Privacyteam

Het privacyteam beslist over de aanpak van een beveiligingsincident of een datalek in de meld- en de herstelfase en over de communicatie. Leden uit het team zullen de activiteiten uit het handboek datalekken (doen) uitvoeren. Het privacyteam is als volgt samengesteld:

1. het Hoofd IT,
2. de Senior Beleidsadviseur P&O,
3. de stafmedewerker IT (Coördinator IT & Onderwijs)
4. de functionaris gegevensbescherming.

Bij elke melding wordt door één van de leden van het privacyteam het lid van het College van Bestuur, die als aandachtsgebied de portefeuille IT heeft, geïnformeerd. Op basis van de informatie die het bestuurslid krijgt kan hij of zij besluiten voor de betreffende melding deel te nemen aan het privacyteam.

Desgewenst kan het privacyteam bij meldingen deskundigen van binnen of van buiten de organisatie informeren of inschakelen, zoals:

• IT-deskundigen:
  • medewerkers van de IT-afdeling die technisch kunnen beoordelen wat er aan de hand is, kunnen adviseren over maatregelen en deze kunnen uitvoeren, bijvoorbeeld een systeem- of netwerkbeheerder of een applicatiebeheerder,
  • externe deskundigen, bijvoorbeeld een forensisch IT-deskundige,
• een juridisch adviseur en/of
• een communicatieadviseur.

Alle besluiten die het privacyteam neemt worden schriftelijk vastgelegd en voorzien van de afweging die daaraan vooraf is gegaan. Besluitvorming door het privacyteam zal plaatsvinden op basis van volledige en juiste informatie over het beveiligingsincident, tenzij gezien de feiten en omstandigheden een besluit – mede met inachtneming van de op basis van de AVG geldende termijnen – niet langer kan worden uitgesteld.

Het e-mailadres van het privacyteam is datalek@driestarwartburg.nl

Verantwoordelijkheden:

• Registreren en coördineren van beveiligingsincidenten en datalekken.
• Coördineren van maatregelen en rapporteren aan proceseigenaren.
• Organiseren van voorlichtingscampagnes en verspreiden van informatie over IBP.

Het privacyteam is organisatiebreed zowel preventief als curatief benoemd voor informatiebeveiliging en privacy incidenten. De leden van het privacyteam zijn benoemd door het CvB en handelen in diens opdracht. De FG en het Hoofd IT zijn vanuit hun functie altijd lid van het privacyteam. Het privacyteam van Scholengroep Driestar-Wartburg heeft de volgende opdracht:

• Het signaleren en registreren van alle privacy verzoeken, beveiligingsincidenten en datalekken. Het coördineren van de maatregelen en het toezien op de oplossing van problemen die tot incidenten hebben geleid of waardoor de incidenten zijn veroorzaakt (of het bieden van ondersteuning daarbij);
• Het geven van voorlichting en het doen van algemene aanbevelingen aan netwerkbeheerders, systeembeheerders en eindgebruikers door het verspreiden van informatie;
• Het leveren van managementrapportages en verbetervoorstellen aan de domeinverantwoordelijken en proceseigenaren over de beveiligingsincidenten en verzoeken tot uitoefening privacyrechten van de betrokkenen.

Bij een calamiteit kan het Privacyteam terstond bij elkaar worden geroepen op initiatief van één van de leden van het team of van het CvB, in opdracht van het Scholengroep Driestar-Wartburg. Het doel hiervan is om de continuïteit van de informatievoorziening en de privacy te waarborgen. Onder calamiteiten worden verstaan:

• Datalek;
• Grote verstoringen van het netwerk (bijvoorbeeld DDoS aanval);
• Natuurrampen (brand, overstroming, storm, etc.).

Het privacyteam bij Scholengroep Driestar-Wartburg behandelt meldingen vertrouwelijk en verstrekt alleen informatie over beveiliging en privacy incidenten als dat noodzakelijk en relevant is voor de oplossing van een incident. De werkzaamheden van het privacyteam bij Scholengroep Driestar-Wartburg zijn gedocumenteerd en door de eindverantwoordelijke bekrachtigd.