Samenwerkingsverband VO 23.05 IJssel-Vecht (statutair: Stichting VO2305)

Samenwerkingsverband

VO 23.05 IJssel-Vecht

(statutair: Stichting VO2305)

Inhoud

1. Inleiding 4

1.1. Toelichting Privacy 4

1.2. Toelichting Informatiebeveiliging 4

1.3. Vervlechting Informatiebeveiliging en Privacy 4

2. Doelstelling en reikwijdte van hetbeleid 5

2.1. Doel 5

2.2. Reikwijdte 5

3. Uitgangspunten 5

3.1. Algemene beleidsuitgangspunten 5

3.2. Uitgangspunten privacy 6

4. Verwerkingen van persoonsgegevens 7

4.1. Persoonsgegevens 7

4.2. Verwerkingen 7

4.2.1 Register van verwerkingsactiviteiten 7

4.3. Doel van de verwerkingen 7

4.4. Grondslagen 8

4.5. Verstrekkingen aan derden 8

4.6. Beveiliging 8

4.7. Verwerkersovereenkomsten 8

5. Toegang tot de persoonsgegevens 8

6. Organisatie 8

7. Rechten van betrokkenen 9

7.1. Recht op informatie 9

7.2. Recht op inzage 9

7.3. Recht op rectificatie 9

7.4. Recht op gegevenswissing en bezwaar 10

7.5. Recht op beperking van de verwerking 10

7.6. Recht op overdraagbaarheid van gegevens 10

7.7. Klachten gerelateerd aan de verwerking van persoonsgegevens 10

8. Incidenten en datalekken 11

8.1. Protocol incidenten en datalekken 11

9. Bewaartermijnen 11

10. Data Protection Impact Assessments 11

11. Privacy by design en default 12

12. Controle en rapportage 12

12.1. Voorlichting en bewustzijn 12

12.2. Periodieke rapportage 12

1. Inleiding

Stichting VO2305 (hierna te noemen SWV) is een wettelijk verplicht orgaan dat persoonsgegevens gebruikt voor het bepalen van de toelaatbaarheid tot het voortgezet speciaal onderwijs en het Praktijkonderwijs. Dit betekent dat het SWV omgaat met persoonsgegevens van leerlingen van scholen. Het SWV vindt het belangrijk dat met deze persoonsgegevens zorgvuldig wordt omgegaan. Het verwerken van persoonsgegevens brengt namelijk een grote verantwoordelijkheid met zich mee. Betrokkenen vertrouwen het SWV persoonsgegevens toe. Misbruik van deze gegevens kan grote gevolgen hebben.

In dit Privacybeleidsdocument van het SWV wordt beschreven hoe het SWV omgaat met de verwerkingen van persoonsgegevens van betrokkenen. Het SWV houdt zich hierbij aan de van toepassing zijnde wet- en regelgeving (Algemene Verordening Gegevensbescherming) en richtlijnen van de Autoriteit Persoonsgegevens.

Dit Privacybeleid wordt periodiek onderhouden.

1.1. Toelichting Privacy

Privacy gaat over persoonsgegevens. Persoonsgegevens dienen beschermd te worden. Bescherming van de privacy regelt onder andere onder welke voorwaarden persoonsgegevens gebruikt mogen worden.

Persoonsgegevens zijn hierbij alle gegevens die herleidbaar zijn tot een bepaald individu.

Onder verwerking wordt verstaan elke handeling met betrekking tot persoonsgegevens. De wet noemt als voorbeelden van verwerking: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekking door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.

1.2. Toelichting Informatiebeveiliging

Onder informatiebeveiliging wordt verstaan het treffen en onderhouden van een samenhangend pakket aan maatregelen om de kwaliteitsaspecten van de informatievoorziening te garanderen.

Deze aspecten zijn:

• Beschikbaarheid: de mate waarin gegevens en/of functionaliteiten beschikbaar zijn op de juiste momenten.

• Integriteit: de mate waarin gegevens en/of functionaliteiten juist en volledig zijn.

• Vertrouwelijkheid: de mate waarin de toegang tot gegevens en/of functionaliteiten beperkt is tot degenen die daartoe bevoegd zijn.

Onvoldoende informatiebeveiliging kan leiden tot onacceptabele risico’s bij de uitvoering van de bedrijfsvoering. Incidenten en inbreuken in deze processen kunnen leiden tot financiële schades en imagoverlies.

