Privacyreglement

2. Definities

Inbreuk i.v.m. persoons-gegevens ( ‘datalek’)

Melding van een inbreuk aan de Autoriteit Persoonsgegevens

Melding van een inbreuk aan de betrokkene

Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens. Dit wordt ook wel ‘datalek’ genoemd.

Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de overeenkomstig artikel 55 van de AVG bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de toezichthoudende autoriteit niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.

Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee.

2. Dit reglement is van toepassing op alle persoonsgegevens van de betrokkene die door Spaarnesant worden verwerkt. Het reglement heeft tot doel:

a. de persoonlijke levenssfeer van de betrokkenen te beschermen tegen verkeerd en onbedoeld gebruik van de persoonsgegevens;

b. vast te stellen met welk doel en op welke (juridische) grondslag persoonsgegevens binnen Spaarnesant worden verwerkt;

c. ook overigens te borgen dat persoonsgegevens binnen Spaarnesant rechtmatig, transparant en behoorlijk worden verwerkt;

d. de rechten van betrokkenen vast te leggen en te borgen dat deze rechten door Spaarnesant worden gerespecteerd.

a. de organisatie of het geven van het onderwijs, de begeleiding van leerlingen, het voorzien in hun (extra) ondersteuningsbehoefte, dan wel het geven van studieadviezen;

b. het verstrekken en/of ter beschikking stellen van leermiddelen;

c. het bewaken van de veiligheid binnen de scholen en het beschermen van eigendommen van medewerkers, leerlingen en bezoekers;

d. het bekend maken van informatie over de organisatie en leermiddelen als bedoeld, onder a en b, alsmede van informatie over de leerlingen op de eigen website van Spaarnesant of de betrokken scholen;

e. het bekend maken van de activiteiten van de organisatie, bijvoorbeeld op de website van Spaarnesant of van de scholen, in brochures of de schoolgids of via social media;

f. het berekenen, vastleggen en innen van inschrijvingsgelden, school- en lesgelden en bijdragen of vergoedingen voor leermiddelen en buitenschoolse activiteiten, waaronder begrepen het in handen van derden stellen van vorderingen;

g. het aanvragen van bekostiging, het behandelen van geschillen daarover en het doen uitoefenen van accountantscontrole;

h. het onderhouden van contacten met oud-leerlingen;

i. het aangaan en uitvoeren van arbeidsovereenkomsten, samenwerkingsrelaties met opdrachtnemers en contracten met leveranciers;

j. de uitvoering of toepassing van wet- en regelgeving;

k. juridische procedures waarbij Spaarnesant betrokken is.

2. De verwerking van persoonsgegevens mag ook plaatsvinden voor doelen die verenigbaar zijn met de doelen zoals beschreven in lid 1.

a.     De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan Spaarnesant is opgedragen.

Het gaat hier bijvoorbeeld om het vaststellen van eindexamencijfers, verzuim  en verwijdering.

b.     De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op Spaarnesant rust.

Het gaat hier specifiek om de wettelijke verplichtingen die voortvloeien uit de Wet op het primair onderwijs en de WEC. Daarnaast kunnen wij medische gegevens verwerken in het kader van onze zorgplicht. Deze persoonsgegevens mag de school uitwisselen met het samenwerkingsverband. De wettelijke grondslag is hiervoor bepaald in artikel 30 lid 2 sub a van de Uitvoeringswet AVG, artikel 18a van de Wet op het primair onderwijs.

c.      De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is (bijvoorbeeld de arbeidsovereenkomst) of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen.

Het gaat hier tevens om de uitvoering van de onderwijsovereenkomst en voor medewerkers de arbeidsovereenkomst.

d.     De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van Spaarnesant of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene zwaarder wegen, met name wanneer de betrokkene een kind is; in het kader van deze grondslag zal dus een belangenafweging moeten plaatsvinden.

