Programma Cyberveiligheid mbo

Generiek verwerkingsregister

Het generieke verwerkingsregister bespaart mbo-instellingen veel tijd bij de implementatie omdat het vooraf ingevulde, veelvoorkomende verwerkingen van persoonsgegevens bevat. Vanuit deze basis kunnen instellingen het register aanpassen aan hun eigen praktijk.

Op grond van de AVG zijn mbo-instellingen verplicht om een overzicht van alle verwerkingen van persoonsgegevens binnen de organisatie bij te houden. Voor veel scholen is het een uitdaging om zo’n verwerkingsregister praktisch en duurzaam in te richten. Vanuit het programma Cyberveiligheid is daarom een generiek verwerkingsregister voor het mbo ontwikkeld, dat instellingen direct kunnen gebruiken en aanpassen aan hun eigen werkpraktijk.

Basisverwerkingen uit de mbo-praktijk

Bij het generieke verwerkingsregister beginnen instellingen niet met een lege database, maar krijgen ze een standaard register met mbo-specifieke basisverwerkingen.  Elke verwerking in het register is beschreven aan de hand van een vaste set eigenschappen (attributen). Denk aan de specifieke persoonsgegevens die een instelling verwerkt, met welk doel en grondslag ze dit doet, van wie de gegevens afkomstig zijn (bijvoorbeeld een student of medewerker) en hoe lang ze gegevens bewaart.

Passend bij bestaande mbo-architectuur

Omdat het generieke verwerkingsregister is gebaseerd op de hoofdprocessen van de Middelbaar Beroepsonderwijs Referentie Architectuur (MORA), sluit het naadloos aan op de bestaande architectuur van mbo-instellingen. Het verwerkingsregister wordt opgeslagen in Trustbound, de GRC-applicatie die alle mbo-instellingen gebruiken.

Vliegende start door voorwerk

Vanuit het programma is een handreiking opgesteld, die functionarissen gegevensbescherming (FG) en privacy officers (PO) helpt om het generieke register in hun eigen Trustbound-omgeving te implementeren. De handreiking is ook een naslagdocument. Zo staat erin wat je als instelling moet organiseren om de basis op orde te brengen, hoe het zit met verantwoordelijkheden en rollen, en wat een instelling moet controleren na de implementatie. Het document bevat verder handige tips, die ervoor zorgen dat het register niet alleen papieren verplichting is, maar de instelling juist grip en inzicht geeft op de verwerking van persoonsgegevens.

Voldoen aan de AVG en risico’s voorkomen

Een goed geïmplementeerd en bijgehouden verwerkingsregister zorgt ervoor dat privacy onderdeel wordt van het normale werkproces van een instelling. Het is ook een belangrijke informatiebron voor audits en benchmarks. Met een actueel verwerkingsregister is een instelling in control, voldoet ze aantoonbaar aan de AVG én voorkomt ze onnodige risico’s.

Contactpersoon

Neem voor meer informatie contact op met Henry Meutstege of Max Passet.