Inrichten van nieuwe systemen
voor PO en VO | gepubliceerd op 29 september 2020
Wil je met een nieuw systeem gaan werken? Check dit dan altijd bij de IBP-verantwoordelijke (degene die verantwoordelijk is voor informatiebeveiliging en privacy), de functionaris gegevensbescherming of de ict’er van jouw school. Aanschaffen is immers niet genoeg, het inrichten is ook heel belangrijk.
Snelle start
De inrichting en ingebruikname van een nieuw systeem hoeft niet op dag één geregeld te zijn, maar het afgeven van autorisaties meteen in het begin is wel erg belangrijk.
- Zorg ervoor dat autorisaties goed worden ingesteld.
- Stel de privacyinstellingen goed in: verwerk zo min mogelijk (persoons)gegevens en geef zo min mogelijk personen toegang tot die gegevens.
- Zet monitoring en logging aan, zodat je altijd kunt achterhalen waar eventuele onrechtmatigheden vandaan komen (of zijn gekomen).
Afwerking en beveiliging
Is de acute drukte afgenomen? Rond dan de verwerking en beveiliging af.
- Sluit de verwerkersovereenkomst af (als dat nog niet gedaan is).
- Leg de verwerkings- en de autorisatiematrix vast in het register van verwerkingsactiviteiten (het dataregister).
- Zorg dat de informatiebeveiliging goed is geïmplementeerd en pas die aan aan de nieuwe situatie.
Risico’s
Maak, zodra je enigszins de kans hebt, een goede inventarisatie van de risico’s:
Risicoanalyse
- Was er veel haast rondom de aanschaf? Maak dan alsnog een risicoanalyse.
- Neem maatregelen om risico’s uit te sluiten of deze drastisch te verminderen.
DPIA
- Bekijk de DPIA-checklist (Data Protection Impact Assessment). Zie je veel oranje vakken? Dat houdt in dat er privacyrisico’s zijn.
- Je hebt nu een globale inschatting van die risico’s. Neem zoveel mogelijk maatregelen om de privacyrisico’s uit te sluiten of deze drastisch te verminderen.
- Leg die informatie vast, ook over de risico’s die je overhoudt. Besluit of dat op dit moment acceptabel is.
- In tijden van nood doe je de DPIA pas nadat alles goed werkt.