Het gaat hierbij bijvoorbeeld aan het verweken van persoonsgegevens in verband met de beveiliging van eigendommen en een veilige schoolomgeving.

e.     De verwerking is noodzakelijk om de vitale belangen van de betrokkene of een andere natuurlijke persoon te beschermen (levensbelang).

f.      De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden.

Als voor het verwerken van gegevens toestemming wordt gevraagd zoals voor het gebruik van beeld- en / of geluidsmateriaal (foto’s en video’s) dan kunt u de toestemming op elk moment intrekken of alsnog geven. Wijziging van toestemming is niet van toepassing op inmiddels gepubliceerd beeldmateriaal.

a. de verwerker die van Spaarnesant de opdracht heeft gekregen om persoonsgegevens te verwerken, maar alleen voor zover dat noodzakelijk is in het licht van de gemaakte afspraken;

b. derden voor zover uit de wet voortvloeit dat Spaarnesant verplicht is om toegang te geven of sprake is van een (andere) grondslag voor deze verwerking, bijvoorbeeld de vervulling van een taak van algemeen belang.

Binnen Spaarnesant wordt gewerkt met een procedure voor logische toegang en is een autorisatiematrix opgesteld. De toegang tot persoonsgegevens voor systemen (zoals ParnasSys of ESIS, zijnde de leerling administratiesystemen) zijn persoonsgebonden. Op deze systemen is een extra beveiliging ingesteld via een zogenaamde ‘two factor authenticatie’ (‘2FA’). Dit betekent dat een medewerker, naar het invoeren van een inlognaam en wachtwoord ook een 2^e factor (sms of authenticator App, of een code gegenereerd via een token) moet invoeren om toegang te krijgen tot de gegevens die noodzakelijk zijn voor de goede uitvoering van de taken. Zorg- of medische gegevens zijn alleen toegankelijk voor de zorgmedewerkers (Interne begeleiders). De toegang tot het systeem voor kantoorautomatisering (Microsoft) is tevens beschermd met een 2FA toegang.

      geheimhouding

2. Bij de beveiligingsmaatregelen wordt rekening gehouden met de stand van de techniek, de uitvoeringskosten, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkenen.

3. Een ieder die betrokken is bij de verwerking van persoonsgegevens binnen Spaarnesant is verplicht tot geheimhouding van de betreffende persoonsgegevens, en zal deze gegevens slechts verwerken voor zover dat noodzakelijk is voor de uitoefening van de betreffende functie, werkzaamheden of taak.

Bij het verstrekken van de betreffende gegevens verschaft Spaarnesant

voorts informatie over:

–        de verwerkingsdoeleinden;

–        de categorieën van persoonsgegevens die worden verwerkt;

–        de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;

–        (indien van toepassing) ontvangers in derde landen of internationale organisaties;

–        (indien mogelijk) hoe lang de gegevens worden bewaard;

–        dat de betrokkene het recht heeft om te verzoeken dat de persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van de persoonsgegevens wordt beperkt, alsmede dat hij het recht heeft om bezwaar te maken tegen de verwerking van de persoonsgegevens;

–        het feit dat de betrokkene een klacht kan indienen bij de Autoriteit Persoonsgegevens, dan wel een beroep op de rechter kan doen;

–        de bron van de persoonsgegevens, indien de persoonsgegevens niet van de betrokkene zelf zijn verkregen;

–        het eventueel toepassen van geautomatiseerde besluitvorming en de betreffende onderliggende logica en het belang en de gevolgen voor de betrokkene;

–        de passende waarborgen indien de persoonsgegevens worden doorgegeven aan een derde land of een internationale organisatie.

