer pers...
Ja, het is verplicht om afspraken te maken met iedere leverancier die
persoonsgegevens ontvangen van de school.
Microsoft, Apple en Google gebruiken hiervoor hun eigen
gebruiksvoorwaarden (‘terms’ in het Engels). Deze partijen zijn
niet aangesloten bij ...
Als je sociale media gebruikt als school, dan gebruik je daarbij
persoonsgegevens: namen, foto’s of video’s van medewerkers van
leerlingen worden online gedeeld.
Dat betekent dat je met deze sociale media-leveranciers afspraken moet
maken over privacy i...
Het uitgangspunt is dat je per schooljaar toestemming voor het gebruik
van beeldmateriaal regelt. Ouders kunnen dan met tussenposen van een
jaar weer nadenken of zij willen dat hun zoon of dochter wordt
gefotografeerd.
Een alternatief is om eenmalig bij...
De optie om groepsauthenticatie aan te zetten in Parnassys is niet
verplicht. Maar je moet wel uitleggen waarom alle docenten bij
gegevens van alle leerlingen mogen. Uitgangspunt van de wet is dat een
medewerker alleen die informatie ziet die je dagelijks...
Ja, want ook netwerkbeheerders zijn op grond van de AVG ook aan te
merken als verwerkers van persoonsgegevens.
Voor netwerkbeheerders (zoals bijvoorbeeld) Heutink ICT kan er gebruik
worden gemaakt van de model verwerkersovereenkomst. Dit vraagt wel
aanpa...
Je moet beide zaken regelen.
Een bevoegdheden register (of autorisatie matrix) is een
procesmaatregel. Je geeft aan wat mensen wel/niet mogen. Dat je
uitlegt dat overtredingen leiden tot disciplinaire maatregelen is heel
goed.
Maar hoe controleer je da...
Als verwerkingsverantwoordelijke dien je je te houden aan de AVG die
in Nederland geldt, dus moet je ook met buitenlandse leveranciers een
verwerkersovereenkomst afsluiten. Meer informatie hierover vind je op
de website van het
privacyconvenant: https://w...
Dat is niet nodig. Het schoolbestuur (bevoegd gezag) heeft voor alle
scholen die onder het bestuur vallen één beleid. Op alle scholen
moet daarmee op de zelfde manier met informatiebeveiliging en privacy
worden omgegaan.
Het IBP-beleidsplan is een plan ...
Ja. Een schoolbestuur hoort met alle partijen die in opdracht van het
bestuur persoonsgegevens verwerken, afspraken te maken in een
verwerkersovereenkomst.
Als er gebruik wordt gemaakt van de diensten van Kennisnet zoals de
Entree Federatie of Nummervoo...
Het maken van camerabeelden is aan veel regels gebonden. Vuistregel is
dat preventief toezicht (beveiligingscamera’s) is toegestaan als dat
vooraf duidelijk ‘kenbaar is gemaakt’ (maar camera’s mogen niet
overal hangen). Het gericht volgen van leerlingen o...
Onder bepaalde omstandigheden en voorwaarden kan dat prima.
Zolang enkel de docent in beeld is, zal de privacy geen probleem zijn,
er vanuit gaande dat natuurlijk de betreffende leerling en de docent
akkoord zijn. Als de rest van de klas wel in beeld kom...
De voorwaarden van Whatapp zijn aangepast aan de nieuwe
privacywetgeving. Gebruikers moeten voortaan 16 jaar of ouder zijn.
Als je op school leerlingen verplicht om in een app-groep met de
docent te zitten, dan dwing je leerlingen om de voorwaarden van
Wh...
Of een samenwerkingsverband passend onderwijs met de aangesloten
schoolbesturen een verwerkersovereenkomst af moet sluiten, hangt af
waarvoor de software gebruikt wordt.
Een school en samenwerkingsverband passend onderwijs hebben allebei
een in de wet o...
Eigenlijk is niet de vraag wat publiceren is, maar of je
persoonsgegevens gaat verwerken. Een foto van een leerling valt onder
de definitie van persoonsgegevens. En publiceren is één van de
activiteiten die je kan doen met persoonsgegevens. Alles wat je d...
Namen van personen zijn persoonsgegevens. En die vallen onder de AVG
en die mag je niet zomaar openbaar delen. Het is dus belangrijk om na
te gaan of het lesrooster persoonsgegevens bevat. Als dat niet zo is,
dan mogen lesrooster openbaar worden gepublice...
In principe geldt voor leerlinggegevens een standaard bewaartermijn
van 2 jaar nadat de leerling de school verlaten heeft. Er zijn op deze
regel echter een aantal uitzonderingen.
Een overzicht van bewaartermijnen is in de maak en wordt voor de
zomervaka...
In de Aanpak IBP is een instructievideo opgenomen:
https://maken.wikiwijs.nl/81891/Aanpak_IBP_voor_het_po_en_vo#!page-3696224
In combinatie met het stappenplan en de handleidingen, worden daar de
meeste vragen beantwoord.
