Inleiding - Website Joannes XXIII

Ga naar de inhoud


Inleiding
SOZKO neemt privacy serieus en is zich bewust van de huidige privacy wetgeving (dit is sinds 25 mei 2018 de Algemene Verordening Persoonsgegevens, ofwel de AVG).

Binnen het bestuur en de scholen van SOZKO worden persoonsgegevens verwerkt. SOZKO is op grond van de AVG eindverantwoordelijk voor het verwerken van al deze persoonsgegevens. Het verwerken dient zorgvuldig te gebeuren, omdat misbruik van persoonsgegevens schade kan berokkenen aan leerlingen, medewerkers en aan andere betrokkenen personen of instanties. SOZKO hecht dan ook veel waarde aan het beschermen van persoonsgegevens die aan haar worden verstrekt en door haar worden gegenereerd. In dit privacyreglement wordt beschreven hoe invulling wordt gegeven aan deze belangrijke wettelijke verantwoordelijkheid

1. Toepasselijkheid
Dit reglement geldt voor de gehele organisatie die deel uitmaakt van Stichting SOZKO gevestigd aan de Teun de Jagersdreef 1C, 3561 JK te Utrecht. Zie voor contactinformatie: www.wijzijnsozko.nl en de bijbehorende scholen, te weten: Basisschool De Beiaard, Basisschool Joannes XXIII en Jenaplanschool Cleophas.

2. Definities
Persoonsgegevens
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’), zoals bijvoorbeeld naam, adres, geboortedatum, titel(s), geslacht, adres, telefoonnummer, e-mailadres, functie, personeelsnummer, medische rapportages, inhoud van e-mails, prestaties/cijfers, brieven, klachten, foto’s, video’s, IP-adressen, tracking cookies, loginnamen en wachtwoorden.

Verwerking van persoonsgegevens
Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, geautomatiseerd of handmatig, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

Bijzondere persoonsgegevens
Persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, genetische gegevens (DNA/RNA) of biometrische gegevens (bijv. foto’s) met het oog op de unieke identificatie van een persoon, en gegevens over gezondheid, of iemands seksueel gedrag of seksuele gerichtheid.BetrokkeneDegene op wie een persoonsgegeven betrekking heeft, en die al dan niet wordt vertegenwoordigd door een wettelijk vertegenwoordiger. Betrokkenen kunnen bijvoorbeeld zijn: leerlingen, ouders, medewerkers en bezoekers.

Wettelijk vertegenwoordiger
Degene die het ouderlijk gezag over een minderjarige uitoefent. Meestal zal dit een ouder zijn, maar het kan ook gaan om een voogd. Als een leerling 16 jaar of ouder is, beslist hij in voorkomende gevallen zelf over zijn privacy.

Verwerkings-verantwoordelijke
De entiteit die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. In het kader van dit reglement is de verwerkingsverantwoordelijke het bevoegd gezag, te weten de Stichting Overvecht Zuid voor het katholiek onderwijs (SOZKO: het bevoegd gezag), vertegenwoordigd door het Bestuur, de verwerkingsverantwoordelijke.

Verwerker
De natuurlijke persoon of rechtspersoon die ten behoeve van de verwerkingsverantwoordelijke (het bevoegd gezag) persoonsgegevens verwerkt, zoals bijvoorbeeld de leverancier van een leerlingvolgsysteem of leerling-administratiesysteem. Een verwerker heeft een uitvoerende taak, ten behoeve van de activiteiten van de verwerkingsverantwoordelijke.

Derde
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, de verwerkingsverantwoordelijke, de verwerker, of de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om persoonsgegevens te verwerken.

SOZKO (bevoegd gezag)
Stichting SOZKO (het bevoegd gezag), de verwerkingsverantwoordelijke in de zin van dit reglement.

Inbreuk i.v.m. persoonsgegevens (‘datalek’)
Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens. Dit wordt ook wel ‘datalek’ genoemd.

Melding van een inbreuk aan de Autorieteit Persoonsgegevens
Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan het overeenkomstig artikel 55 bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de toezichthoudende autoriteit niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.

Melding van een inbreuk aan de betrokkene
Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee.