Beperken verwerking

Kennisgevingsplicht

d.     De betrokkene kan voorts verzoeken om de verwerking van zijn persoonsgegevens te beperken, namelijk indien hij een verzoek tot verbetering heeft gedaan, indien hij bezwaar heeft gemaakt tegen de verwerking, als de persoonsgegevens niet meer nodig zijn voor het doel van de verwerking of als de gegevensverwerking onrechtmatig is. Spaarnesant staakt dan de verwerking, tenzij de betrokkene toestemming heeft gegeven voor de verwerking, Spaarnesant de gegevens nodig heeft voor een rechtszaak of de verwerking nodig is ter bescherming van de rechten van een andere persoon of vanwege gewichtige redenen.

e.     Als Spaarnesant op verzoek van een betrokkene een verbetering of verwijdering van persoonsgegevens heeft uitgevoerd, of de verwerking van persoonsgegevens heeft beperkt, zal Spaarnesant eventuele ontvangers van de betreffende persoonsgegevens daarover informeren.

Vervolgens komt dit binnen bij de privacy officer van Spaarnesant. Het verzoek wordt in behandeling genomen door de privacy officer in samenwerking met de school. Indien nodig wordt de FG geraadpleegd. Het verzoek wordt uiteindelijk namens de verwerkingsverantwoordelijke afgehandeld.

14. Meldplicht data-
lekken

15. Rollen en

      verantwoordelijk-   

      heden

16. Bewustwording

controle en naleving

a) de contactgegevens van Spaarnesant;

b) de contactgegevens van de functionaris voor gegevensbescherming van Spaarnesant;

c) de doeleinden van de gegevensverwerking en de grondslagen voor de verwerking;

d) een omschrijving van de belangen van Spaarnesant indien de verwerking wordt gebaseerd op het gerechtvaardigd belang van Spaarnesant;

e) de (categorieën) ontvangers van de persoonsgegevens, zoals verwerkers of derden;

f) in voorkomend geval: of de persoonsgegevens worden verzonden aan landen buiten de Europese Economische Ruimte (EER);

g) hoe lang de persoonsgegevens zullen worden bewaard;

h) dat de betrokkene het recht heeft om Spaarnesant te verzoeken om inzage, verbetering of verwijdering van persoonsgegevens, en dat hij het recht heeft om te verzoeken om beperking van de verwerking, om bezwaar te maken of om een beroep te doen op het recht van gegevensoverdraagbaarheid;

i) dat de betrokkene het recht heeft om zijn toestemming in te trekken, als de gegevensverwerking is gebaseerd op toestemming;

j) dat de betrokkene het recht heeft om een klacht in te dienen bij de Autoriteit Persoonsgegevens, dan wel een beroep kan doen op de rechter;

k) of de verstrekking van de persoonsgegevens een wettelijke of contractuele verplichting is, dan wel een noodzakelijke voorwaarde is om een overeenkomst te kunnen sluiten, en of de betrokkene verplicht is om de persoonsgegevens te verstrekken en wat de gevolgen zijn indien hij de persoonsgegevens niet verstrekt;

l) het bestaan van geautomatiseerde besluitvorming, vergezeld van nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.

Een ieder die betrokken is bij een verwerking van persoonsgegevens is verplicht om een datalek per ommegaande te melden bij het meldpunt datalekken van Spaarnesant, dan wel bij de FG (fg@spaarnesant.nl), dit conform het beleid en procedure datalekken van Spaarnesant. Het meldpunt wordt uitgevoerd door de privacybeheerder en de functionaris gegevensbescherming van Spaarnesant.

Het zorgvuldig omgaan met Persoonsgegevens is ieders verantwoordelijkheid. Er wordt van medewerkers, leerlingen maar ook van hun wettelijk vertegenwoordiger(s) verwacht dat ze zich integer gedragen. Niet acceptabel is dat door al dan niet opzettelijk gedrag onveilige situaties ontstaan die leiden tot schade en/of imagoverlies van Spaarnesant of van individuen.

