Een veilige (ICT-)omgeving begint met een visie, passend beleid en het neerzetten van een juiste organisatie. Alle rollen (privacy officer, security officer en functionaris gegevensbescherming) moeten zijn belegd en afspraken moeten worden geborgd.
Terug naar normen
Naar de normenkaderwijzer >>
Normbeschrijving Kennisnet
PR.07 Bewaar- en vernietigingsbeleid
Persoonsgegevens worden tijdig verwijderd of geanonimiseerd.
Volwassenheidsniveau 3 met betrekking tot norm PR.07
Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3. Norm PR.07 Bewaar- en vernietigingsbeleid beschrijft volwassenheidsniveau 3 als volgt:
- Er is beleid vastgesteld voor het verwijderen en/of anonimiseren van gegevens.
- De processen om persoonsgegevens te verwijderen of te anonimiseren zijn gedocumenteerd.
- Persoonsgegevens die niet meer nodig zijn worden tijdig verwijderd of geanonimiseerd, conform het beleid.
- Waar noodzakelijk zijn specifieke procedures vastgesteld voor het verwijderen van gegevens. Hierin is vastgesteld wat de toepasselijke bewaartermijn is en op welke wijze verwijdering plaats dient te vinden.
- Het beleid en de procedures voor het verwijderen en anonimiseren van gegevens worden consequent toegepast.
Hoe ga je aan de slag met Norm PR.07?
Wat doet Cloudwise?
Deze norm beschrijft dat organisaties beleid moeten hebben voor het bewaren en tijdig verwijderen of anonimiseren van persoonsgegevens. Persoonsgegevens mogen volgens de AVG niet langer worden bewaard dan noodzakelijk voor het doel waarvoor ze zijn verzameld. Daarom moet een organisatie bewaartermijnen vaststellen en processen inrichten om gegevens daadwerkelijk te verwijderen of te anonimiseren wanneer deze termijn is verstreken.
Het opstellen en uitvoeren van een bewaar- en vernietigingsbeleid is een verantwoordelijkheid van de onderwijsorganisatie als verwerkingsverantwoordelijke en valt buiten onze dienstverlening.
Wat wij wél doen binnen onze dienstverlening:
- Wij verwerken persoonsgegevens uitsluitend in opdracht van de onderwijsorganisatie en conform de afspraken in artikel 12: Bewaartermijnen en vernietiging Persoonsgegevens in onze verwerkersovereenkomst (link naar onze verwerkersovereenkomst) en in F) Categorieën Persoonsgegevens inclusief bewaartermijnen in de bijlagen (Cloudwise | Verwerkersovereenkomsten en privacybeleid)
- Binnen onze systemen bestaan mogelijkheden om gegevens te verwijderen wanneer de onderwijsorganisatie hier opdracht toe geeft of wanneer accounts, omgevingen of diensten worden beëindigd.
Wij stellen geen bewaar- en vernietigingsbeleid op namens de onderwijsorganisatie en bepalen ook geen bewaartermijnen voor gegevens binnen de organisatie.
De onderwijsinstelling is zelf verantwoordelijk voor:
- het vaststellen van beleid voor het bewaren en vernietigen van persoonsgegevens;
- het bepalen van bewaartermijnen voor verschillende soorten gegevens, bijvoorbeeld leerling-, personeels- en administratieve gegevens;
- het inrichten en uitvoeren van processen om persoonsgegevens tijdig te verwijderen of te anonimiseren;
- het geven van opdrachten tot verwijdering van gegevens in systemen wanneer bewaartermijnen zijn verstreken.
Het landschap is breder dan Cloudwise
Hoewel Cloudwise een belangrijke partner is in uw IT-omgeving, worden persoonsgegevens vaak ook verwerkt in andere systemen zoals leerlingadministratiesystemen (LAS), HRM-systemen, educatieve applicaties en systemen van uitgeverijen. Onderwijsorganisaties moeten daarom bij meerdere leveranciers nagaan welke mogelijkheden er zijn voor bewaartermijnen en gegevensverwijdering.
Kort samengevat: wij geven inzicht in hoe dit binnen onze dienstverlening werkt; het opstellen en uitvoeren van het bewaar- en vernietigingsbeleid blijft de verantwoordelijkheid van de onderwijsorganisatie.
Alle normen van Domein 2: Processen- PR.01 Operationele processen
- PR.02 Verwerkingsregister opzet en vastlegging verwerking
- PR.03 Verwerkingsregister actualisatie
- PR.04 Identificatie risico's gegevensverwerking met behulp van pre-DPIA's
- PR.05 DPIA's
- PR.06 Gegevensbescherming door privacy by design en privacy by default
- PR.07 Bewaar- en vernietigingsbeleid
Fasering
- Fase 3 - Uitbreiden
Domein
- PRIV Domein 2 - Processen
Dienst
- Privacy
Normfocus
- Visie, beleid en organisatie
Verantwoordelijkheid
- Onderwijsorganisatie
Een compleet pakket aan dienstverlening
Cloudwise helpt het onderwijs vooruit
We spelen een belangrijke rol voor scholen om de digitale veiligheid te realiseren en bewaken, en bieden een reeks oplossingen die zowel op techniek als op de mens gericht zijn. Met de integrale aanpak van Cloudwise versterk je de digitale veiligheid op jouw school en realiseer je digitaal veilig onderwijs voor iedereen.
Visie, beleid en organisatie
De menselijke factor
Hoe goed je de techniek ook voor elkaar hebt, uiteindelijk geeft de mens de doorslag. Het zijn vooral de gebruikers van ICT-oplossingen die de deur openzetten voor ransomware-aanvallen en andere cybercriminaliteit.
De techniek op orde
Met onze veilige ICT-oplossingen kunnen scholen direct veilig aan de slag. In onze standaardconfiguraties hebben we al een heleboel solide securityservices ingebouwd.
Uitgebreide beveiliging
Er zijn situaties – met name op bestuursniveau – waarin het raadzaam kan zijn om extra securitymaatregelen te treffen. Daarin bieden wij diverse opties.
Digitaal Veilig Onderwijs
Aan de slag met Privacy & Security?
Hoe krijg je grip op veilig digitaal onderwijs? En dat op zo’n manier dat je er zelf zo min mogelijk omkijken naar hebt? Plan direct een adviesgesprek in met onze Privacy Officers. Zij helpen op dagelijkse basis scholen verder vooruit met digitaal veilig onderwijs.