3. Reikwijdte en doelstelling
  1. Dit reglement stelt regels over de verwerking van persoonsgegevens van alle betrokkenen bij de organisatie, waaronder leerlingen en hun wettelijk vertegenwoordigers, medewerkers, bezoekers en externe relaties (bijv. leveranciers en opdrachtnemers).
  2. Dit reglement is van toepassing op alle persoonsgegevens van de betrokkene die door SOZKO worden verwerkt. Het reglement heeft tot doel:
a. de persoonlijke levenssfeer van de betrokkenen te beschermen tegen verkeerd en onbedoeld gebruik van de persoonsgegevens;
b. vast te stellen met welk doel en op welke (juridische) grondslag persoonsgegevens binnen SOZKO worden verwerkt;
c. ook overigens te borgen dat persoonsgegevens binnen SOZKO rechtmatig, transparant en behoorlijk worden verwerkt;
d. de rechten van betrokkenen vast te leggen en te borgen dat deze rechten door SOZKO worden gerespecteerd.

4. Doelen van de verwerking van persoonsgegevens
Bij de verwerking van persoonsgegevens houdt SOZKO zich aan de relevante wet- en regelgeving waaronder de Algemene Verordening Gegevensbescherming (AVG), de uitvoeringswet AVG en de onderwijswetgeving.

Doelen
  1. De verwerking van persoonsgegevens vindt plaatst voor:
a. de organisatie of het geven van het onderwijs, de begeleiding van leerlingen, het voorzien in hun (extra) ondersteuningsbehoefte, dan wel het geven van studieadviezen;
b. het verstrekken en/of ter beschikking stellen van leermiddelen;
c. het bewaken van de veiligheid binnen de scholen en het beschermen van eigendommen van medewerkers, leerlingen en bezoekers;
d. het bekend maken van informatie over de organisatie en leermiddelen als bedoeld, onder a en b, alsmede van informatie over de leerlingen op de eigen website van SOZKO of de betrokken scholen;
e. het bekend maken van de activiteiten van de organisatie, bijvoorbeeld op de website van SOZKO of van de scholen, in brochures of de schoolgids of via social media;
f. het berekenen, vastleggen en innen van inschrijvingsgelden, school- en lesgelden en bijdragen of vergoedingen voor leermiddelen en buitenschoolse activiteiten, waaronder begrepen het in handen van derden stellen van vorderingen;
g. het aanvragen van bekostiging, het behandelen van geschillen daarover en het doen uitoefenen van accountantscontrole;
h. het onderhouden van contacten met oud-leerlingen;
i. het aangaan en uitvoeren van arbeidsovereenkomsten, samenwerkingsrelaties met opdrachtnemers en contracten met leveranciers;
j. de uitvoering of toepassing van wet- en regelgeving;
k. juridische procedures waarbij SOZKO betrokken is.
2. De verwerking van persoonsgegevens mag ook plaatsvinden voor doelen die verenigbaar zijn met de doelen zoals beschreven in lid 1.

5. Doelbinding
Persoonsgegevens worden uitsluitend gebruikt voor zover dat gebruik verenigbaar is met de omschreven doelen van de verwerking. SOZKO verwerkt niet meer gegevens dan noodzakelijk is om de betreffende doelen te bereiken.

6. Soorten persoonsgegevens
De categorieën van persoonsgegevens zoals deze binnen SOZKO
worden verwerkt, worden geregistreerd in een verwerkingsregister. Een overzicht hiervan is gegeven in de bijlage van dit reglement.