-------------------------
_Dit ...
Voor het vragen van toestemming mag de school géén gebruik maken van
een 'opt-out' optie: wij maken foto’s tenzij u dat niet wilt… Voor
alle zaken (nieuwsbrief, website social media et cetera) waarvoor
leerling foto's gebruikt kunnen worden, moet apart to...
Kort gezegd moet het schoolbestuur (bevoegd gezag)
informatiebeveiliging en privacy (IBP) op orde hebben.
Om duidelijk te maken wat dat inhoudt, heeft Kennisnet in samenwerking
met de PO-Raad en VO-raad de 'Aanpak IBP [https://kn.nu/IBPonderwijs]'
ontwik...
Een bevoegd gezag is zelf verantwoordelijk om een verwerkingsregister
aan te leggen. De werkgroepen IBP van de sectorraden proberen een
ingevulde versie te maken, maar een bevoegd gezag moet deze alsnog
nalopen en controleren. Ieder bevoegd gezag is ook n...
Volgens artikel 37 van de AVG moet je een FG aanstellen als:
* je een overheidsinstelling bent
* je organisatie 'hoofdzakelijk is belast met verwerkingen die
vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en
stelselmatige observatie op...
Formeel gezien moeten organisaties al sinds 2001 onder de
privacywetgeving IBP op orde hebben.
De voorloper van de AVG, de Wet bescherming persoonsgegevens (Wbp)
bevatte bepalingen over het beschermen van persoonsgegevens en het
regelen van IBP. Onder de...
Bij leerlingen onder de 16 jaar beslissen de ouders (wettelijk
vertegenwoordigers) namens de leerling over diens privacy. Op het
moment dat een leerling 16 wordt, beslist die zelf over zijn eigen
privacy.
In artikel 23b van de wet voortgezet onderwijs i...
In de 'Aanpak IBP' hebben we een wachtwoordbeleid uitgewerkt.
https://maken.wikiwijs.nl/81891/Aanpak_IBP_voor_het_PO_en_VO#!page-2690890
[https://maken.wikiwijs.nl/81891/Aanpak_IBP_voor_het_PO_en_VO#!page-2690890]
-------------------------
_Dit antwoord...
Een leverancier (die digitale onderwijsmiddelen aanbiedt) is niet
verplicht om zicht aan te sluiten bij het privacyconvenant. Het is wel
wenselijk.
Het schoolbestuur (bevoegd gezag) blijft verplicht om te zorgen voor
de juiste afspraken over privacybesch...
Het uitgangspunt van het privacyconvenant is dat zowel leveranciers
als onderwijsinstellingen zich aan het model houden. Het model is een
getoetste overeenkomst waar veel juristen naar gekeken hebben en het
biedt voor alle partijen een goed kader voor het...
Als er in het kader van het onderwijs gebruik wordt gemaakt van
digitale leermiddelen, dan is het schoolbestuur (bevoegd gezag)
volgens de privacywetgeving eindverantwoordelijk voor de privacy van
leerlingen. Dus de school moet er voor zorgen dat er afspr...
De volgende pagina in de aanpak IBP gaat in op de communicatie over
digitale vaardigheden en social media richting leerlingen:
https://maken.wikiwijs.nl/81891/Aanpak_IBP_voor_het_PO_en_VO#!page-2201400
[https://maken.wikiwijs.nl/81891/Aanpak_IBP_voor_het_...
De GGD heeft twee vormen van informatie vragen:
* Voor het plannen van afspraken willen ze weten welke leerling in
welke klas zit. Die informatie mogen/moeten GGD’s uit BRON halen
(DUO). Dat werkt nu niet goed. Daarom vragen GGD’s lijsten van
leerlinge...
Leerplichtambtenaren voeren wettelijke taak uit en hebben dus een
wettelijk recht op bepaalde informatie. Daarbij gaat het vooral om
verzuim.
Belangrijk uitgangspunt bij het delen van informatie is of de wet iets
regelt (ja, in dit geval de Leerplichtwe...
Voor persoonsgegevens is de eindverantwoordelijke altijd het bevoegd
gezag. Op wiens naam het domein is geregistreerd is daarvoor niet van
belang.
-------------------------
_Dit antwoord is een korte samenvatting. Hoewel aan de totstandkoming
hiervan de...
Het melden van een datalek, is de verplichting van ieder
schoolbestuur. Maar er is in het onderwijs afgesproken dat bij grote
datalekken, ook de leverancier een datalek kan melden. Denk
bijvoorbeeld aan een leverancier van een leerlingadministratiesysteem...
Nee, de school is niet verantwoordelijk voor wat ouders doen. Een
ouder die op een schoolfeest een foto maakt van dansende kinderen, en
dat op Facebook plaatst, is daar zelf verantwoordelijk voor.
Maar er mag wel van de school worden verwacht dat er afs...
Help Desk Software van Kayako