#Privacy Professional

Privacy Volwassenheid als FG of PO in het onderwijs

Als Privacy Professional in het onderwijs (PPO) sta je voor de uitdagende taak om de privacy van vele leerlingen, ouders en medewerkers te beschermen. Je bent vastberaden om een goede bescherming te bieden aan hun persoonsgegevens, maar gebrek aan tijd, capaciteit en praktische instrumenten remmen je inspanningen. Geen zorgen! In dit stuk reiken we je praktische handvaten aan om jouw onderwijsinstelling privacy compliant1 te maken en daarmee het vertrouwen van leerlingen, ouders en medewerkers in de organisatie te vergroten. Klaar om je kennis en vaardigheden naar een hoger niveau te tillen? Lees dan snel verder en ontdek de sleutel tot een succesvolle en praktische benadering van privacy in het onderwijs! 

Het privacy volwassenheidsmodel 

De belangrijkste taak van de PPO is ervoor zorgen dat privacy en gegevensbescherming integraal opgenomen wordt in zijn of haar onderwijsinstelling, maar hoe weet je nou precies waar jouw organisatie staat op het gebied van privacy compliance? Het antwoord op die vraag is het hanteren van het privacy volwassenheidsmodel! 

Om de privacy van leerlingen, ouders en medewerkers op een behapbare manier te kunnen waarborgen, zijn de specifieke vereisten uit de Algemene verordening gegevensbescherming (AVG) opgedeeld in tien verschillende thema’s. Voor de opleiding ‘Privacy Professional Onder-wijs gevorderd’ hebben Privacy1 en Privacy op School het door het CIP ontwikkelde ‘Privacy Volwassenheidsmodel’2 vereenvoudigd. Dit heeft geleid tot het onderstaande Privacy Matu-rity Model.3 Het model hanteert voor de tien thema’s vijf verschillende volwassenheidsniveaus: 

Iedere onderwijsinstelling is anders en hoeft niet op dezelfde manier privacy en gegevensbescherming te implementeren. Met dit model kan worden voorkomen dat investeringen een statisch en eenmalig karakter krijgen. Privacywetgeving vereist namelijk een dynamisch en cyclische implementatie, gesteund door begrippen als privacy by design en privacy by default

De volwassenheidsniveaus zijn dé basis voor het ontwikkelen van een route naar privacy compliance. Die route begint met een nulmeting. Het model kan gebruikt worden als een eerste check om te bepalen waar de onderwijsinstelling op dit moment staat qua privacy volwassenheid. Gemiddeld scoren scholen bij deze eerste check tussen niveau 1 en 2. Dit betekent dat de meeste onderwijsinstellingen instrumenten zoals een verwerkingsregister wel hebben, maar nog niet altijd goed inzetten. Voor het uitvoeren van de nulmeting kunnen reeds aanwezige instrumenten en documenten met betrekking tot privacy en gegevensbescherming worden bestudeerd en interviews worden afgenomen. 

Na de nulmeting is er inzicht in het huidige niveau van de organisatie en kunnen de doelstellingen worden vastgesteld om het volwassenheidsniveau te verhogen. Door middel van een GAP-analyse wordt vervolgens vastgesteld waar de verbeterpunten liggen en afhankelijk van het ambitieniveau en de doorlooptijd kan er tot slot op basis van deze verbeterpunten een verbeterplan worden opgesteld. Hiermee kan de organisatie haar privacy compliance naar het gewenste niveau tillen. 

Zodra de verbeterpunten uit het verbeterplan zijn geïmplementeerd, is het van belang dat de organisatie de voortgang monitort door middel van regelmatige evaluaties waarbij het Privacy Maturity Model opnieuw wordt doorlopen. Op basis van de resultaten worden aanpassingen gemaakt en verdere verbeteringen geïmplementeerd. Zo wordt de compliance van de organisatie een cyclisch proces waarin voortdurend wordt gestreefd naar een hoger volwassenheidsniveau en daarmee een hogere mate van privacy compliance. 

Volwassenheid van de Privacy Professional Onderwijs 

Ook de PPO moet investeren in kennis en kunde om zijn eigen volwassenheid te verbeteren. Hij moet immers meegroeien met de onderwijsinstelling of deze net een stapje voor zijn en blijven. Een belangrijke factor voor een succesvolle ontwikkeling is namelijk een Privacy Professional die qua kennis maar ook qua vaardigheden een volwassenheidsniveau verder is dan de organisatie. Dit biedt de beste garanties voor een gestage groei naar een hoger niveau. Voor de uitvoerende en ondersteunende medewerkers geldt dat zij wellicht niet per se op hetzelfde hoge niveau hoeven te opereren, maar ze moeten op zijn minst kunnen meekomen met het niveau waarop de organisatie zich bevindt. 

Het komt vaak voor dat Privacy Professionals in de rol van Functionaris gegevensbescherming en/of Privacy officer niet goed aansluiten bij het niveau van de organisatie, en vice versa. Soms kan een Privacy Professional overgekwalificeerd zijn om de organisatie uit de startblokken te helpen, waardoor zowel de Privacy Professional als de organisatie zich niet senang voelen bij de uitvoering. Aan de andere kant kan het ook voorkomen dat een Privacy Professional binnen een complexe organisatie met een hoger volwassenheidsniveau niet voldoende expertise heeft om adequaat te kunnen functioneren. 

Het afstemmen van de niveaus van zowel de organisatie als de Privacy Professional is dus van cruciaal belang. Om hierbij te ondersteunen biedt de opleiding ‘Privacy Professional Onderwijs gevorderd’ een praktisch overzicht van competenties, zowel in termen van kennis als vaardig-heden, die op elk niveau minimaal aanwezig moeten zijn.*

*In de opleiding ‘Privacy Professional Onderwijs gevorderd’ wordt een leesbare versie ter beschikking gesteld.  

De verschillende niveaus 

Nu zullen we dieper ingaan op de verschillende niveaus van privacy volwassenheid en een gedetailleerd inzicht bieden in wat elk volwassenheidsniveau precies inhoudt. Het begrijpen van deze niveaus is, zoals blijkt uit het voorgaande, essentieel om de huidige staat van privacy compliance binnen de onderwijsinstelling te beoordelen en gerichte verbeteringen aan te brengen. We zullen beginnen bij het eerste en laagste niveau ‘ad hoc/ informeel’ en geleidelijk aan groeien naar het hoogste niveau van ‘geoptimaliseerd’, waarin privacy en gegevensbescherming een integraal onderdeel is van de organisatie. 

1. Ad-hoc/ Informeel 

Het laagste niveau van privacy volwassenheid van een organisatie is ‘ad-hoc/ informeel’. Onderwijsinstellingen met een dergelijk niveau hebben meestal geen duidelijke richtlijnen of procedures voor het verzamelen, gebruiken en delen van persoonsgegevens. In plaats daarvan worden informeel en incidenteel beslissingen genomen over hoe persoonsgegevens worden verwerkt in een specifieke situatie. Het ‘ad-hoc/ informele’ niveau duidt op een gebrek aan een gestructureerde en proactieve benadering van privacy, alsook een gebrek aan de noodzakelijke instrumenten. Het betekent dat er bij de organisatie nog veel te verbeteren valt, waar-door eventuele toekomstige juridische sancties, boetes en reputatieschade kunnen worden voorkomen. Tevens moet een onderwijsinstelling met een ‘ad-hoc/informeel’ niveau zich realiseren dat door gebrek aan bewustzijn bij medewerkers het gevaar van menselijke fouten en daarmee datalekken op de loer ligt. 

2. Beheerst 

Het volwassenheidsniveau ‘beheerst’ is een stap vooruit ten opzichte van het ‘ad-hoc/informele’ niveau. Een onderwijsinstelling met een ‘beheerst’ niveau heeft algemene richtlijnen voor privacy en gegevensbescherming ontwikkeld. Het beleid heeft op dit niveau nog wel een erg statisch karakter waardoor het risico zich voordoet dat de richtlijnen niet worden gebruikt en op de plank blijven liggen. Verder worden taken van PPO’s nog reactief uitgevoerd. Dit kan leiden tot het missen van kansen om incidenten te voorkomen of te minimaliseren voordat ze schadelijke gevolgen hebben. 

