Privacy Nexus in het Hoger Onderwijs

‘Gebruik van Privacy Nexus in het hoger onderwijs’


Onder de AVG is bijna elke organisatie die op structurele manier persoonsgegevens verwerkt verplicht om een privacy-administratie bij te houden. Er wordt hierbij geen onderscheid gemaakt tussen verschillende sectoren. Of jouw organisatie nu binnen de medische sector actief is of binnen de financiële sector, bij beiden is jouw organisatie verantwoordelijk voor het navolgen van de privacyregels. Uiteraard heeft elke sector wel haar eigen uitdagingen. In deze blog bespreken we daarom de uitdagingen binnen de sector ‘Hoger Onderwijs’ en geven we je tips om dit met behulp van Privacy Nexus op te lossen.


1. Centraal vs Decentraal


Binnen een onderwijsinstelling is vaak sprake van een complexe bedrijfsstructuur waarbij veel dingen decentraal worden geregeld en plaatsvinden. Denk aan de verschillende faculteiten of academies, die vervolgens weer uit veel verschillende opleidingen kunnen bestaan. En dan hebben we het nog niet eens over bachelor vs. master of deeltijd vs. voltijd. Aan de ene kant kunnen er hele specifieke verwerkingsactiviteiten plaatsvinden binnen een faculteit of opleiding, en aan de andere kant is er sprake van een groot aantal verwerkingsactiviteiten dat juist bij elke faculteit plaatsvindt. Daarnaast zullen de verschillende faculteiten voor een groot deel gebruik maken van dezelfde systemen (software) voor de opslag en het gebruik van gegevens. Je wil voorkomen dat meerdere mensen tijd gaan besteden aan het verzamelen en invoeren van dezelfde informatie, waardoor bijvoorbeeld de verwerking ‘Werving studenten’ door elke faculteit apart wordt ingevoerd.

Privacy Nexus maakt het heel gemakkelijk om al deze informatie centraal vast te leggen en toch het overzicht per faculteit of afdeling te behouden. Dit doe je door de bedrijfsstructuur van jouw organisatie in Privacy Nexus te definiëren. Hierbij kun je de verschillende afdelingen en faculteiten binnen jouw onderwijsinstelling aanmaken, met daaronder de bijbehorende opleidingen. Door de systemen en verwerkingen in je verwerkingsregister vervolgens aan de verschillende onderdelen van deze bedrijfsstructuur te koppelen kun je alsnog een duidelijk overzicht per faculteit of afdeling creëren binnen één verwerkingsregister.


2. Alle relevante informatie verzamelen én bijhouden


Doordat veel werkzaamheden binnen een onderwijsinstelling decentraal plaatsvinden is het vaak een uitdaging om alle relevante informatie op te halen en vast te leggen in een verwerkingsregister. Hoe kom je er als Privacy Officer bijvoorbeeld achter wat een examencommissie allemaal doet met persoonsgegevens. Daarnaast is het als Privacy Officer van een dergelijk grote organisatie vrijwel onmogelijk om deze informatie allemaal in je eentje te verzamelen. Daarnaast heb je natuurlijk nog meer te doen dan alleen een verwerkingsregister bij houden.


Privacy Nexus maakt het je heel makkelijk om de werkzaamheden te verdelen binnen de organisatie. Het minimale gebruik van juridische terminologie zorgt er namelijk voor dat de software ook gebruiksvriendelijk is voor mensen met minimale privacykennis. Je kunt per gebruiker verantwoordelijkheden toekennen die de gebruiker allemaal terug kan vinden op de persoonlijke homepage (een soort ‘TODO-lijstje’). Middels het toekennen van specifieke toegangsniveaus kun je er zelfs voor zorgen dat de rest van de software voor ze wordt afgeschermd. Op deze manier kunnen ze niet verzanden in de andere modules en functionaliteiten maar is het wel heel duidelijk wat er van hen verwacht wordt. Doordat jij als Privacy Officer in kunt zien wie waar verantwoordelijk voor is wordt het ook nog eens een stuk makkelijker om mensen aan te sturen.


