Legt jouw onderwijsinstelling persoonsgegevens vast? Vanaf 25 mei 2018 moet je al voldoen aan de Algemene verordening gegevensbescherming (AVG). In het Engels is dit de General Data Protection Regulation (GDPR). Je kunt hier de laatste tijd nauwelijks omheen. In vakbladen en LinkedIn-groepen zie ik hier veel discussies over. Het is dus geen wonder dat een functioneel beheerder van een grote ROC-instelling mij pas vroeg hoe hij hiermee moet omgaan met TOPdesk. In dit blog geef ik 4 concrete tips waarmee onderwijsinstellingen hun TOPdesk-omgeving AVG-compliant kunnen maken.
TOPdesk & AVG/GDPR
Niet alle informatie beschikbaar over AVG/GDPR blijkt praktisch genoeg voor onderwijsinstellingen om hiermee zelf stap voor stap je TOPdesk-omgeving compliant aan de nieuwe wetgeving te maken. Terwijl mijn functioneel beheerder juist op zoek was naar concrete stappen die hij zelf kan nemen om binnen de applicatie alles goed te regelen.
TOPdesk wordt bij hen ingezet voor de ondersteuning van zowel medewerkers als studenten. Ieder jaar is er een groot verloop in het aantal accounts en daarmee persoonsgegevens. Samen zijn we aan de slag gegaan en hebben we de volgende vier stappen gezet om zijn TOPdesk-omgeving compliant te maken:
1. Wees kritisch op wat je registreert
Met TOPdesk ondersteun je je dienstverlening. Daarvoor leggen onderwijsinstellingen gegevens vast van medewerkers, klanten en leerlingen zoals naam, e-mailadres en telefoonnummer. Soms zien we dat klanten veel meer persoonsinformatie vastleggen dan noodzakelijk is. Enerzijds gaat het dan om de informatie in accounts, maar denk daarnaast ook aan wat je vastlegt in meldingen en aanvragen.
De AVG verplicht ieder bedrijf dat werkt met persoonsgegevens ‘rechtmatig en zorgvuldig’ met die data om te gaan. Het bedrijf moet dat ook kunnen aantonen. Registreer daarom alleen wat je echt nodig hebt voor je dienstverlening. Hiervan moet je vastleggen waarvoor je deze informatie gebruikt en dat vervolgens ook transparant maken richting de betrokkenen.
2. Ruim oude gegevens op
De AVG geeft geen concrete bewaartermijn voor persoonsgegevens. De regels voor bewaartermijnen die nu onder de Wet bescherming persoonsgegevens (Wbp) gelden, veranderen dus niet. Leerlingendossiers mogen bijvoorbeeld nog steeds maar 2 jaar worden bewaard nadat een leerling van school is gegaan. Dezelfde termijn geldt ook voor personeelsdossiers na uitdiensttreding
De AVG noemt wel een opslagbeperking voor persoonsgegevens. Wat dit betekent? Persoonsgegevens mogen alleen worden bewaard als dit nodig is voor het doel waarvoor de gegevens zijn vastgelegd. Het opruimen van verouderde gegevens is nog niet overal goed ingeregeld. In veel TOPdesk-omgevingen zien we dat er al wel gebruik wordt gemaakt van archiveren, maar dan wordt de informatie nog steeds bewaard. Om te voldoen aan de wetgeving hebben we functionaliteiten ingebouwd voor het anonimiseren van oude persoonsinformatie.
Functioneel beheerders van TOPdesk kunnen (vanaf versie 8.02.13) in TOPdesk instellen na welke termijn gegevens worden geanonimiseerd. Hierbij zijn diverse opties beschikbaar, voor zowel het anonimiseren van accounts als de inhoud van meldingen. Zeker met een grote hoeveelheid studenten die ieder jaar starten en afstuderen is dit heel wenselijk!
3. Richt toegang tot de software goed in
Niet alle behandelaars in TOPdesk hebben dezelfde informatie nodig. Om te voorkomen dat mensen meer zien dan noodzakelijk is het belangrijk om een goede inrichting te hebben van de autorisaties. Je kan dit binnen TOPdesk zelf organiseren met behulp van rechten en filters.
Het beheer van autorisaties in verschillende systemen kan vooral bij grote organisaties veel tijd kosten. In die gevallen is interessant om te kijken naar oplossingen om te koppelen met een centraal Identity Access Management (IAM) systeem. In de TOPdesk Marketplace vind je meer informatie over bestaande oplossingen en integraties met onze partners.
4. Zet TOPdesk in ter ondersteuning van processen en communicatie
Voor veel uitdagingen rond de AVG bestaat een eenvoudige oplossing binnen TOPdesk. Denk bijvoorbeeld aan het inrichten van een proces rondom veiligheidsincidenten in de module Meldingenbeheer. Het kennissysteem en de selfserviceportal zijn erg geschikt om te documenteren welke gegevens waarom worden vastgelegd en dat inzichtelijk te maken aan de klant.
Het gaat natuurlijk over meer dan alleen de bovengenoemde punten. Wil je meer weten over de nieuwe privacywetgeving? Dan kan je hier meer informatie over de GDPR lezen. Hier vind je 12 handige tips over correct gebruik van TOPdesk in relatie tot de AVG.
Functioneel beheerders van TOPdesk die toegang hebben tot ons Extranet vinden hier diverse andere kennisitems over het onderwerp.
Meer onderwijs tips?
Deze AVG tips hebben verschillende klanten van al vaker geholpen de piekdrukte het hoofd te bieden. Wil je meer weten? Je mag altijd contact met ons opnemen of bezoek onze onderwijs website!
