BPM Consult
Kennismaken

HomeArrow rightPersoonsgegevens Beheersen In Het Onderwijs

Datum: 19-12-2024 Categorie: Onderwijs Geschreven door: Sacha Gerritsen

Grip op privacy: Persoonsgegevens beheersen in het onderwijs

Onderwijsinstellingen bezitten en analyseren grote hoeveelheden data, van onder meer studenten, medewerkers en leveranciers. Het is voor onderwijsinstellingen daarom essentieel om hun persoonsgegevens veilig te bewaren en beheersen. Jesse van der Huizen en Nathan van der Meulen van BPM Consult leggen uit hoe instellingen dit voor elkaar kunnen krijgen.

Persoonsgegevens omvatten alle informatie die direct of indirect naar een persoon verwijst, zoals naam, telefoonnummer, religie of medische gegevens. Onderwijsinstellingen hebben de verantwoordelijkheid om zorgvuldig met deze gegevens om te gaan.

In veel onderwijsinstellingen ontbreekt, of is beperkt, grip op en inzicht in de handmatige verwerkingen van persoonsgegevens. Handmatige verwerkingen zijn onder andere het registreren van sollicitaties, het opslaan van deelnemerslijsten of het bewerken van medische dossiers. Instellingen voeren vaak onbewust vele verwerkingen uit. Dat gaat niet altijd goed – twee veelvoorkomende problemen:

  • Medewerkers voeren bewerkingen uit die niet compliant zijn met de AVG, omdat de onderwijsinstelling niet beschikt over vastgestelde processen voor (hoog)risicovolle verwerkingen.
  • Beperkte bewustwording onder de medewerkers over de risico’s die gepaard gaan met het onzorgvuldig verwerken van persoonsgegevens.

Een vijfstappenplan voor beheersing

Om deze uitdagingen effectief aan te pakken, is het van belang een stapsgewijze benadering te hanteren die gericht is op het vergroten van inzicht en grip op de processen, het waarborgen dat medewerkers voldoen aan de AVG en het vergroten van het bewustzijn rond gegevensveiligheid.

Stap 1: Interviews om de omvang te bepalen
Onderwijsinstellingen die beginnen met AVG-compliance hebben vaak geen duidelijk beeld waar handmatige verwerkingen van persoonsgegevens plaatsvinden en wat de omvang ervan is. In veel gevallen is er een idee welke processen ‘niet goed gaan’, maar wat er precies misgaat, de omvang en scope is onbekend.

Om een beeld te vormen, is een goede eerste stap inventariserende interviews met zowel procesuitvoerders als het management. Zo ontstaat een beeld van de impact, schaal en risico’s van de gegevensverwerkingen. De volgende activiteit bestaat uit het uitvoeren van een risicoanalyse om te bepalen welke risico’s als eerste gemitigeerd dienen te worden.

Stap 2: Workshops om processen en risico’s in kaart te brengen
De volgende stap is het organiseren van procesworkshops met procesuitvoerders. Zo kan het huidige proces worden uitgewerkt inclusief de risico’s in detail en mitigerende maatregelen.

Naast een procesontwerp met gedetailleerde risico’s, leren deelnemers zo van elkaar, door inzicht te krijgen in elkaars werkmethoden en risico’s. Het bewustzijn rondom gegevensverwerking neemt toe en medewerkers beginnen de noodzaak te zien van het zorgvuldig omgaan met persoonsgegevens.

Stap 3: De gewenste situatie visualiseren
Een derde stap omvat een tweede reeks van procesworkshops om de gewenste situatie te definiëren. Samen met procesuitvoerders en privacy officer(s) binnen de organisatie wordt een gewenst werkproces opgesteld. Het doel van deze workshops is om risico’s te mitigeren en het proces AVG-compliant te maken. Onderwerpen die in deze workshops raadzaam zijn om te behandelen:

  • Het opschonen van mappen en documenten;
  • Het vaststellen van bewaartermijnen;
  • Het bepalen welke communicatiekanalen ingezet worden voor het delen van gegevens;
  • Het bepalen welke applicaties ingezet worden in het proces;
  • Realiseren van dataminimalisatie: bijvoorbeeld het mijden van lijsten met persoonsgegevens die door de organisatie zwerven.

Het helpt als de uitkomst van deze workshops vorm krijgt als een gedocumenteerd proces waarin de gewenste situatie helder is omschreven en klaar is voor implementatie.