7. Grondslag verwerking
Verwerking van persoonsgegevens gebeurt alleen indien aan een van de onderstaande voorwaarden is voldaan:
a. De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan SOZKO is opgedragen.
Het gaat hier bijvoorbeeld om het vaststellen van eindexamencijfers, verzuim en verwijdering.
b. De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op SOZKO rust.
Het gaat hier specifiek om de wettelijke verplichtingen die voortvloeien uit de Wet op het primair. Daarnaast kunnen wij medische gegevens verwerken in het kader van onze zorgplicht. Deze persoonsgegevens mag de school uitwisselen met het samenwerkingsverband. De wettelijke grondslag is hiervoor bepaald in artikel 30 lid 2 sub a van de Uitvoeringswet AVG en artikel 18a van de Wet op het primair onderwijs.
c. De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is (bijvoorbeeld de arbeidsovereenkomst) of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen.
Het gaat hier tevens om de uitvoering van de onderwijsovereenkomst en voor medewerkers de arbeidsovereenkomst.
d. De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van SOZKO of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene zwaarder wegen, met name wanneer de betrokkene een kind is; in het kader van deze grondslag zal dus een belangenafweging moeten plaatsvinden.
Het gaat hierbij bijvoorbeeld aan het verweken van persoonsgegevens in verband met de beveiliging van eigendommen en een veilige schoolomgeving.
e. De verwerking is noodzakelijk om de vitale belangen van de betrokkene of een andere natuurlijke persoon te beschermen (levensbelang).
f. De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden.

Als voor het verwerken van gegevens toestemming wordt gevraagd zoals voor het gebruik van beeld- en/of geluidsmateriaal (foto’s en video’s) dan kunt u de toestemming op elk moment intrekken of alsnog geven. Wijziging van toestemming is niet van toepassing op inmiddels gepubliceerd beeldmateriaal.

9. Bewaartermijnen
SOZKO bewaart persoonsgegevens niet langer dan noodzakelijk is voor het doel waarvoor deze worden verwerkt, tenzij het langer bewaren van de persoonsgegevens op grond van wet- of regelgeving verplicht is. De bewaartermijnen zijn voor SOZKO in beeld gebracht en samenvattend zijn de volgende termijnen van toepassing: Het leerlingdossier wordt tot twee (2) jaar bewaard nadat het onderwijs aan de leerling is beëindigd. Het Onderwijskundig Rapport (OKR) wordt bewaard voor een periode van vijf (5) jaar. Gegevens omtrent de leerlingenadministratie, waaronder begrepen absentie, in- en uitschrijving worden vijf (5) jaar bewaard. Adresgegevens van (oud)leerlingen mogen onbeperkt worden bewaard voor het onderhouden van contacten met de ex-leerlingen voor bijvoorbeeld reünies. Voor medewerker- gegevens gelden de volgende termijnen. Uiterlijk 2 jaar na uitdiensttreding (art. 7 lid 5 (oud/vervallen) vrijstellingsbesluit) en 5 jaar voor fiscale doeleinden (financiën).

10. Toegang
Binnen de organisatie van SOZKO geldt dat personen slechts toegang hebben tot persoonsgegevens voor zover dat daadwerkelijk nodig is (‘need to know’). De toegang van medewerkers tot persoonsgegevens is dan ook beperkt tot de gegevens die noodzakelijk zijn voor de goede uitoefening van hun functie en (dus) hun werkzaamheden. Verder wordt slechts toegang verschaft tot de in de administratie en systemen van de school opgenomen persoonsgegevens aan:
a. de verwerker die van SOZKO de opdracht heeft gekregen om persoonsgegevens te verwerken, maar alleen voor zover dat noodzakelijk is in het licht van de gemaakte afspraken;
b. derden voor zover uit de wet voortvloeit dat SOZKO verplicht is om toegang te geven of sprake is van een (andere) grondslag voor deze verwerking, bijvoorbeeld de vervulling van een taak van algemeen belang.
Binnen SOZKO wordt gewerkt met een procedure voor logische toegang en is een autorisatiematrix opgesteld. De toegang tot persoonsgegevens voor systemen (zoals ParnasSys) zijnde de leerling administratiesystemen, zijn persoonsgebonden. Op deze systemen is een extra beveiliging ingesteld via een zogenaamde ‘two factor authenticatie’ (‘2FA’). Dit betekent dat een medewerker, na het invoeren van een inlognaam en wachtwoord ook een 2e factor
(sms of authenticator App, of een code gegenereerd via een token) moet invoeren om toegang te krijgen tot de gegevens die noodzakelijk zijn voor de goede uitvoering van de taken. Zorg- of medische gegevens zijn alleen toegankelijk voor de zorgmedewerkers (Interne begeleiders). De toegang tot het systeem voor kantoorautomatisering (Microsoft) is tevens beschermd met een 2FA toegang.