1.3. Vervlechting Informatiebeveiliging en Privacy

Uit voorgaande blijkt dat informatiebeveiliging een belangrijk onderdeel is van privacy, terwijl omgekeerd de zorgvuldige omgang met persoonsgegevens noodzakelijk is voor informatiebeveiliging. Beide begrippen staan naast elkaar, en zijn van elkaar afhankelijk.

Het SWV werkt met het systeem Kindkans, dat waarborgt het Informatiebeveiligingsbeleid.

2. Doelstelling en reikwijdte van het beleid

2.1. Doel

Dit beleid is zo opgesteld dat het aan de vereisten van de wet- en regelgeving, met name de Algemene Verordening Gegevensbescherming (hierna: AVG), voldoet. Maar ook zodanig dat het past binnen de doelstellingen van het SWV.

Dit beleid heeft tot doel:

• Het waarborgen van de continuïteit van de bedrijfsvoering.

• Beleidsregels te stellen aan het SWV voor het verwerken van persoonsgegevens, zodat de privacy van betrokkenen gegarandeerd is en beveiligings- en privacy-incidenten en de eventuele gevolgen hiervan worden voorkomen.

• Bij te dragen aan de transparantie van de regels die door het SWV worden gehanteerd met betrekking tot de verwerking van persoonsgegevens.

• Om ervoor te zorgen dat het SWV continu ‘in control’ is over de persoonsgegevens die zij verwerkt in het kader van de (contractuele)verplichtingen.

• Een uitvoerend kader te scheppen om de naleving van de verantwoordingsplicht zoals gesteld in art. 5 AVG na te komen.

2.2. Reikwijdte

Het beleid heeft betrekking op het verwerken van persoonsgegevens van alle betrokkenen.

Het SWV kent geen medewerkers, anders dan via inhuur en via detachering.

3. Uitgangspunten

3.1. Algemene beleidsuitgangspunten

De belangrijkste beleidsuitgangspunten bij het SWV zijn:

• Privacybescherming dient te voldoen aan alle relevante wet- en regelgeving, in het bijzonder aan de Algemene Verordening Gegevensbescherming.

• De verwerking van persoonsgegevens is gebaseerd op één van de wettelijke grondslagen.

• Binnen het SWV is het veilig en betrouwbaar omgaan met informatie de verantwoordelijkheid van iedereen. Hierbij hoort niet alleen het actief bijdragen aan de veiligheid van geautomatiseerde systemen en de daarin opgeslagen informatie, maar ook van fysieke documenten.

• Het SWV is als rechtspersoon eigenaar van de persoonsgegevens die onder haar verantwoordelijkheid worden verwerkt.

• Er is een balans tussen de risico’s van hetgeen het SWV wil beschermen en de benodigde investeringen en maatregelen.

• Het SWV sluit met alle leveranciers verwerkersovereenkomsten af als zij persoonsgegevens ontvangen van het SWV. Dit doet zich echter niet voor.

• Privacybescherming is bij het SWV een continu proces, waarbij regelmatig (minimaal jaarlijks) wordt geëvalueerd en wordt gekeken of aanpassing van beleid, procedures en richtlijnen gewenst is.

• Bij wijzigingen in de infrastructuur of de aanschaf van nieuwe (informatie)systemen, wordt bij het SWV vanaf de start rekening gehouden met informatiebeveiliging en privacy.

3.2. Uitgangspunten privacy

De uitgangspunten met betrekking tot de omgang van persoonsgegevens bij het SWV zijn:

1. Doelbepaling en doelbinding: persoonsgegevens worden alleen gebruikt voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Deze doeleinden zijn concreet en voorafgaand aan de verwerking vastgesteld. Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doelen waarvoor ze zijn verkregen.

2. Grondslag: verwerking van Persoonsgegevens is gebaseerd op een van de wettelijke grondslagen: toestemming, overeenkomst, de wet, publiekrechtelijke taak, vitaal belang van de betrokkene, of gerechtvaardigd belang.

3. Dataminimalisatie: bij de verwerking van Persoonsgegevens blijft de hoeveelheid en het soort gegevens beperkt: het type persoonsgegevens moet redelijkerwijs nodig zijn om het doel te bereiken; ze in verhouding staan tot het doel (= proportioneel). Het doel kan niet met minder, alternatieve of andere gegevens worden bereikt. Dit betekent ook dat data niet langer wordt bewaard dan noodzakelijk.

