Net soos enige besigheid, moet skole en opvoedkundige liggame voldoen aan die opdaterings van die Databeskermingswet wat in Mei kom.
Ons weet dat die databeskermingswette, soos ons dit vandag ken, besig is om te verander. Die Algemene databeskermingsregulasie (GDPR) tree op 25 Mei vanjaar in werking, en die oorgrote meerderheid organisasies, ongeag die grootte, moet gereed wees vir daardie veranderinge.
Skole sal die persoonlike data van onderwysers, studente en hul gesinne verwerk. In baie gevalle sal hulle bemarking gebruik om inname te verbeter of om geld in te samel. Skole het CCTV, gebruik wolksagteware – al die areas wat die GDPR raak. Kom ons kyk dus na sommige van die areas wat skole sal moet oorweeg wanneer hulle aan die nuwe regulasies voldoen, en hoe jy kan begin.
Die persoonlike data-ekosisteem is 'n term wat deur die Departement van Onderwys, om te beskryf hoe data gestoor word en die onderlinge skakeling van stelsels wat hulle gebruik om dit in te stoor. Hierdie stelsels sluit in:
Daar sal dikwels van skole verwag word om daardie persoonlike data aan ander agentskappe te stuur, insluitend Gesondheid en Maatskaplike Sorg, plaaslike owerhede en die Departement van Onderwys self.
As u op hierdie manier na die data kyk, help dit u om enige veranderinge wat u vir die GDPR moet maak, te beplan.
Ons het dus vroeër genoem dat dit nie net die persoonlike data van leerlinge is wat jy as 'n skool gaan hanteer nie – dit kan ook data van die ouers of versorgers en enigiemand in diens van jou wees. Dit sluit huidige en voormalige werknemers sowel as individue in wat aansoek gedoen het vir werk by jou organisasie. Skole moet al die persoonlike en spesiale kategoriedata wat hulle besit, identifiseer.
Verwys terug na die persoonlike data-ekosisteem – Deel jy data met ander organisasies?
Soos die meeste aspekte van die BBP, sal jy beleide moet instel om te beskryf hoe jy data sal hanteer. Hier sal jy na jou stelseldatabehoudbeleid moet kyk en jouself afvra of dit ooreenstem met jou databehoudbeleid. Laat dit jou toe om jou skoolpligte na te kom en is dit ingesluit in kontrakte met verskaffers?
As 'n individu vra om te sien watter data jy oor hulle hou, moet jy hierdie inligting verskaf. Dit word 'n vaktoegangsversoeke of SAR genoem. Jy moet vol vertroue wees dat jy toegang tot hierdie inligting het en in staat wees om die Onderwerp hiervan te voorsien binne die gespesifiseerde tydraamwerk.
Enige stelsel waarin jy die persoonlike data stoor, moet veilig wees. Daar sal van jou verwag word om die stappe te beskryf wat jy in plek het om dit te beskerm. Voldoen jy aan enige erkende standaarde, soos ISO 27001 vir inligtingsekuriteitbestuurstelsels?
'n Pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte
Kom die 25ste Mei vanjaar, is jy vol vertroue dat die verskaffer wat jou skool van jou stelsels voorsien gereed sal wees vir die veranderinge aan die Databeskermingswet? Het hulle hul stappe tot GDPR beskryf en gedemonstreer?
Wanneer jy 'n Databeskermingsbeampte, of DPO aanstel, beveel die Departement van Onderwys aan dat jy nie 'n IT-hoof of die Hoofonderwyser kies nie. Hulle stel 'n individu voor wat geen betrokkenheid het by die neem van besluite oor tegnologie of verwerking nie.
Dit is ook opmerklik dat Databeskermingsbeamptes vir 'n aantal organisasies kan werk. Dit beteken jy kan 'n DPO met 'n ander skool deel.
Die Inligtingskommissaris se kantoor, saam met die DfE sal voortgaan om hul leiding in die komende weke op te dateer. ISMS.online sal jou op hoogte hou.
