abonneren
article

In technologie, beleid en gedrag klaar voor de AVG?

Voor wie er nog even in moet komen: op 25 mei 2018 wordt de General Data Protection Regulation (GDPR) van kracht, de Europese opvolger van de landelijke privacy- en databeveiligingsrichtlijnen. In Nederland heet de regeling de Algemene Verordening Gegevensbescherming (AVG) en die heeft grote impact op elke organisatie die met persoonsgegevens werkt. Dat geldt voor vrijwel alle bedrijven en instellingen, maar zeker voor onderwijsorganisaties.

Scholen, bestuursorganisaties, onderwijsadministratiekantoren: er gaan dagelijks veel persoonsgegevens om. Met nog een kleine negen maanden te gaan is het zaak dat onderwijsorganisaties zich in techniek, beleid en mindset klaarmaken voor de strenge databeveiligingswetgeving.

Wel actie, geen paniek

De AVG is bedoeld om burgers meer grip op hun online gegevens te geven en het gebruik van persoonsgegevens transparanter en inzichtelijker te maken. Betrokkenen moeten op verzoek volledig inzage krijgen in alle informatie die door een bedrijf of instelling over hen is vastgelegd en hebben het recht ‘vergeten’ te worden. De Autoriteit Persoonsgegevens (AP) raadt onderwijsinstellingen aan vooraf goed na te denken over de systemen waarmee scholen werken of willen gaan werken en hoe die ingericht worden (privacy by design). De standaardinstellingen moeten bovendien privacyvriendelijk zijn (privacy by default). Verder moeten onderwijsorganisaties kunnen aantonen dat ze technische en organisatorische maatregelen hebben genomen om de veiligheid van de gegevens van leerlingen (en ouders) te garanderen en ze moeten datalekken direct melden. Grote organisaties moeten een data protection officer aanstellen – in het Nederlands: een ‘functionaris gegevensbescherming (FG)’. Dit alles op straffe van hoge boetes, oplopend tot maximaal 20 miljoen euro.

Iedereen moet mee

Het is geen kwestie van kiezen. Iedereen moet mee, vanaf 25 mei is het de nieuwe werkelijkheid. Actie is dus nodig, maar raak niet in paniek. Ga op een doordachte manier aan de slag. Voer een gedegen gap-analyse uit om te zien waar de risico’s in technologie en in procedures zitten. Bij zo’n analyse zal misschien ook blijken dat er veel al goed geregeld is. Een goed ingerichte IT-omgeving (bijvoorbeeld gebaseerd op een modern cloudplatform) zit vaak al behoorlijk dicht tegen de nieuwe eisen aan. Bovendien stelt de AVG ook geen absurde eisen: het recht op privacy wordt nu gewoonweg steeds beter verankerd in de wet.

Gevoelige documenten bij het oud papier

Het gaat om technologie, beleid en gedrag - kennen, kunnen én willen. Dus niet alleen met management en ict-afdeling of ict-dienstverlener de boel dichttimmeren. De mensen op de werkvloer zijn net zo belangrijk bij compliance in de praktijk – misschien wel nog belangrijker. De cijfers van de AP laten namelijk zien dat de meeste datalekken veroorzaakt worden door menselijk handelen. Een mailtje naar een verkeerd persoon, een usb-stick met persoonsgegevens die kwijtraakt, gevoelige documenten bij het oud papier. Zoals bij ieder project, wordt ook hier het succes vooral bepaald door de mate waarin medewerkers de nieuwe regelgeving en techniek ‘adopteren’. Iedereen in de organisatie moet doordrongen zijn van de ernst en het belang. Start met de bestuurskamer en de staf, maar vergeet medewerkers en docenten zeker niet!

Melle Lelieveld, Business Manager bij Winvision

blog comments powered by Disqus