Stap 4: Documentatie
Visualisatie en documentatie is nodig om het gewenste werkproces beeldend vast te leggen en deze vastlegging toegankelijk te maken voor medewerkers. Belangrijk in deze stap is om visuele, hands-on werkinstructies te ontwikkelen die eenvoudig te begrijpen zijn voor iedereen binnen de organisatie.

Daarnaast is aan te bevelen (A3-)infographics te ontwerpen, die op zichtbare plekken in het kantoor wordt opgehangen. Infographics helpen bij de verduidelijking rond de omgang met handmatige verwerkingen van persoonsgegevens en dienen als constante herinnering voor medewerkers over hun verantwoordelijkheden.

Het sluitstuk is om een procedure op te stellen waarin duidelijk beschreven is hoe de organisatie omgaat met handmatige verwerkingen van persoonsgegevens, in lijn met de AVG-wetgeving. Deze procedure is geschreven in begrijpelijke taal, zodat alle medewerkers de richtlijnen gemakkelijk kunnen volgen.

Stap 5: Implementatie
In dit stadium is het raadzaam een implementatieplan op te stellen, waarin de volgende punten worden geadresseerd:

  • Communicatie: Het verspreiden van de beschikbare documentatie onder de betrokken leidinggevenden en medewerkers.
  • Kennissessies: Het organiseren van sessies om stil te staan bij de risico’s die gepaard gaan met handmatige verwerkingen van persoonsgegevens.
  • Centrale documentatie: Het toegankelijk maken van documentatie op één centrale plek.
  • Monitoring en beheer: Het opzetten en overdragen van de verantwoordelijkheden voor monitoring en beheer van de documentatie aan de privacy officer.
  • IT-aanpassingen: Het doorvoeren van eventuele IT-aanpassingen ter ondersteuning van de nieuwe werkwijze.

In een dergelijk project is samenwerking met de privacy officer en leidinggevenden van groot belang. Zij spelen niet alleen een sleutelrol tijdens de uitvoering van het project, maar zijn ook verantwoordelijk voor de monitoring na de afronding.

Winst van deze aanpak

Een dergelijke aanpak levert onderwijsinstellingen drie grote voordelen op:

  • Inzicht en grip voor het management: Door de processen in kaart te brengen en de risico’s te identificeren, krijgt het management een helder overzicht van waar en hoe persoonsgegevens worden verwerkt. Dit bevordert niet alleen de naleving van de wetgeving, maar stelt hen ook in staat om proactief in te spelen op knelpunten.
  • Medewerkers zijn compliant met de AVG: Met het aanbieden van duidelijke werkinstructies en trainingen zorgt de organisatie ervoor dat medewerkers de juiste procedures volgen en voldoen aan de AVG.
  • Verhoogde bewustwording onder medewerkers: Door medewerkers actief te betrekken bij het veranderproces, wordt het bewustzijn over hun eigen rol en die van hun collega’s vergroot. Dit leidt tot een cultuur van verantwoordelijkheid en zorgvuldigheid binnen de organisatie.

Conclusie

Onderwijsinstellingen staan voor uitdagingen rond de digitaliseringsopgaven, waarbij publieke waarden zoals veiligheid en privacy om borging vragen. De AVG legt instellingen de verantwoordelijkheid op om volledige controle te hebben over de verwerking van privacygevoelige gegevens. Vooral nu de hoeveelheid opgeslagen en gedeelde persoonsgegevens van leerlingen, studenten en medewerkers toeneemt, evenals de risico’s op cyberaanvallen.

Adviezen van de Autoriteit Persoonsgegevens, het Rathenau Instituut en de Inspectie van het Onderwijs benadrukken dat onderwijsinstellingen hun digitale weerbaarheid moeten verhogen tot volwassenheidsniveau 3, wat staat voor een ‘effectief en aantoonbaar privacybeleid’.

Middels een gestructureerde aanpak met interviews, procesworkshops en implementatie, krijgen onderwijsinstellingen grip en inzicht in de handmatige verwerkingen van persoonsgegevens. Dit brengt onderwijsinstellingen een stap dichter bij het gewenste volwassenheidsniveau 3. Bovendien worden medewerkers actief betrokken bij het proces, wat hun bewustzijn vergroot.

Artikel delen

Mail icoon LinkedIn icoon Facebook icoon

Gerelateerde artikelen

Niet gecategoriseerd 12 april

Horizontaal organiseren Iedereen of niemand verantwoordelijk?