4. Behoorlijk en transparant: Het SWV legt aan betrokkenen op transparante wijze verantwoording af over het gebruik van hun persoonsgegevens. Deze informatievoorziening vindt ongevraagd plaats. Daarnaast hebben deze betrokkenen recht op verbetering, aanvulling, verwijdering of afscherming van hun Persoonsgegevens. Daarnaast kunnen betrokkenen zich verzetten tegen het gebruik van hun gegevens.

5. Data-integriteit: er zijn maatregelen getroffen om te waarborgen dat de te verwerken Persoonsgegevens juist en actueel zijn.

6. Vertrouwelijkheid: er zijn passende organisatorische en technische beveiligingsmaatregelen getroffen zodat een passende beveiliging van de verwerking van Persoonsgegevens is gegarandeerd. Persoonsgegevens zijn beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

7. Verantwoordingsplicht: de verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van bovenstaande uitgangspunten (beginselen) en kan dit aantonen.

4. Verwerkingen van persoonsgegevens

In dit hoofdstuk is beschreven welke persoonsgegevens door het SWV worden verwerkt, wat de grondslag daarvan is, hoe deze gegevens worden verkregen en wat er met de gegevens wordt gedaan. Bijzondere persoonsgegevens komen in het hier opvolgende hoofdstuk aan bod.

4.1. Persoonsgegevens

Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze door het SWV verwerkt. Dit betekent o.a. dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verkregen.

Het SWV verwerkt persoonsgegevens die op basis van de wetgeving (WVO en WEC) door schoolbesturen worden aangeleverd zodat er voldoende informatie is om tot een besluit te komen over toelaatbaarheid (de TLV). Tevens wordt het SWV op basis van de wetgeving geadviseerd door twee deskundigen, zij leveren de onderbouwing van de TLV in de Commissie Toewijzing.

4.2. Verwerkingen

Vanwege de wettelijke TLV taak heeft het SWV de persoonsgegevens nodig om deze taak op een juiste manier uit te voeren.

Hierbij gaat het globaal om de volgende gegevens

• NAW gegevens leerlingen en ouders,

• Schoolloopbaan gegevens,

• Onderzoeksgegevens (indien aanwezig).

Het SWV verwerkt niet meer persoonsgegevens dan noodzakelijk is. Op deze wijze geeft het SWV invulling aan het ‘need to know’ principe.

4.2.1 Register van verwerkingsactiviteiten

Het SWV houdt conform art. 30 en art. 5 lid 2 AVG een verwerkingsregister bij waarin alle soorten persoonsgegevens en verwerkingen worden bijgehouden. Tevens wordt in een procedure uitgewerkt op welke wijze mutaties in het verwerkingsregister worden bijgehouden.

Per verwerkingsactiviteit wordt het volgende in het verwerkingsregister geregistreerd:

• de doeleinden van de gegevensbewerking;

• een beschrijving van de categorieën betrokkenen;

• een beschrijving van de categorie persoonsgegevens;

• de categorie ontvangers;

• de bewaartermijnen;

• een algemene beschrijving van de beveiligingsmaatregelen.

4.3. Doel van de verwerkingen

De wettelijke doelen waarvoor het SWV persoonsgegevens verwerkt zijn het beoordelen of een TLV noodzakelijk is.

Het SWV draagt er zorg voor dat persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt. Persoonsgegevens worden alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht.

4.4. Grondslagen

Persoonsgegevens worden door het SWV conform artikel 6 en artikel 9 AVG slechts verwerkt als er sprake is van minimaal één van de volgende grondslagen:

1. De betrokkene heeft voor de verwerking van persoonsgegevens voor een of meer specifieke doeleinden zijn toestemming verleend.

2. De verwerking van persoonsgegevens is noodzakelijk om een wettelijke verplichting na te komen waaraan het SWV onderworpen is.

3. De gegevensverwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang van het SWV of een derde, tenzij het belang van de betrokkenen prevaleert.

4.5. Verstrekkingen aan derden

Het SWV verstrekt in het kader van de dienstverlening geen gegevens aan derden.

4.6. Beveiliging

Het SWV is zich bewust van het belang van de beveiliging van persoonsgegevens voor de betrokkene. Persoonsgegevens van de betrokkenen zijn beveiligd met adequate organisatorische en technische middelen via Kindkans.