11. Beveiliging en geheimhouding
  1. SOZKO neemt passende technische en organisatorische beveiligingsmaatregelen om te voorkomen dat de persoonsgegevens worden beschadigd, verloren gaan of onrechtmatig worden verwerkt. Deze maatregelen zijn er mede op gericht om niet noodzakelijke verzameling en verdere (niet noodzakelijke) verwerking van persoonsgegevens te voorkomen.
  2. Bij de beveiligingsmaatregelen wordt rekening gehouden met de stand van de techniek, de uitvoeringskosten, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkenen.
  3. Eenieder die betrokken is bij de verwerking van persoonsgegevens binnen SOZKO is verplicht tot geheimhouding van de betreffende persoonsgegevens, en zal deze gegevens slechts verwerken voor zover dat noodzakelijk is voor de uitoefening van de betreffende functie, werkzaamheden of taak.

12. Verstrekken gegevens aan derden
SOZKO kan persoonsgegevens aan derden verstrekken als daarvoor een grondslag bestaat in de zin van artikel 7 van dit reglement.

13. Social media protocol/beleid & Gedragsregels voor ICT en Internet-gebruik
Voor het gebruik van persoonsgegevens in social media, zijn aparte afspraken gemaakt in het social media protocol van SOZKO. Daarnaast hanteert SOZKO Gedragsregels voor ICT en Internetgebruik. Hierin is aangegeven wat SOZKO verstaat onder verantwoord gebruik van bedrijfsmateriaal, zoals alle (mobiele) devices, maar ook het gebruik van ICT en Internet. SOZKO controleert op naleving hiervan.

14. Rechten betrokkenen1. SOZKO erkent de rechten van betrokkenen, handelt daarmee in overeenstemming en bewerkstelligt dat betrokkenen deze rechten daadwerkelijk kunnen uitoefenen. Het betreft in het bijzonder de volgende rechten:

Inzage
a. Een betrokkene heeft recht op inzage van de door SOZKO
verwerkte persoonsgegevens die op hem/haar betrekking hebben, behalve voor zover het gaat om werkdocumenten, interne notities en andere documenten die uitsluitend bedoeld zijn voor intern overleg en beraad. Indien en voor zover dit recht op inzage ook de rechten en vrijheden van anderen raakt, bijvoorbeeld als in de documenten ook persoonsgegevens van anderen dan de betrokkene zijn vermeld, kan SOZKO het recht op inzage beperken.

Bij het verstrekken van de betreffende gegevens verschaft SOZKO voorts informatie over:
  • de verwerkingsdoeleinden;
  • de categorieën van persoonsgegevens die worden verwerkt;
  • de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
  • (indien van toepassing) ontvangers in derde landen of internationale organisaties;
  • (indien mogelijk) hoe lang de gegevens worden bewaard;
  • dat de betrokkene het recht heeft om te verzoeken dat de persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van de persoonsgegevens wordt beperkt, alsmede dat hij het recht heeft om bezwaar te maken tegen de verwerking van de persoonsgegevens;
  • het feit dat de betrokkene een klacht kan indienen bij de Autoriteit Persoonsgegevens danwel een geschil voorleggen aan de rechter.
  • de bron van de persoonsgegevens, indien de persoonsgegevens niet van de betrokkene zelf zijn verkregen;
  • het eventueel toepassen van geautomatiseerde besluitvorming en de betreffende onderliggende logica en het belang en de gevolgen voor de betrokkene;
  • de passende waarborgen indien de persoonsgegevens worden doorgegeven aan een derde land of een internationale organisatie.

Verbetering, aanvulling, verwijdering
b. SOZKO verbetert de persoonsgegevens van een betrokkene in het geval de betrokkene terecht heeft aangegeven dat de gegevens onjuist zijn, en SOZKO vult de persoonsgegevens van een betrokkene aan indien de betrokkene terecht om aanvulling heeft verzocht. Voorts kan de betrokkene verzoeken om verwijdering van zijn persoonsgegevens. SOZKO gaat daartoe over indien is voldaan aan een wettelijke grondslag voor het verzoek, tenzij het onmogelijk is om aan het verzoek te voldoen of dit een onredelijke inspanning zou vergen.