Steeds meer organisaties willen van een hiërarchisch aangestuurde organisatie transformeren naar een procesgerichte organisatie. In een horizontaal aangestuurde organisatie is er meer zicht op het proces, hebben medewerkers meer eigenaarschap en liggen de verantwoordelijkheden lager. De transformatie naar een horizontale organisatie is niet eenvoudig. In dit artikel beschrijven de auteurs drie scenario’s bij de overdracht […]

Meer lezen over dit artikel
Niet gecategoriseerd 21 januari

Tien business process management-trends voor 2020

Jaarlijks doet BPM Consult onderzoek naar trends in het business process management (BPM)-domein. Experts van het procesmanagementbureau lichten de tien belangrijkste BPM-trends voor 2020 uit. 1. Processen worden platform voor talentontwikkeling De focus van procesverbetering breidt zich uit van het voorkomen van verspilling naar de benutting van menselijke talenten. Uitnutting van menselijk talent wordt een […]

Meer lezen over dit artikel
Niet gecategoriseerd 1 februari

10 business process management (BPM)-trends voor 2021

Het business process management (BPM)-vak is volop in beweging. Een overzicht van de belangrijkste trends en ontwikkelingen voor 2021. De oorsprong van business process management (BPM) voert terug tot halverwege de 20e eeuw, toen BPM binnen organisaties voor het eerst zijn intrede deed in productieprocessen. BPM centreert zich rondom het beter ontwerpen en uitvoeren van […]

Meer lezen over dit artikel
Niet gecategoriseerd 20 mei

Vijf valkuilen bij het uitvoeren van de gebruikersacceptatietest

Bij het ontwikkelen van software is de acceptatie door gebruikers – de zogeheten gebruikersacceptatietest (GAT) – van groot belang. Immers, zij gaan de software uiteindelijk gebruiken in hun dagelijks werk en staan dus aan de basis van een succesvolle software-implementatie. Om te voorkomen dat je tijdens de gebruikersacceptatietest op je ‘gat’ gaat, is een goed […]

Meer lezen over dit artikel
Niet gecategoriseerd 16 november

Risicomanagement is schijnzekerheid zonder procesmanagement

Het goed managen van processen en kwaliteitsrisico’s is voor organisaties van wezenlijk belang. Een valkuil is dat organisaties deze los van elkaar managen. Dan blijft er een enorme kans onbenut. Of sterker nog: Je kunt je afvragen wat procesmanagement zonder risicomanagement is en vice versa. Hoe kun je kwaliteitsrisico’s managen als je niet de doorvertaling […]

Meer lezen over dit artikel
Niet gecategoriseerd 5 januari

10 business process management (BPM)-trends in 2022

Het business process management (BPM)-vak is volop in beweging. Experts van BPM Consult delen tien trends die in 2022 van grote invloed zullen zijn op de ontwikkelrichting van business process management.  1: Aanpassen wordt het nieuwe normaal Reorganiseren was al een constante, maar de pandemie geeft daar een grotere versnelling aan. We nemen afscheid van […]

Meer lezen over dit artikel
Niet gecategoriseerd 21 maart

Overbrug de kloof tussen primaire proces en ondersteuning

Hoe goed kennen we onze ‘interne klant’? Weten we echt wat hij wil en wat hij belangrijk vindt? De relatie tussen ondersteunende afdelingen en het primaire proces, de interne klant, staat geregeld onder druk. Enerzijds kan het primaire proces niet zonder de staf, anderzijds heeft de ondersteuning geen bestaansrecht zonder het primaire proces. Het is […]

Meer lezen over dit artikel
Niet gecategoriseerd 18 januari

10 business process management (BPM)-trends voor 2023

Het business process management (BPM)-vak is volop in beweging. Experts van BPM Consult delen tien trends die in 2023 van grote invloed zullen zijn op de ontwikkelrichting van business process management. 1: Augmented reality voor werkinstructies Goede instructies en informatie op de werkplek is post-corona van groter belang voor ‘in één keer goed’ werken. Maar […]

Meer lezen over dit artikel
Niet gecategoriseerd 6 april

Datagestuurd werken: Breng de werelden van proces en data samen

Organisaties kunnen veel winst behalen op het gebied van datagestuurd werken als ze proces en data nauwer op elkaar laten aansluiten. Aan de informatiemanager en de proceseigenaar de uitdaging om het geheel te stroomlijnen. Er zijn meerdere redenen dat het lastig is om de verbinding tussen proces en data te leggen. In de eerste plaats zien we in […]

Meer lezen over dit artikel