4.7. Verwerkersovereenkomsten

Het SWV sluit met partijen die – eventueel - namens het SWV verwerkingen verrichten een verwerkingsovereenkomst. In deze verwerkersovereenkomst zijn alle verplichtingen vastgelegd waaraan een verwerker op grond van geldende wet- en regelgeving (art. 28 AVG) moet voldoen. Daarnaast is opgenomen welke persoonsgegevens worden uitgewisseld, de verantwoordelijkheden van beide partijen, wat de beveiligingseisen zijn, wat de procedure is ingeval van een datalek.

5. Toegang tot de persoonsgegevens

De toegang tot de persoonsgegevens binnen het SWV is geregeld via een zogenaamde autorisatiematrix. Dit betekent dat uitgewerkt is welke betrokkenen (rollen en taken/verantwoordelijkheden) met welke persoonsgegevens mogen werken.

De toegang tot persoonsgegevens in rollen en taken/verantwoordelijkheden is uitgeschreven in de procedure Kindkans. Hierbij geldt als uitgangspunt welke betrokkenen persoonsgegevens objectief gezien nodig hebben voor een goede uitvoering van hun taak. Deze autorisatiematrix wordt periodiek onderhouden en binnen het SWV wordt regelmatig gecontroleerd of de autorisaties conform het beleid zijn toegepast.

6. Organisatie

Het bestuur is eindverantwoordelijk voor het privacybeleid en stelt het beleid en de basismaatregelen op het gebied van informatiebeveiliging en privacy vast.

7. Rechten van betrokkenen

De AVG geeft betrokkenen diverse rechten. In dit hoofdstuk is uitgewerkt hoe het SWV hieraan invulling geeft.

7.1. Recht op informatie

Het SWV is wettelijk verplicht informatie te geven aan betrokkenen van wie zij persoonsgegevens verwerkt. Zij moet betrokkenen informeren welke persoonlijke gegevens zij verwerkt en met welk doel. Op het moment dat de persoonsgegevens door het SWV worden verwerkt, rust op het SWV de plicht om de betrokkene te informeren. De regels van art. 12, 13 en 14 AVG worden hierbij in acht genomen.

Het SWV stelt deze informatie op de website beschikbaar en ook rechtstreeks aan de betrokkene op het moment dat het SWV de persoonsgegevens gaat verwerken.

NB

Deze informatieplicht vindt plaats via de aanvragers (schoolbesturen) van een TLV; scholen leggen het zgn. Ondertekeningsformulier vóór aan ouders waarin de school toestemming vraagt aan ouders voor het indienen van een TLV-aanvraag met bijbehorende documenten bij het SWV. Tevens informeert het SWV aan ouders de uitslag hiervan; de TLV wordt conform wetgeving toegestuurd en indien van toepassing wordt hierover nadere informatie gegeven door het SWV aan ouders.

7.2. Recht op inzage

Een betrokkene kan bij het SWV een verzoek indienen om een overzicht van verwerkingen op te vragen. Het SWV zal de betrokkene binnen een maand laten weten:

• of het SWV zijn persoonsgegevens gebruikt, en zo ja:

• om welke gegevens het gaat;

• wat het doel is van het gebruik alsmede de bewaartermijnen;

• aan wie het SWV de gegevens heeft verstrekt;

• wat de herkomst is van de gegevens.

Het verzoek kan naar xx@xxxxxxxxxxxxxxxx.xx worden gestuurd. De medewerker die het verzoek behandelt kan eventueel advies bij de FG opvragen. Indien er twijfel is over de identiteit van betrokkene moet deze net als bij het recht op inzage een kopie van het identiteitsbewijs kunnen tonen. Na vaststelling van de identiteit wordt de kopie van het identiteitsbewijs gewist.

7.3. Recht op rectificatie

Indien uit het verstrekte overzicht blijkt dat de persoonsgegevens feitelijk onjuist zijn, voor het doel van de verwerking onvolledig of niet ter zake dienend dan wel anderszins in strijd met een wettelijk voorschrift, kan de betrokkene schriftelijk om verbetering, aanvulling, verwijdering en/of afscherming van het/de betreffende persoonsgegeven(s) verzoeken. Binnen een maand zal het SWV laten weten of er aan dit verzoek gehoor wordt gegeven. Als er niet of niet volledig aan het verzoek wordt voldaan zal het SWV dit schriftelijk toelichten. Wijzigingen kunnen schriftelijk of per e-mail worden doorgeven. Indien er twijfel is over de identiteit van betrokkene moet deze net als bij het recht op inzage een kopie van het identiteitsbewijs kunnen tonen. Na vaststelling van de identiteit wordt de kopie van het identiteitsbewijs gewist.