Bezwaar, Beperken verwerking en Kennisgevingsplicht
c. Indien SOZKO persoonsgegevens verwerkt op de grondslag van artikel 7 onder a of artikel 7 onder d van dit reglement, kan het betrokkene bezwaar maken tegen de verwerking van zijn persoonsgegevens. In dat geval staakt SOZKO de verwerking van de betreffende persoonsgegevens gedurende de behandeling van het bezwaar en afhankelijk van de uitkomst van de beslissing op het bezwaar. Staking van de verwerking zal niet plaatsvinden als naar het oordeel van SOZKO het belang van SOZKO, het belang van derden of het algemeen belang in het betreffende concrete geval zwaarder weegt.
d. De betrokkene kan voorts verzoeken om de verwerking van zijn persoonsgegevens te beperken, namelijk indien hij een verzoek tot verbetering heeft gedaan, indien hij bezwaar heeft gemaakt tegen de verwerking, als de persoonsgegevens niet meer nodig zijn voor het doel van de verwerking of als de gegevensverwerking onrechtmatig is. SOZKO staakt dan de verwerking, tenzij de betrokkene toestemming heeft gegeven voor de verwerking, SOZKO de gegevens nodig heeft voor een rechtszaak of de verwerking nodig is ter bescherming van de rechten van een andere persoon of vanwege gewichtige redenen.
e. Als SOZKO op verzoek van een betrokkene een verbetering of verwijdering van persoonsgegevens heeft uitgevoerd, of de verwerking van persoonsgegevens heeft beperkt, zal SOZKO eventuele ontvangers van de betreffende persoonsgegevens daarover informeren.

Procedure
2. SOZKO handelt een verzoek van een betrokkene zo spoedig mogelijk, maar uiterlijk binnen een maand na ontvangst van het verzoek, af. Afhankelijk van de complexiteit en van het aantal verzoeken kan die termijn indien nodig met twee maanden worden verlengd. Als deze verlenging plaatsvindt, wordt de betrokkene daarover binnen een maand na de ontvangst van het verzoek geïnformeerd. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.

Wanneer SOZKO geen gevolg geeft aan het verzoek van de betrokkene, deelt SOZKO onverwijld en uiterlijk binnen een maand na ontvangst mede waarom het verzoek niet wordt ingewilligd en informeert zij de betrokkene over de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens of beroep bij de rechter in te stellen.

Voor alle verzoeken rondom het uitoefenen van bovengenoemde rechten kunt u zich wenden tot de directeur van de school. Dit kan via het mailadres van de school. Het verzoek wordt in behandeling genomen door de directeur in samenwerking met de Privacy Officer van SOZKO. Indien nodig wordt de FG geraadpleegd. Het verzoek wordt uiteindelijk namens de verwerkingsverantwoordelijke afgehandeld.

Intrekken toestemming
3. Indien voor de verwerking van persoonsgegevens voorafgaande toestemming vereist is, kan deze toestemming te allen tijde door de betrokkene of zijn wettelijk vertegenwoordiger worden ingetrokken. Als de toestemming wordt ingetrokken, staakt SOZKO de verwerking van persoonsgegevens, behalve als er een andere grondslag (zoals bedoeld in artikel 7) voor de gegevensverwerking is. Het intrekken van de toestemming tast de rechtmatigheid van verwerkingen die reeds hebben plaatsgevonden niet aan.