3. Gedefinieerd 

Een onderwijsinstelling met het niveau ‘gedefinieerd’ heeft een duidelijk privacybeleid opgesteld dat gericht is op het beschermen van persoonsgegevens. Er zijn procedures geïmplementeerd om naleving van het beleid te garanderen en er is toezicht op de naleving van het beleid. Dit toezicht is belegd bij een getrainde functionaris die zijn of haar taken proactief en planmatig uitvoert. Ook heerst er bewustzijn onder de medewerkers ten aanzien van het naleven van de maatregelen ter bescherming van persoonsgegevens. Een blijvend risico bij een onderwijs-instelling die het niveau ‘gedefinieerd’ heeft, is dat het beleid mogelijk niet up-to-date is ten opzichte van nieuwe ontwikkelingen op het gebied van privacy en gegevensbescherming.

4. Voorspelbaar 

Bij het volwassenheidsniveau ‘voorspelbaar’ heeft de onderwijsinstelling maatregelen genomen, zoals het opstellen van privacybeleid, het trainen van medewerkers in privacybewustzijn, het implementeren van gegevensbeschermingsmaatregelen en het regelmatig uitvoeren van audits en controles om naleving te waarborgen. Daarnaast wordt er geïnvesteerd in de continue verbetering van de organisatie en haar Privacy Professionals. Een belangrijk verschil met het niveau ‘gedefinieerd’ is dat er ook gerapporteerd wordt over de voortgang en de huidige stand van zaken. Het niveau ‘voorspelbaar’ impliceert dat de onderwijsinstelling de privacy van leerlingen, ouders en medewerkers serieus neemt en dat er actief wordt gestreefd naar het voldoen aan de vereisten uit de AVG. 

5. Geoptimaliseerd 

Wanneer een onderwijsinstelling een ‘geoptimaliseerd’ niveau heeft dan beschikt het over een volledig geïntegreerd privacybeleid dat up-to-date is, voldoet aan de wettelijke vereisten en de beste praktijken op het gebied van privacy en gegevensbescherming. Er zijn procedures geïmplementeerd om naleving van het beleid te garanderen, en er is toezicht op de naleving van het beleid. Verder wordt de voortgang en huidige stand van zaken voortdurend gemonitord en gerapporteerd door het Management Team. 

Conclusie 

De sleutel tot het waarborgen van de privacy van leerlingen, ouders en medewerkers op een behapbare manier is dus onder andere het hanteren van het Privacy Maturity Model. Door het gebruik van de vijf volwassenheidsniveaus voor tien verschillende thema’s, kunnen onderwijs-instellingen hun privacy-implementatie aanpassen aan hun specifieke situatie. Het model helpt voorkomen dat inspanningen een eenmalige actie blijven, en moedigt een dynamische en cyclische implementatie aan. 

Ben je klaar om jouw organisatie naar een hoger volwassenheidsniveau te tillen en wil je je kennis en vaardigheden als Privacy Professional uitbreiden? Dan is de opleiding ‘Privacy Pro-fessional Onderwijs gevorderd’ iets voor jou! Meer informatie over de opleiding, de kosten, data en locatie vind je hier: https://privacy1.nl/privacy-professional-onderwijs/.

1 Privacy compliant betekent dat een organisatie, voldoet aan de relevante privacywet- en -regelgeving, en de nodige maatregelen heeft genomen om persoonsgegevens op een verantwoorde en rechtmatige manier te ver-werken. 

2 Centrum Informatiebeveiliging en Privacy, https://www.cip-overheid.nl/media/uasdokan/20171102-privacy-volwassenheidsmodel-v3_0_9.pdf. 

3 In de opleiding ‘Privacy Professional Onderwijs gevorderd’ wordt een leesbare versie ter beschikking gesteld.