Naderende AVG/GDPR wetgeving per 25 mei

Als gevolg van de naderende AVG /GDPR heeft Somtoday privacy en de onderhavige wetgeving scherp op het netvlies. Dit heeft de afgelopen maanden al geresulteerd in aanpassingen op diverse vlakken (verwerkersovereenkomsten, privacy protocollen en functionele aanpassingen t.b.v. AVG) en communicatie via de nieuwsbrief. Hieronder geven we u in het kort aan welke stappen zijn gezet en welke stappen u op korte termijn nog kunt verwachten. Dit alles om u als school in staat stellen om aan de privacywetgeving te voldoen als verantwoordelijke:

Wat heeft Somtoday al gedaan

  • We waren al  bij het privacy convenant 2.0 aangesloten en zijn nu bezig met actualiseren naar versie 3.0 (versie 3.0 is sinds eind februari 2018 als template beschikbaar vanuit het privacy convenant).

  • De gehanteerde bewerkersovereenkomst 2.0 wordt bijgewerkt naar versie 3.0. Deze bijgewerkte versie wordt uiterlijke eind april 2018 naar het bevoegd gezag verzonden. Één van de veranderingen is dat er niet langer van een bewerker, maar over een verwerker wordt gesproken en vandaar de naamsverandering.

  • Afstemming met subverwerkers ter verfijning/bewustwording voor het actualiseren van ook hun verwerkersovereenkomst. Dit valt samen met oplevering van de nieuwe verwerkersovereenkomst per eind april 2018.

  • Interne (en externe) awareness blijven creëren voor beveiliging en privacy in algemene zin. Denk hierbij o.a. aan de privacysessie op de klantendag van Somtoday 2017, het aanbieden van Webinars (Privacy Awareness) en het uitvoeren van audits op het Somtoday architectuur landschap.

  • Het upgraden / uitfaseren van ‘oudere’ software onderdelen. De migratie van BusinessObjects 3.1 XI naar 4.2 is daar een zichtbaar voorbeeld van.

  • Functionaliteit als softtokens (two-factor-authenticatie), inlog auditlog voor alle accounts, fijnmazig rollen & rechten model voor LVS/ELO, uitwisseling van gegevens o.b.v. UWLR aanbieden en deelname aan de nummervoorziening (ECK iD).
     

Waar zijn we mee bezig voor Somtoday

  • Bewaarplicht en ‘right to be forgotten’: Somtoday verwijdert niets uit zichzelf! Somtoday gaat signaalfuncties en collectieve verwijder processen faciliteren. Het 1e domein waar nu aan gewerkt wordt is het zorgdomein / LVS met oplevering per 18 mei 2018, in versie 8.10 van Somtoday.

  • Vormgeven van anonimiseren/archiveren: dit gebeurt verkennend in samenspraak met scholen en de onderwijsmarkt (o.a. Kennisnet en de VO-raad). Dit template biedt in basis houvast per type gegeven en benoemd bijv. wanneer iets 2 jaar of 5 jaar bewaard moet worden. De daadwerkelijke stap ter verwijdering is aan de school ondersteund met signaalfuncties vanuit de software.

  • Het toepassen van dataminimalisatie en het beperken van standaard zichtbare gegevens door actief schooljaar filtering toe te passen. In het standaard zoekscherm kan alleen nog op vorig, huidig en komend schooljaar worden gezocht. Voor het zoeken verder terug in de tijd via uitgebreid zoeken komt een apart recht.

  • Actief informeren middels nieuwsbrieven en FAQ’s vanuit o.a. de Somtoday servicedesk. Veel van de fijnmazigheid en instellingsmogelijkheden zijn onvoldoende bekend binnen de diverse onderwijsorganisaties. Beter teveel awareness zien te creëren dan te weinig voor dit privacy onderwerp. Onderzocht wordt ook of we een autorisatiematrix beschikbaar kunnen stellen.

  • Het wordt met oplevering per augustus 2018, in versie 9.0 van Somtoday mogelijk om middels huidige functionaliteit vanaf 16 jaar de ‘ouder-toegang’ voor Somtoday te ontnemen. Nu is de grens nog 18 jaar.

CumLaude gekoppeld met Somtoday

  • Vanuit CumLaude wordt gekeken naar dataminimalisatie, waarbij alleen data wordt ontvangen en verwerkt die echt nodig zijn. Dit is mei 2018 gereed.

  • Autorisatie mogelijkheden van gegevens (data exports) vanuit CumLaude kunnen inregelen. Fijnmazigheid om doelbinding te kunnen borgen.

  • Het algemene beveiligingsniveau van CumLaude verhogen door technische optimalisaties door te voeren in de architectuur.

Gezamenlijk verder
We trekken graag samen op met u vanuit de school en de gebruikersvereniging samenSOM om éénduidig te voldoen aan de vernieuwde AVG privacywetgeving. Somtoday doet er binnen haar product, de serviceverlening en vanuit de verantwoordelijkheid als leverancier alles aan om u als school in staat te stellen te voldoen aan de AVG per 25 mei 2018.

Heeft u naar aanleiding van bovenstaande nog vragen? Neem dan contact met ons op via onderstaand formulier.