15. Transparantie
SOZKO informeert de betrokkene(n) actief over de verwerking van hun persoonsgegevens, in ieder geval door middel van een laagdrempelige privacyverklaring. Deze privacyverklaring is te vinden op www.wijzijnsozko.nl en de websites van de scholen die bij SOZKO zijn aangesloten. In de privacyverklaring wordt in ieder geval, op eenvoudige wijze, de volgende informatie vermeld:
a) de contactgegevens van SOZKO;
b) de contactgegevens van de functionaris voor gegevensbescherming van SOZKO;
c) de doeleinden van de gegevensverwerking en de grondslagen voor de verwerking;
d) een omschrijving van de belangen van SOZKO indien de verwerking wordt gebaseerd op het gerechtvaardigd belang van SOZKO;
e) de (categorieën) ontvangers van de persoonsgegevens, zoals verwerkers of derden;
f) in voorkomend geval: of de persoonsgegevens worden verzonden aan landen buiten de Europese Economische Ruimte (EER);
g) hoe lang de persoonsgegevens zullen worden bewaard;
h) dat de betrokkene het recht heeft om SOZKO te verzoeken om inzage, verbetering of verwijdering van persoonsgegevens, en dat hij het recht heeft om te verzoeken om beperking van de verwerking, om bezwaar te maken of om een beroep te doen op het recht van gegevensoverdraagbaarheid;
i) dat de betrokkene het recht heeft om zijn toestemming in te trekken, als de gegevensverwerking is gebaseerd op toestemming;
j) dat de betrokkene het recht heeft om een klacht in te dienen bij de Autoriteit Persoonsgegevens danwel een geschil voorleggen aan de rechter;
k) of de verstrekking van de persoonsgegevens een wettelijke of contractuele verplichting is, dan wel een noodzakelijke voorwaarde is om een overeenkomst te kunnen sluiten, en of de betrokkene verplicht is om de persoonsgegevens te verstrekken en wat de gevolgen zijn indien hij de persoonsgegevens niet verstrekt;
l) het bestaan van geautomatiseerde besluitvorming, vergezeld van nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.

16. Meldplicht Beveiligings-incidenten/ datalekken
Eenieder die betrokken is bij een verwerking van persoonsgegevens is verplicht om een beveiligingsincident c.q. datalek per ommegaande te melden bij zijn direct leidinggevende dan wel bij de Privacy Officer (bestuur@sozko.nl) conform het beleid en procedure beveiligingsincidenten/datalekken van SOZKO. De meldingen worden uitgevoerd door de Privacy Officer en de functionaris gegevensbescherming (FG) van SOZKO.

17. Rollen en verantwoordelijkheden
Het zorgvuldig omgaan met Persoonsgegevens is ieders verantwoordelijkheid. Er wordt van medewerkers, leerlingen maar ook van hun wettelijk vertegenwoordiger(s) verwacht dat ze zich integer gedragen. Niet acceptabel is dat door al dan niet opzettelijk gedrag onveilige situaties ontstaan die leiden tot schade en/of imagoverlies van SOZKO of van individuen.
De directeuren zijn verantwoordelijkheid voor het zorgvuldig verwerken van persoonsgegevens op hun scholen. Dit omvat ook de keuze van maatregelen en de uitvoering en handhaving ervan. Onder deze verantwoordelijkheid valt ook de taak om het beleid met betrekking tot de verwerking van persoonsgegevens te communiceren met alle bij de school betrokken partijen. Om de verwerkingen van persoonsgegevens gestructureerd en gecoördineerd op te pakken worden binnen SOZKO specifieke rollen onderkend. De feitelijke verwerking van persoonsgegevens wordt echter op allerlei plaatsen in de organisatie uitgevoerd.

Bestuurder
De bestuurder van SOZKO is, in de zin van de AVG, eindverantwoordelijk voor de rechtmatige en zorgvuldige verwerking van persoonsgegevens binnen de gehele organisatie.

Functionaris gegevensbescherming
SOZKO maakt gebruik van een toezichthouder op de verwerking van persoonsgegevens. Deze toezichthouder wordt functionaris voor de gegevensbescherming (FG) genoemd. De FG houdt toezicht op de toepassing en naleving van de AVG. De wettelijke taken en bevoegdheden van de FG geven deze functionaris een onafhankelijke positie bij SOZKO. De wet stelt een aantal eisen aan FG’s. Zo moet een FG voldoende kennis hebben van de organisatie en de privacywetgeving. Ook moet de FG betrouwbaar zijn, wat zich onder meer uit in een geheimhoudingsplicht. Een FG heeft geen formele sanctiebevoegdheden. Maar de organisatie is wel wettelijk verplicht om de FG controlebevoegdheden te geven.
Zo moet een FG bevoegd zijn om ruimtes te betreden, zaken te onderzoeken en inlichtingen en inzage te vragen. De FG moet in onafhankelijkheid zijn werkzaamheden kunnen verrichten.

