033 200 30 83
Carmel verbindt VO-scholen verspreid door heel Nederland. Op bijna 50 schoollocaties wordt een breed onderwijsaanbod verzorgd. De scholen verzorgen praktijkonderwijs, vmbo, mavo, havo, vwo en gymnasium. In totaal worden ruim 34.000 leerlingen in hun leerproces begeleid door ongeveer 4.100 medewerkers. De scholen beschikken over een grote mate van autonomie en zelfstandigheid, maar vormen samen een solidair verbond van kennis en ervaring op het gebied van voortgezet onderwijs.
Willem Jan Bos is senior-adviseur juridische zaken van Carmel en maakt deel uit van het Netwerk Privacy coördinatoren van de Stichting. Dit netwerk ontwikkelt in opdracht van het College van Bestuur (CvB) protocollen en afspraken voor alles wat met de AVG te maken heeft. Daarmee heeft het een stevige opdracht, die moet resulteren in beleid voor heel Carmel en alle medewerkers. Uiteraard na vaststelling door het CvB en waar nodig met instemming van de Gemeenschappelijke Medezeggenschapsraad.
Beginsituatie
Privacy is voor Carmel geen nieuw begrip. Voordat de huidige AVG van kracht werd, was er bij onderwijsinstellingen, zeker die met een omvang als Carmel, al veel aandacht voor de bescherming van persoonsgegevens. Vanwege de grote mate van zelfstandigheid van de individuele instellingen was het echter niet zeker dat goede initiatieven overal op dezelfde manier geïmplementeerd werden wat toch een zeker risico met zich meebracht.
De uitdaging
Met de invoering van de AVG in 2018 kreeg het Netwerk Privacy Coördinatoren van het College van Bestuur de opdracht om het privacy beleid voor de Stichting verder te ontwikkelen en aantoonbaar te verankeren binnen de hele Carmel organisatie. Het was Willem Jan al snel duidelijk dat alles rondom de leerling gegevens, voornamelijk vastgelegd in het leerlingvolgsysteem, een van de speerpunten moest worden. Een van de grote uitdagingen lag in de organisatie van de uitrol van de AVG binnen Carmel, vanwege de schaalgrootte, de geografische spreiding en het diverse kennisniveau met betrekking tot de kernpunten van de AVG. Het beleid voor de hele Stichting moest uniform geïmplementeerd worden. Dat betekende dat er veel ondersteuning gevraagd werd bij de uitrol, en dat er een centraal overzicht nodig was om te kunnen zien en rapporteren hoe succesvol de uitrol verliep. Dat overzicht zou Willem Jan dan inzicht geven waar specifiek aandacht nodig was op specifieke kennis of manier van werken
Willem Jan maakt daarvoor gebruik van een externe FG-dienst (van Lumen Group) als klankbord en toezichthouder. Daarnaast is er een organisatie opgezet met een netwerk van 12 privacy coördinatoren vanuit de instellingen die ondersteund worden door een externe kwartiermaker.
EasyPrivacy®
De inrichting van de organisatie vroeg om een eenvoudig centraal systeem waarin structuur, overzicht en inzicht centraal stonden. In dit systeem moeten taken opgenomen en toegewezen kunnen worden aan mensen (zowel centraal, in het netwerk van coördinatoren en aan functionarissen op specifiek vakgebied). Vervolgens moet snel duidelijk worden of een taak op de juiste manier is uitgevoerd, binnen de gestelde termijn, en met het verwachte resultaat. Daarom is EasyPrivacy® gebaseerd op de PDCA-methodiek, met een duidelijk verband tussen plan (P), uitvoering (Do), beheer (Check) en vervolgactie (Act).
Inzicht en overzicht moeten zowel centraal als decentraal beschikbaar zijn met één druk op en knop op ieder gewenst moment. Volledig transparant, zodat de coördinatoren ook van elkaar kunnen leren en zich onderling kunnen benchmarken. EasyPrivacy® voldeed aan al deze voorwaarden, vanwege de ingebouwde gelaagdheid. Makkelijk in het gebruik, eenvoudig te leren, en krachtig en doelmatig in de mogelijkheden om inzicht en overzicht te houden. Zodat altijd aantoonbaar duidelijk is op welke manier Carmel de persoonsgegevens van alle betrokkenen beschermt (AVG artikel 5 lid 2).
Welke resultaten zijn met deze aanpak bereikt?
Op hoofdlijnen is de implementatie van de AVG nu gereed. De logische uitkomst is dat nu begonnen wordt aan het finetunen van het systeem waarbinnen de implementatie van de AVG wordt beheerd en bestuurd. Privacy moet onderdeel gaan uitmaken van de PDCA-cyclus binnen Carmel College, om te blijven voldoen aan de AVG en continu te verbeteren. Dankzij het gebruik van EasyPrivacy® als platform voor de implementatie van de AVG heeft Willem Jan een grote mate van beheersbaarheid gekregen waardoor hij op ieder moment een steekproef kan doen, status-updates kan opvragen, en een gerichte management rapportage kan maken voor het College van Bestuur.
Hij weet zeker dat mensen met de juiste dingen bezig zijn, en in lijn werken met het centraal uitgezette beleid. Daardoor wordt er geen tijd verloren en wordt het risico op beveiligingsincidenten aanzienlijk verkleind. En doordat de procedures duidelijk en uniform zijn opgesteld kan er, in geval van een beveiligingsincident, snel en effectief worden opgetreden en worden geïnformeerd.
De mogelijkheid om gericht ondersteuning te geven aan coördinatoren maakt dat de implementatie samen met alle betrokkenen en stakeholders gedragen wordt omdat men van elkaar kan leren en de som van de delen meer is dan het absolute totaal.
De coördinatoren zijn positief over het gekozen traject en de fysieke en digitale ondersteuning en kunnen ook gerichter sturen binnen hun gebied van verantwoordelijkheid. Stakeholders en belanghebbenden zijn positief omdat duidelijk is dat de eisen van de AVG op een structurele manier worden geïmplementeerd waarbij uniformiteit, overzicht en inzicht en beheersbaarheid geborgd zijn.
EasyPrivacy®, omdat uw klanten, partners en leerlingen moeten kunnen vertrouwen op een goede bescherming van hun persoonsgegevens