3. Correcte informatie ophalen


Wanneer je informatie moet verzamelen bij zoveel verschillende mensen binnen zoveel verschillende afdelingen zul je een grote verscheidenheid aan input krijgen. Ook wanneer je een standaard vragenlijst opstelt zal de ene persoon deze vragen heel uitgebreid beantwoorden waar de ander niet verder komt dan ‘we verwerken NAW-gegevens’.

Middels Privacy Nexus kun je de vragenlijst niet alleen geautomatiseerd uitzetten maar zorg je er ook voor dat iedereen hetzelfde soort input levert. Binnen Privacy Nexus maken wij voor alle modules zoveel mogelijk gebruik van gesloten vragen. Op die manier maak je het mensen een stuk makkelijker om de juiste informatie aan te leveren en verminder je de kans op niet-relevante informatie. Zo maak je voor de vraag ‘Welke persoonsgegevens verwerk je?’ een selectie uit een lijst voor-gedefinieerde persoonsgegevens. Dit voorkomt antwoorden als ‘NAW-gegevens’ en maakt het daarnaast mogelijk om je verwerkingen te filteren op specifiek persoonsgegevens (bijvoorbeeld ‘studentnummer’).


4. Overlap tussen onderwijsinstellingen


Een groot deel van de systemen die worden gebruikt en verwerkingen die plaatsvinden binnen het hoger onderwijs zal gelijk zijn voor de verschillende onderwijsinstellingen. Denk aan de in- en uitschrijving van studenten of het gebruik van Osiris en Blackboard. Uiteraard kunnen er wat verschillen tussen zitten (zoals een verwerker) maar een deel van de informatie is gelijk. Het zou zonde zijn wanneer je als onderwijsinstelling voor al die systemen en verwerkingen opnieuw het wiel uit moet gaan vinden.

Voorbeeld van de systeem-templates van Privacy Nexus


Gelukkig heeft Privacy Nexus het wiel al voor je uitgevonden, in de vorm van templates. We hebben samen met onze klanten een aantal specifieke templates aangemaakt voor de onderwijssector. Middels deze templates word je als het ware aan de hand genomen bij het verzamelen van de juiste informatie; we suggereren de persoonsgegevens die hoogstwaarschijnlijk van toepassing zijn en helpen bij het beantwoorden van (een deel van) de vragen.


5. DPIA’s voor risicovolle verwerkingen


Een groot aantal verwerkingen dat plaatsvindt binnen een onderwijsinstelling brengt een zodanig risico met zich mee voor de betrokkenen dat een DPIA uitgevoerd moet worden. Denk bijvoorbeeld aan de verwerking van gezondheidsgegevens van studenten en medewerkers. Het uitvoeren van een DPIA wordt vaak gezien als een lastige onderneming die veel tijd in beslag neemt. En hoe bepaal je nu eigenlijk voor welke verwerkingen je een DPIA uit moet voeren?


Privacy Nexus helpt je hierbij door per verwerking te beoordelen of er een DPIA is aanbevolen, aan de hand van een aantal te beantwoorden vragen. De persoon die de vragen beantwoordt hoeft deze inschatting dus niet zelf te maken. Als Privacy Officer zie je zo in één oogopslag voor welke verwerkingen een DPIA wordt aanbevolen om uit te voeren. Wanneer een DPIA is aanbevolen kun je deze uitvoeren middels onze DPIA-module, waarbij we ook weer zo veel mogelijk gebruik maken van gesloten vragen. Dit laatste zorgt ervoor dat de persoon die de vragenlijst voor de bijbehorende verwerking heeft ingevuld ook kan helpen bij het verzamelen van een deel van de informatie voor het uitvoeren van de DPIA. Door de DPIA vervolgens te koppelen aan de betreffende verwerking uit het verwerkingsregister toon je gemakkelijk aan dat je aan de DPIA-verplichting hebt voldaan voor alle verwerkingen met een hoog risico.


Met eigen ogen zien hoe Privacy Nexus jouw onderwijsinstelling kan ondersteunen bij de privacy-administratie? Neem contact met ons op voor een demo of vrijblijvend testaccount!

December 2, 2019