Informatie beveiliging
Datalek..?
Ook bij twijfel, gewoon even melden.
Ook al doe je nog zo goed je best… het kan altijd een keer gebeuren. Ook bij twijfel gewoon even melden door op de groene knop hieronder te klikken.
Bewaar- en vernietigingsbeleid
Dit onderwerp valt onder het IBP Privacy domein 2: Processen en geeft invulling aan deze IBP- normen.
- Norm PR.07: Bewaar- en vernietigingsbeleid
Waar gaat dit over? (Scope)
Dit onderwerp gaat over het bewaren en vernietigen van (persoons)gegevens: hoe lang we gegevens mogen/moeten bewaren, wanneer we ze wissen of anonimiseren, en hoe we dat aantoonbaar doen. We volgen wettelijke termijnen en het dataminimalisatie-principe: niet langer bewaren dan nodig voor doel en plicht.
Wat valt binnen de Scope:
-
Alle informatievormen: digitaal (applicaties, e-mail, bestanden, logdata) en papier (dossiers/afdrukken).
-
Bewaartermijnen per gegevenssoort en een vernietigingskalender (periodiek uitvoeren).
-
Uitvoering van wissen/anonimiseren in bronsystemen én afgeleide omgevingen (kopieën, exports, test/acceptatie).
-
Back-ups & retentie-instellingen: gegevens verdwijnen volgens ingestelde levenscyclus; bij incident/onderzoek tijdelijk opschorten (“legal hold”).
-
Verwerkers/leveranciers: afspraken in contract/VO over bewaartermijnen, verwijdering en bewijs van vernietiging.
-
Registratie & aantoonbaarheid: log/rapport met wat is verwijderd, wanneer, door wie, op basis van welke termijn/grond.
-
Verzoeken van betrokkenen (recht op wissing) afgehandeld volgens dit beleid.
Wat valt buiten de Scope:
- Alles wat geen fysieke of digitale informatie bevat, of waarbij geen bewaartermijn/vernietiging aan de orde is
(bijv. gebouwbeheer, meubilair, schoonmaak/catering, gereedschap, lege hardware zonder data).
🐴 Ezelsbruggetje
Moet het blijven of mag het weg? → PR-07 beslist.
-
Geen doel/termijn? → Weg (wissen/anonimiseren).
-
Nog nodig of wettelijke plicht? → Bewaar volgens termijnen.
-
Klaar? → Vernietig aantoonbaar (ook bij verwerkers/back-ups).
ProcesScope (aanpak)
Check wettelijke bewaartermijn
Is er een wettelijke termijn (zie Kennisnet-overzicht)? → die geldt als minimale én maximale bewaartermijn.
Geen wettelijke termijn → richtlijn
Geen wet gevonden? Volg de richtlijn uit het Kennisnet-overzicht. Afwijken kan alleen in overleg met de PSO/FG; motivering vastleggen in het Overzicht bewaartermijnen.
Geen wet en geen richtlijn → noodzaak
Hanteer de AVG-hoofdregel: niet langer bewaren dan noodzakelijk voor het doel. Stel als bestuur een concrete termijn vast, met motivering, in overleg met PSO/FG, en neem die op in het Overzicht bewaartermijnen.
Termijn verstreken → vernietigen
Is de (wettelijke/richtlijn/zelf vastgestelde) termijn voorbij? → gegevens vernietigen (of anonimiseren als vernietigen niet kan) en de actie registreren.
Registreren & publiceren
Alle geldende termijnen voor <naam schoolbestuur> staan in het Overzicht bewaartermijnen (<locatie/link>). Wijzigingen/afwijkingen worden gedateerd vastgelegd met motivering.
Praktische noot: bij incident/onderzoek kan tijdelijke opschorting (legal hold) gelden; na afloop hervat je vernietiging volgens de vastgestelde termijn.
Speerpunten
-
Bewaar alleen wat nodig is; daarna wissen/vernietigen.
- Volg wettelijke termijnen (AVG/Archiefwet); archiveren waar de Archiefwet dat vereist.
- Verwijdingstermijnen: leerlingenadm./verzuim 5 jaar na uitschrijving;
- Opslaan alleen in aangewezen systemen (ParnasSys, Visma Talent, M365)
- Back-ups gereguleerd: niet algemeen toegankelijk; na recovery eerder vernietigde data opnieuw verwijderen.