7.4. Recht op gegevenswissing en bezwaar

Het SWV wist persoonsgegevens van betrokkene zonder onredelijke vertraging, o.a. indien:

• persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;

• de betrokkene zijn toestemming intrekt en er geen andere rechtsgrond voor verwerking bestaat;

• de persoonsgegevens onrechtmatig verwerkt zijn.

In het hoofdstuk bewaartermijnen staat hoe lang het SWV persoonsgegevens van betrokkenen bewaart.

De betrokkene heeft ook het recht om bezwaar aan te tekenen tegen het gebruik van zijn persoonsgegevens. Dit kan als er sprake is van met zijn specifieke situatie verband houdende redenen, tenzij het SWV dwingende gerechtvaardigde gronden heeft om de gegevens wel te verwerken.

Het SWV laat binnen een maand gemotiveerd weten of het verzoek wordt gehonoreerd.

7.5. Recht op beperking van de verwerking

Indien de juistheid van persoonsgegevens door de betrokkene worden betwist, de verwerking onrechtmatig is, de betrokkene de gegevens nodig heeft, dan wel de betrokkene bezwaar heeft gemaakt, dan kan betrokkene een beroep doen op dit recht.

Het SWV laat binnen een maand gemotiveerd weten of het verzoek wordt gehonoreerd.

7.6. Recht op overdraagbaarheid van gegevens

Betrokkenen hebben het recht om de persoonsgegevens die het SWV van de betrokkene verwerkt te verkrijgen in een gestructureerde, gangbare en leesbare vorm. Betrokkenen hebben vervolgens het recht om deze gegevens over te dragen of rechtstreeks te laten overdragen, zonder daarbij gehinderd te worden tenzij dit afbreuk doet aan rechten en vrijheden van anderen. Een betrokkene heeft recht op overdraagbaarheid voor zover het gaat om door hem zelf verstrekte gegevens.

Als betrokkenen van dit recht gebruik willen maken dan kunnen zij per e-mail een verzoek indienen. De betrokkene ontvangt vervolgens per e-mail in PDFformaat de informatie.

7.7. Klachten gerelateerd aan de verwerking van persoonsgegevens

Klachten betreffende de bescherming van de privacy van de betrokkene worden behandeld via de klachtenregeling privacy van het SWV. Hierbij wordt – bij de behandeling van de klacht - vermeld dat de betrokkene zich na afhandeling van de klacht zich kan wenden tot de Autoriteit Persoonsgegevens.

8. Incidenten en datalekken

Organisaties die een ernstig datalek hebben, moeten dit melden bij de AP en in bepaalde gevallen ook aan de betrokkenen van wie de gegevens gelekt zijn. In het jaarverslag is te lezen hoe het SWV met de meldingsplicht omgaat.

8.1. Protocol incidenten en datalekken

Het SWV meldt meldingplichtige datalekken onverwijld aan de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens heeft hierover beleidsregels bekendgemaakt. Het SWV heeft een beleid en procedure datalekken waarin staat beschreven welke stappen moeten worden ondernomen op het moment dat er een vermoeden van een datalek is.

9. Bewaartermijnen

Om een goede administratie bij te kunnen houden, moet een organisatie bepaalde persoonsgegevens kunnen bewaren. Er zijn op de grond van de AVG geen concrete bewaartermijnen voor persoonsgegevens. Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren. Het SWV dient zich af te vragen of er redenen zijn op grond waarvan persoonsgegevens vastgelegd kunnen blijven. Bepalend hierbij is uit uitgangspunt dat persoonsgegevens niet langer bewaard worden dan strikt noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor de gegevens zijn verzameld en worden verwerkt. Wel gelden er op basis van andere wetten minimale en maximale bewaartermijnen. Het SWV heeft de wettelijke taak gegevens drie jaar (na beëindiging van de TLV) te bewaren of indien noodzakelijk deze termijn te verlengen tot de leerling de leeftijd van 21 jaar heeft bereikt vanwege mogelijke verlengingsaanvragen van de TLV.

10. Data Protection Impact Assessments

Voorafgaand aan nieuwe verwerkingen en na belangrijke aanpassingen van bestaande verwerkingen beslist het SWV of zij een Data Protection Impact Assessment (gegevensbeschermingseffectbeoordeling in het Nederlands, hierna: DPIA) uitvoert. Het SWV voert een DPIA uit als de verwerking gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkene.