Privacy Officer
Een privacy officer is iemand die binnen een organisatie verantwoordelijk is voor het naleven van de privacywetgeving, zoals de AVG. Een privacy officer beschermt de persoonsgegevens van medewerkers en leerlingen en zorgt ervoor dat deze gegevens vertrouwelijk, integer en beschikbaar blijven. Een privacy officer geeft ook advies en informatie aan medewerkers die met persoonsgegevens werken, controleert of de organisatie voldoet aan de privacyregels en treedt op als aanspreekpunt voor de toezichthoudende autoriteit (Autoriteit Persoonsgegevens).

Systeemeigenaar
De systeemeigenaar is er verantwoordelijk voor dat de applicaties en bijbehorende ICT-faciliteiten een goede ondersteuning bieden aan het onderwijsproces. Dit betekent dat de systeemeigenaar ervoor zorgt dat zowel nu, als in de toekomst de applicaties blijven beantwoorden aan de eisen en wensen van de gebruikers en aan wet- en regelgeving.

Leidinggevende/schooldirecteur
Het creëren van bewustwording en de naleving van het beleid is onderdeel van de integrale bedrijfsvoering. Iedere leidinggevende heeft de taak om:
  • er voor te zorgen dat zijn medewerkers op de hoogte zijn van het beleid;
  • toe te zien op de naleving van het beleid door zijn medewerkers;
  • periodiek het onderwerp privacy onder de aandacht te brengen.

Medewerker
De medewerker heeft een belangrijke rol op het gebied van privacy. Hij of zij moet zorgvuldig omgaan met de persoonsgegevens van leerlingen, collega’s en andere betrokkenen. Een medewerker moet zich bewust zijn van de privacyrechten- en plichten die gelden voor zijn of haar functie. Een deze volgen of naleven. Ook is de medewerker alert op mogelijke privacyrisico’s en meldt deze zo snel mogelijk bij de juiste personen.

18. Bewustwording controle en naleving
Het stellen van regels en het treffen van maatregelen is niet voldoende om risico’s op het terrein van informatiebeveiliging en privacy uit te sluiten. De mens is hier een belangrijke factor. Daarom wordt het bewustzijn van de individuele medewerkers voortdurend aangescherpt, zodat de kennis van risico’s wordt verhoogd en veilig en verantwoord gedrag wordt aangemoedigd. SOZKO is hierin een lerende organisatie. Dat betekent ook dat regelmatig nagegaan wordt of dit reglement (nog) goed werkt in de praktijk. Daarnaast maken technologische en organisatorische ontwikkelingen binnen en buiten SOZKO het noodzakelijk om periodiek te bezien of we nog voldoende op koers zitten met het huidige reglement. Audits door de FG maken het mogelijk het beleid en de genomen maatregelen te controleren op effectiviteit. Eventueel kunnen ook controles worden uitgevoerd door onafhankelijke auditors of accountants. Van belang hierbij is dat leidinggevenden en proceseigenaren hun verantwoordelijkheid nemen en hun medewerkers aanspreken in geval van tekortkomingen. 19. Klachten
  1. Wanneer een betrokkene van mening is dat het doen of laten van SOZKO niet in overeenstemming is met de AVG, dit reglement of (andere) toepasselijke wet- of regelgeving, dan kan een klacht worden ingediend overeenkomstig de binnen SOZKO geldende klachtenregeling. Een betrokkene kan zich eveneens wenden tot de functionaris voor gegevensbescherming van SOZKO.
  2. Als een klacht naar de mening van betrokkene door SOZKO niet correct is afgewikkeld, kan hij zich wenden tot de rechter of de Autoriteit Persoonsgegevens.

20. Onvoorziene situatie
Indien zich een situatie voordoet die niet beschreven is in dit reglement, neemt het Bestuur van SOZKO de benodigde maatregelen, en wordt beoordeeld of dit reglement dientengevolge moet worden aangevuld of aangepast.