De directeuren zijn verantwoordelijkheid voor het zorgvuldig verwerken van persoonsgegevens op hun scholen. Dit omvat ook de keuze van maatregelen en de uitvoering en handhaving ervan. Onder deze verantwoordelijkheid valt ook de taak om het beleid met betrekking tot de verwerking van persoonsgegevens te communiceren met alle bij de school betrokken partijen. Om de verwerkingen van persoonsgegevens gestructureerd en gecoördineerd op te pakken worden binnen Spaarnesant specifieke rollen onderkend. De feitelijke verwerking van persoonsgegevens wordt echter op allerlei plaatsen in de organisatie uitgevoerd.

Bestuurder

De bestuurder van Spaarnesant is, in de zin van de AVG, eindverantwoordelijk voor de rechtmatige en zorgvuldige verwerking van persoonsgegevens binnen de gehele organisatie.

Functionaris gegevensbescherming

Spaarnesant maakt gebruik van een toezichthouder op de verwerking van persoonsgegevens. Deze toezichthouder wordt functionaris voor de gegevensbescherming (FG) genoemd. De FG houdt toezicht op de toepassing en naleving van de AVG. De wettelijke taken en bevoegdheden van de FG geven deze functionaris een onafhankelijke positie bij Spaarnesant. De wet stelt een aantal eisen aan FG’s. Zo moet een FG voldoende kennis hebben van de organisatie en de privacywetgeving. Ook moet de FG betrouwbaar zijn, wat zich onder meer uit in een geheimhoudingsplicht. Een FG heeft geen formele sanctiebevoegdheden. Maar de organisatie is wel wettelijk verplicht om de FG controlebevoegdheden te geven. Zo moet een FG bevoegd zijn om ruimtes te betreden, zaken te onderzoeken en inlichtingen en inzage te vragen. De FG moet in onafhankelijkheid zijn werkzaamheden kunnen verrichten.

Systeemeigenaar

De systeemeigenaar is er verantwoordelijk voor dat de applicaties en bijbehorende ICT-faciliteiten een goede ondersteuning bieden aan het onderwijsproces. Dit betekent dat de systeemeigenaar ervoor zorgt dat zowel nu, als in de toekomst de applicaties blijven beantwoorden aan de eisen en wensen van de gebruikers en aan wet- en regelgeving.

Leidinggevende/schooldirecteur

Het creëren van bewustwording en de naleving van het beleid is onderdeel van de integrale bedrijfsvoering. Iedere leidinggevende heeft de taak om:

• er voor te zorgen dat zijn medewerkers op de hoogte zijn van het beleid;

• toe te zien op de naleving van het beleid door zijn medewerkers;

• periodiek het onderwerp privacy onder de aandacht te brengen.

Het stellen van regels en het treffen van maatregelen is niet voldoende om risico’s op het terrein van informatiebeveiliging en privacy uit te sluiten. De mens is hier een belangrijke factor. Daarom wordt het bewustzijn van de individuele medewerkers voortdurend aangescherpt, zodat de kennis van risico’s wordt verhoogd en veilig en verantwoord gedrag wordt aangemoedigd. Spaarnesant is hierin een lerende organisatie. Dat betekent ook dat regelmatig nagegaan wordt of dit reglement (nog) goed werkt in de praktijk. Daarnaast maken technologische en organisatorische ontwikkelingen binnen en buiten Spaarnesant het noodzakelijk om periodiek te bezien of we nog voldoende op koers zitten met het huidige reglement. Audits door de FG maken het mogelijk het beleid en de genomen maatregelen te controleren op effectiviteit. Eventueel kunnen ook controles worden uitgevoerd door onafhankelijke auditers of accountants. Van belang hierbij is dat leidinggevenden en proceseigenaren hun verantwoordelijkheid nemen en hun medewerkers aanspreken in geval van tekortkomingen.

2. Als een klacht naar de mening van betrokkene door Spaarnesant niet correct is afgewikkeld, kan hij zich wenden tot de rechter of de Autoriteit Persoonsgegevens.

2. Het Bestuur kan dit reglement wijzigen na instemming van de GMR.