Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Vanaf dat moment geldt er in de hele Europese Unie dezelfde privacywetgeving; de Wet bescherming persoonsgegevens (Wbp) vervalt.
Unilogic is tijdig begonnen met de voorbereidingen om ervoor te zorgen dat al haar producten AVG-compliant zijn. Ook hebben er in april een tweetal informatiebijeenkomsten plaatsgevonden voor EDUscope-gebruikers. Voor klanten die niet in de gelegenheid waren om hierbij aanwezig te zijn, hebben we hieronder een de antwoorden op een aantal veelgestelde vragen op papier gezet. Staat uw vraag er niet bij? Schroom dan niet om contact op te nemen.

 

VraagAntwoord
1. Wat betekent de komst van de AVG voor onze school?Met de komst van de Algemene verordening gegevensbescherming (AVG) krijgt u als school meer verantwoordelijkheden om de persoonsgegevens van uw leerlingen en medewerkers goed te beschermen. Meer informatie over de inhoud van deze verantwoordelijkheden leest u op de onderwijspagina van de Autoriteit Persoonsgegevens. Ook op deze themapagina van Kennisnet is veel informatie te vinden.
2. Welke verantwoordelijkheden bij de voorbereiding op de AVG liggen bij Unilogic?• Zorgen dat de producten AVG-compliant zijn.
• Certificering op basis van ISO 9001 (bedrijfsprocessen) en 27001 (security).
• Op basis van de template van Privacyconvenant Onderwijs standaard verwerkersovereenkomsten afsluiten met klanten.
3. Vragen m.b.t. de verwerkingsovereenkomst
a) Organisaties zijn verplicht om een register van verwerkingsactiviteiten op te stellen. In het register staat informatie over de persoonsgegevens die de organisatie verwerkt. Bij wie ligt de verantwoordelijkheid voor dit register?
b) Komt er een nieuwe verwerkingsovereenkomst vanuit Unilogic?
a) De verantwoordelijk hiervoor ligt bij de klant. Wel ondersteunt Unilogic haar klanten hierin door (in de verwerkingsovereenkomst) inzicht te geven in de te verwerken informatie.
b) Ja. Er komt een nieuwe verwerkingsovereenkomst gebaseerd op het Privacycovenant 3.0. Op dit moment wordt de technische bijlage aangepast voor de producen van Unilogic. Zodra dit gereed is, doch uiterlijk 25 mei, ontvangen de klanten van Unilogic deze verwerkingsovereenkomst.
4. Vragen m.b.t. het archiveren en verwijderen van gegevens:
a) Is het mogelijk om gegevens van uitgeschreven leerlingen te archiveren dan wel verwijderen?
b) Is het mogelijk om een bepaalde categorie gegevens bij alle leerlingen in één keer tegelijk te archiveren dan wel verwijderen?
c) Is het mogelijk om gegevens met een beperkte bewaartermijn automatisch te laten verwijderen na afloop van deze termijn?
a) Ja. Leerlingen die langer dan vijf jaar zijn uitgeschreven, kunnen gearchiveerd worden. In dat geval blijven alleen de NAW-gegevens en de laatste groep bewaard (te raadplegen via Rapportage – Administratie – Leerling – Gearchiveerde leerlingen). Archivering verloopt via Menu – Applicatiebeheer – Algemeen – Persoonsarchivering, door master of gebruiker met beheerdersrechten. Er wordt momenteel gewerkt aan de mogelijkheid om de termijn van vijf jaar zelf te kunnen wijzigen.
b) Op dit moment is dat niet mogelijk door de gebruiker, maar wel door Unilogic. Er wordt gewerkt aan de mogelijkheid om deze optie ook beschikbaar te maken voor gebruikers met een masteraccount of beheerdersrechten.
c) Nee, dit is niet mogelijk (en volgens Unilogic ook niet wenselijk).
5. Vragen m.b.t. logging:
a) Welke zaken dienen er gelogd te worden?
b) Kunnen de instellingen m.b.t. logging door de beheerder ingesteld/ gewijzigd worden?
c) Wie is er verantwoordelijkheid voor het controleren van de logbestanden?
a) Op basis van de nieuwe wetgeving trekt Unilogic de conclusie dat alle informatie gelogd moet worden, waaronder de mutaties.
b) Nee, dat is niet mogelijk.
c) De klant is zelf verantwoordelijk voor het periodiek controleren van de logbestanden.
6. Is het mogelijk om een toegangsmatrix te genereren op basis van de ingestelde rechten en rollen in EDUscope? Ja. Vanaf juni is het mogelijk om een toegangsmatrix te rapporteren bestaande uit een overzicht van de rechten per rol, de rollen van de gebruikers en eventuele afwijkende rechten van de gebruiker met een bepaalde rol.