Quickview (wettelijk) vastgestelde bewaartermijnen
Hieronder vind je sneloverzicht van de meestvoorkomende bewaartermijnen.
Het vernietigingstermijn start direct na afloop van de bewaartermijn.
Wettelijke bewaartermijnen Onderwijs
| Type document/gegevens | Bewaartermijn |
|---|---|
| Aanmeldingsformulier | 5 jaar + 8 weken |
| Besluit van weigering voor een school | 5 jaar |
| Bewijsstukken bekostiging niet-Nederlandse culturele achtergrond leerlingen | 5 jaar + 8 weken |
| Inschrijfformulier, aanmeldgegevens | 5 jaar + 8 weken |
| Leerlingenadministratie zoals: Aanmelding, Aanmeldgegevens, Gegevens ouder/verzorger/voogd, Inschrijving, Inschrijvingsgegevens, Deelname- en aanwezigheidsgegevens | 5 jaar + 8 weken |
| Onderwijskundig rapport | 5 jaar |
| Opstellen en uitvoering ontwikkelingsperspectief(plan) | 2 jaar (let op: Optimus bewaart deze op (noodzakelijkheids)vraag van Samenwerkingsverband 5 jaar) |
| Persoonsgegevens van leerlingen die op de basisschool zijn ingeschreven, zoals: Leerling; Algemene en contactgegevens; Persoonlijke kenmerken; Leerlingnummer; Keten-ID (ECK-ID); PGN; … | 5 jaar |
| Schooladvies | 5 jaar |
| Verzuimregistratie per leerling | 5 jaar + 8 weken |
| Vorming zorgdossier: Gemeenschappelijk rapport van de onderzoekscommissie inclusief onderzoeksresultaten | 3 jaar (let op: Optimus bewaart deze op (noodzakelijkheids)vraag van Samenwerkingsverband 5 jaar) |
Kun je het bewaartermijn hier niet terugvinden? Raadpleeg dan het Excel-overzicht Bewaartermijnen, te downloaden onder Documentatie.
Richtlijnen Onderwijs
| Type document/gegevens | Bewaartermijn |
|---|---|
| Gemaakt schoolwerk, toetsen, opdrachten | Zodra niet meer relevant, maar uiterlijk 2 jaar na uitschrijving leerling |
| Zorgdossier (gegevens over extra zorg en begeleiding van de leerling). Hieronder valt: alle gegevens die nodig zijn voor de speciale begeleiding van leerlingen (al dan niet in samenwerking met het SWV PO) of het treffen van bijzondere voorzieningen in verband met hun gezondheidstoestand noodzakelijk is. | 2 jaar, na uitschrijving van de leerling |
| Zorgdossier orthopedagoog | Niet verwerken |
| Besluit van schorsing | 5 jaar, na uitschrijving leerling |
| Jaarverslag kwaliteit van onderwijs | 7 jaar, na uitschrijving leerling |
| Gemaakt en ingeleverd huiswerk, ingevuld digitaal les- en leermateriaal | 2 jaar, na einde schooljaar. |
Kun je het bewaartermijn hier niet terugvinden? Raadpleeg dan het Excel-overzicht Bewaartermijnen, te downloaden onder Documentatie.
Documentatie
Klik op hieronder voor toegang tot het materiaal:
- IBP beleidstuk Bewaar- en vernietigingsbeleid Optimus Onderwijs.
- IBP (Excel) Bewaartermijnenoverzicht (bron Kennisnet, maart 2024)
- IBP hulpdocument: Verwijderen binnen ParnasSys
Deze documenten hebben een informatieclassificatie intern of vertrouwelijk. Toegang wordt gegeven op aanvraag.
Om het makkelijker te maken, hebben we een Bewaartermijnen-assistent ontwikkeld. Deze helpt je niet alleen bij het vinden van de wettelijke bewaartermijnen, maar houdt ook rekening met de interne afspraken binnen Optimus Onderwijs. 👇
💬 Probeer de Bewaarassistent Let op: De Assistent zit nog in haar proefperiode ;-), controleer het antwoord altijd nog even bij de Privacy Officer.