21. Wijzigingen reglement
  1. Dit reglement is na instemming van de Gemeenschappelijke Medezeggenschapsraad (GMR) vastgesteld door het Bestuur van SOZKO. Het reglement wordt gepubliceerd op de website van SOZKO en van de scholen. Het reglement wordt verder actief onder de aandacht gebracht, bijvoorbeeld door middel van verwijzing in de schoolgids.
  2. Het Bestuur kan dit reglement wijzigen na instemming van de GMR.

22. Slotbepaling
Dit reglement wordt aangehaald als het privacyreglement van SOZKO en is in werking getreden na instemming van de GMR.

Bijlage: Categorieën van verwerkte persoonsgegevens
Om u een zo goed mogelijk inzicht te geven in de categorieën die door SOZKO worden verwerkt geven wij hieronder een opsomming hiervan. Deze categorieën van persoonsgegevens zijn opgenomen in het verplichte ‘register van verwerkingsactiviteiten’, zoals bepaald in artikel 30 van de AVG.

Opsomming van de categorieën van persoonsgegevens
Categorie / Toelichting
1. Contactgegevens
1a: naam, voornaam, e-mail;
1b: geboortedatum, geslacht;
1c: overige gegevens te weten:

adres, postcode, woonplaats, telefoonnummer en eventueel andere voor communicatie benodigde gegevens, alsmede ook een bankrekeningnummer voor het afhandelen van betalingen;

2. Leerling nummer
een administratienummer dat geen andere informatie bevat dan bedoeld onder categorie 1
3. Nationaliteit en geboorteplaats
4. Ouders, voogd
contact gegevens van de ouders/verzorgers van leerlingen (naam, voornaam, adres, postcode, woonplaats, telefoonnummer en eventueel e-mailadres)
5. Medische gegevens
gegevens die noodzakelijk zijn met het oog op de gezondheid of het welzijn van de leerling, voor zover deze van belang zijn bij het nemen van aanvullende maatregelen om goed onderwijs te kunnen volgen (bv. extra tijd bij toetsen);
6. Studievoortgang
gegevens betreffende de aard en het verloop van het onderwijs en de behaalde resultaten te weten:
  • Resultaten
  • Begeleiding leerling (inclusief ontwikkelperspectief OPP)
  • Aanwezigheidsregistratie
  • Klas, leerjaar, opleiding
7. Onderwijsorganisatiegegevens met het oog op het organiseren van het onderwijs en het verstrekken of ter beschikking stellen van leermiddelen; hieronder vallen ook lesroosters en dergelijke
8. Beeldmateriaal
foto’s en videobeelden (met of zonder geluid) van activiteiten van de school op basis van toestemming.
Let op: Voor pasfoto voor identificatiedoeleinden is geen toestemming nodig (schoolpas en als aanvulling op het dossier).
9. Docent / zorg coördinator / intern begeleider
gegevens van docenten en begeleiders, voor zover deze gegevens van belang zijn voor de organisatie van de instelling en het geven van onderwijs, opleidingen en trainingen
10. BSN / Onderwijsnummer / PGN
In het onderwijs heet het BSN het persoonsgebonden nummer (PGN). Ook wel onderwijsnummer genoemd. Het PGN is hetzelfde nummer als het BSN. Scholen zijn verplicht het PGN te gebruiken in hun administratie.
11. Keten-ID (Eck-Id)
Unieke iD voor de ‘educatieve contentketen’. Hiermee kunnen scholen gegevens delen, zonder dat ze direct herleidbaar zijn naar leerlingen of docenten.
12. Overige gegevens
Andere dan de onder 1 tot en met 13 bedoelde gegevens waarvan de verwerking wordt vereist of noodzakelijk is met het oog op de toepassing van een andere wet. Deze zullen apart vermeld en toegelicht worden.

Deze verklaring is voor het laatst gewijzigd op: februari 2024

Document: Privacyreglement
Auteur: PrivacyTeam B.V.
Eigenaar: Bestuur Stichting SOZKO
Beheerder: Stichting SOZKO
STATUS: DATUM
Vastgesteld door Bestuur
Instemming GMR
Concept of Definitief: Defintief
Revisiedatum: Februari 2026
Terug naar de inhoud