De DPIA bevat een analyse van de beoogde verwerking, de doeleinden, de noodzaak, de grondslagen, mogelijke risico’s voor de betrokkene en waarborgen die het SWV treft om eventuele risico’s te vermijden. Degenen die betrokken zijn bij de ontwikkeling van een nieuw product of een review voeren de DPIA uit. De uitvoerders winnen (indien nodig) advies in bij de FG. Alle DPIA’s worden zorgvuldig gearchiveerd, zodat altijd alle afwegingen van risico’s en de bescherming van de belangen van betrokkenen zijn terug te vinden.

Het SWV maakt gebruik van het instrument Kindkans, de eigenaar van het instrument voert de DPIA uit.

11. Privacy by design en default

Technologische ontwikkelingen gaan sneller dan ooit. Daarvan kan iedereen profiteren. Bedrijven zoals het SWV maar zeker ook klanten die gebruik kunnen maken van nieuwe producten en diensten. Nog meer dan voorheen is het belangrijk om ook bij innovatieve ontwikkelingen van meet af aan actief rekening te houden met de privacyaspecten van de ontwikkeling. Als uitgangspunt geldt dat persoonsgegevens niet zonder meer door het SWV mogen worden verwerkt maar uitsluitend wanneer dit noodzakelijk is voor een gerechtvaardigd doel, proportioneel is en hierbij wordt uitgegaan van dataminimalisatie en de gekozen werkwijze zo min mogelijk inbreuk maakt op de bescherming van persoonsgegevens. Dit vergt een juiste omgang met en gebruik van persoonsgegevens en daarmee een niet aflatende inzet van het SWV, zowel bij aanvang van een nieuwe verwerkingsmethode alsook nadien. Bij de ontwikkeling van nieuwe diensten zal er daarom ook altijd een DPIA worden uitgevoerd. De DPIA is daarnaast als een vast onderdeel opgenomen bij de uitvoering van een productreview.

Doel hierbij is om de juiste technische en organisatorische maatregelen te treffen, om ervoor te zorgen dat alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor de diverse specifieke doelen.

12. Controle en rapportage

Het opstellen van dit privacybeleid is een van de eerste stappen in het proces om ‘in control’ te zijn over de verwerking van persoonsgegevens binnen HETSWV. Artikel 5 lid 2 AVG schrijft voor dat de verwerkingsverantwoordelijke verantwoordelijk is voor de naleving van de verplichtingen uit hoofde van de AVG en deze kan aantonen (‘verantwoordingsplicht’). Daarom is het SWV er met alleen het documenteren nog niet. Beleid dient niet alleen te worden vastgesteld door beleidsbepalers maar dient vooral te worden uitgevoerd door de organisatie. Privacybewustzijn in alle lagen van de organisatie is daarom belang.

In dit hoofdstuk wordt uitgewerkt hoe het SWV invulling geeft aan voorlichting en bewustzijn en wat de maatregelen zijn om in continuïteit te kunnen aantonen dat het SWV voldoet aan de privacywet AVG.

12.1. Voorlichting en bewustzijn

Beleid en maatregelen zijn niet voldoende om risico’s op het terrein van informatiebeveiliging en privacy uit te sluiten. In de praktijk blijkt de mens meestal de belangrijkste speler. Daarom wordt bij Het SWV het bewustzijn van voortdurend aangescherpt, zodat de kennis van risico’s wordt verhoogd en veilig en verantwoord gedrag wordt aangemoedigd.

Onderdeel van het beleid is agendering hiervan in het zgn. expertise netwerk.

12.2. Periodieke rapportage

Het SWV kiest ervoor om met een FG te werken om in continuïteit te kunnen vaststellen of het SWV aan de AVG voldoet. Op deze wijze kan met controles periodiek worden gekeken of de wettelijke verplichtingen worden nageleefd. Door deze periodiek te controleren en te monitoren, ontstaat inzicht waardoor kan worden aangetoond in welke mate het SWV voldoet aan dit normenkader.

Er wordt minimaal eenmaal per jaar een privacyrapportage gemaakt voor het bestuur van het SWV. Het bestuur kan op basis van de monitoringsrapportage en aanbevelingen besluiten nemen om al dan niet bij te sturen, indien dit noodzakelijk is.