in de centrale diensten (centraal niveau)

De DPO staat in voor de voorbereiding van het beleid aangaande informatieveiligheid en de bescherming van persoonsgegevens voor het GO! 

• richtlijnen, kaders, procedures en sjablonen opstellen en aanbevelingen doen m.b.t. gegevensbescherming
• bijstand bij register van verwerkingsactiviteiten / incidentenregister
  • aanleveren sjabloon en ondersteuning bieden bij invullen via IVOS-tool 
  • toezicht op ingevulde registers via IVOS-tool 
• inventarisatie van verwerkers (extern) en nagaan of met hen een verwerkingsovereenkomst werd afgesloten en aanlevering sjabloon 
  • bewustmaking en monitoring personeelsleden aangaande omgaan met persoonsgegevens
  • bewustmaking over beleid aangaande informatieveiligheid (inclusief aanlevering en bundeling van dit beleid)
  • naleving van dit beleid bijhouden en rapporteren aan algemeen directeur scholengroepen en afgevaardigd bestuurder GO!, afhankelijk van de case
  • aanspreekpunten informatieveiligheids- en privacybeleid opleiden en hun de nodige instrumenten / hulpmiddelen verstrekken
  • lerend netwerk voor aanspreekpunten opzetten en aansturen 

 
Handhaven van het beleid aangaande informatieveiligheid en de bescherming van persoonsgegevens binnen het GO! 

• input aangaande de opvolging van het beleid ter harte nemen
• ondersteuning geven aan aanspreekpunten aangaande individuele dossiers
• toezicht op verwerkingsactiviteiten lokale instellingen en scholengroepen
• register gegevensverwerkingen, incidentenregister

Adviserende rol bij risicoanalyse

• kennis nemen van de registers van verwerkingsactiviteiten en incidentenregisters van alle niveau
• mogelijke risico’s signaleren aan mesoniveau en passende maatregelen voorstellen om deze risico’s te beperken
• advies verstrekken in het kader van een gegevensbeschermingseffectbeoordeling (een doorgedreven proactieve risicobeoordeling die in toepassing van art. 35 AVG in sommige gevallen verplicht is, onder andere bij de introductie van nieuwe technologieën die een verhoogd privacyrisico met zich kunnen meebrengen)

Fungeren als formeel contactpunt voor privacy-gerelateerde aangelegenheden

• meldpunt voor incidenten en gegevenslekken
  • na kennisname van gegevenslek zo snel mogelijk alle feitelijke info verzamelen d.m.v. vragenlijst
  • deze info zo snel mogelijk melden aan de Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens (VTC)
• ondersteuning bieden aan het mesoniveau bij de registratie van incidenten / gegevenslekken in het incidentenregister
• ondersteuning bieden aan aanspreekpunten bij vragen rond bescherming persoonsgegevens / informatieveiligheid en bij de afhandeling van uitoefening rechten van betrokken
• instaan voor de afhandeling van uitoefening rechten van betrokkenen die rechtsreeks bij DPO ingediend worden (bv., recht op inzage, verwijdering …) 

bijhouden en actualiseren lijst veelgestelde vragen + antwoorden 
 
Risico’s signaleren aan afgevaardigd bestuurder en suggesties doen voor passende risicobeperkende maatregelen

op geregelde tijdstippen verslag uitbrengen bij de afgevaardigd bestuurder, algemeen directeurs en aanspreekpunten aangaande gegevenslekken en voorstel van maatregelen 

Samenwerken met de toezichthoudende autoriteiten en optreden als aanspreekpunt voor deze autoriteiten

• Gegevensbeschermingsautoriteit (afgekort GBA, federale instelling) 

Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens (afgekort VTC) 

Externe vertegenwoordiging op beleidsvoorbereidend domein

• overleg met DPO’s onderwijskoepels, Departement Onderwijs en Gegevensbeschermingsautoriteit (GBA) en Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens (VTC) 

kennisuitwisseling 

Agenderen/aanleveren voorstel agenda CORA en MaRa

Beslissen over de beleidsmaatregelen binnen het GO! 

• Voorbereiding gebeurt door DPO 

Kennis nemen van gesignaleerde risico’s en de voorgestelde passende maatregelen ter beperking van deze risico’s en hierover beslissen 

• signaleren van de risico’s gebeurt door data protection officer 

Naleven richtlijnen aangaande informatieveiligheid.

Meldplicht informatieveiligheidsincidenten en gegevenslekken.
 
* art. 35 AVG: Indien een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens.