De AVG voor scholen: dit moet je weten!

Gepubliceerd op: 5 februari 2018
Door: Britte Koppel

De Algemene Verordening Gegevensbescherming, of kort gezegd: AVG. Heb jij er al van gehoord? Deze nieuwe privacywet wordt op 25 mei 2018 van kracht en heeft gevolgen voor vrijwel alle bedrijven en sectoren. Oók voor het onderwijs. Wat moet (en kan) een onderwijsorganisatie doen om straks aan die nieuwe, strenge privacywet te voldoen? En misschien nog wel belangrijker: hoe ga jij dat aanpakken? In deze blog een overzicht van de eisen waar iedere organisatie straks aan moet voldoen en een aantal handige tips.

Privacyschending, hacken, phishing … Het zijn zomaar wat termen die we de laatste jaren behoorlijk vaak hebben gehoord. Niet zo gek, want nu we met z’n allen een stuk digitaler worden, lopen we ook een groter risico dat onze privacy geschonden wordt. Talloze bedrijven verzamelen data van je. En als al die data gecombineerd worden, krijgt een organisatie een behoorlijk goed beeld van wie jij bent. Zo kunnen ze bijvoorbeeld precies weten wat voor interesses jij hebt, welke aankopen je onlangs online hebt gedaan en zelfs hoeveel geld je verdient. Maar wat als al die data in de verkeerde handen komen? Na een overgangsperiode van twee jaar wordt de nieuwe privacywetgeving AVG (of GDPR in het Engels) in heel Europa actief in mei 2018. Wat moet een onderwijsinstelling doen om aan die wetgeving te voldoen?

Wat verandert er precies voor scholen?

Vanaf 25 mei 2018 moeten schoolbesturen zorgen dat de privacy van leerlingen en medewerkers nog beter wordt beschermd. Op dat moment wordt de nieuwe privacywetgeving van kracht, die de huidige Wet bescherming persoonsgegevens uit 2001 vervangt. Als onderwijsinstelling moet je kort gezegd deze zaken regelen:

  • Een functionaris voor de gegevensbescherming aanstellen.
  • Omschrijven welke privacygevoelige gegevens er vastgelegd worden en vooral ook waarom dit gebeurt.
  • Hoe deze gegevens worden beveiligd tegen allerlei vormen van cybercrime en wie er toegang heeft tot de gegevens.
  • Hoe je de personen van wie de gegevens zijn, de mogelijkheid geeft om te onderzoeken of de regelgeving wordt nageleefd.
  • Op welke manier leveranciers hiermee omgaan en hoe de ketenverantwoordelijkheid is geregeld.
  • Hoe de onderwijsinstelling omgaat met privacygevoelige gegevens en hoe eventuele datalekken gemeld worden.

Er komt dus behoorlijk wat kijken bij de nieuwe wetgeving. Daarom loop ik de eisen hierna stuk voor stuk door. Naast de bovengenoemde punten, is het verstandig om binnen het team aandacht te besteden aan bewustwording rondom omgaan met privacygevoelige informatie. Dit is geen vereiste, maar wel een manier om te zorgen dat de cybervaardigheden van het hele team op orde zijn. Aan de to do’s hieronder móet je in ieder geval aandacht besteden.

To do: stel een functionaris voor de gegevensbescherming aan

Bij het ingaan van de AVG wordt het voor een aantal organisaties verplicht om een onafhankelijke functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen de organisatie controleert of de AVG goed wordt toegepast én nageleefd. Voor onderwijsinstellingen is een FG vanaf 25 mei 2018 verplicht, omdat ze vaak bijzondere persoonsgegevens vastleggen. Denk bijvoorbeeld aan gedragsstoornissen of dyslexie. Je hoeft overigens niet per school of vestiging een functionaris voor de gegevensbescherming aan te stellen; dit wordt door het schoolbestuur gedaan.

To do: onderbouw het gebruik van leerlinggegevens

Om te voldoen aan de AVG moet een schoolorganisatie omschrijven welke persoonsgegevens de school verzamelt en waarom dit wordt gedaan. Onder persoonsgegevens valt alle informatie die herleidbaar is naar een natuurlijk persoon. Denk aan algemene persoonsgegevens als namen, e-mailadressen, geboortedata, adressen en telefoonnummers, maar ook bijzondere persoonsgegevens zoals gezondheid, religie en afkomst. Beschrijf vervolgens waarom het noodzakelijk is dat deze gegevens vastgelegd worden, wat je met deze gegevens doet (hoe je ze gebruikt of verwerkt) en hoelang je van plan bent om ze te bewaren. ‘Dataminimalisatie’ is hierbij het uitgangspunt: je mag niet meer gegevens verzamelen (en bewaren) dan strikt noodzakelijk is. Concreet betekent dit bijvoorbeeld dat ouders je straks veel makkelijker kunnen vragen om gegevens te verwijderen.

Tip: bekijk welke gegevens van leerlingen er nu op school worden vastgelegd  en noteer deze in een register. Je kunt beter te veel dan te weinig gegevens opschrijven. Houd ook rekening met de gegevens die worden bewaard van werknemers én ouders. Zie daarbij eventuele backups en andere archieven niet over het hoofd. De bescherming van deze persoonsgegevens valt namelijk net zo goed onder de AVG.

To do: zorg voor expliciete toestemming

Een belangrijk onderdeel van de wet is dat degene van wie je de persoonlijke gegevens verzamelt expliciet toestemming geeft voor het gebruik van deze gegevens voor specifieke doeleinden. Er is straks dus een actieve handeling nodig van leerlingen en ouders om ergens hun goedkeuring voor te krijgen, bijvoorbeeld het geven van een handtekening. Je mag alleen de gegevens gebruiken voor de doelen waar vooraf die expliciete toestemming voor gegeven is. Zorg dat je de toestemming goed documenteert en bewaart. Een voorbeeld: worden er op school digitale leermiddelen gebruikt, dan kunnen de leveranciers daarvan óók vragen om bewijs van die toestemming.

Goed om te weten: voor het gebruik van bijvoorbeeld sociale media in de les moeten ouders van leerlingen onder de 16 jaar straks uitdrukkelijke toestemming geven! Leerlingen van 16 jaar of ouder geven zelf toestemming.

To do: zorg voor een verwerkersovereenkomst met andere bedrijven

Werken jullie als school samen met andere bedrijven? Bijvoorbeeld voor een leerlingvolgsysteem of een bepaalde app die wordt gebruikt? Dan ben je verplicht om een overeenkomst op te stellen met de aanbieder. Dit heet een verwerkersovereenkomst. Hierin staat onder welke voorwaarden de gegevensverwerking mag plaatsvinden en ook wat er met de gegevens moet gebeuren als de samenwerking stopt. Wat er allemaal in een verwerkersovereenkomst staat, is terug te lezen op de website van de Autoriteit Persoonsgegevens.

Tip: werk je samen met grote bedrijven zoals Google of Microsoft, bijvoorbeeld omdat je Google Classroom of Office 365 gebruikt? Vraag dan bij die bedrijven hun verwerkersovereenkomst op. Grote internationale bedrijven hebben deze namelijk vaak al beschikbaar.

To do: zorg voor transparantie naar ouders en leerlingen

Een groot verschil tussen de Wet bescherming persoonsgegevens (Wbp) van 2001 en deze nieuwe wet, is dat de personen van wie je gegevens verzamelt veel meer rechten hebben om hier iets aan te doen. Zo kunnen ouders en leerlingen inzicht vragen in de gegevens die je als school van hen hebt, aanpassingen eisen omdat gegevens niet correct zijn of vragen om de gegevens compleet te wissen of over te dragen (bijvoorbeeld naar een andere onderwijsinstelling).

To do: omschrijf hoe de onderwijsinstelling omgaat met privacygevoelige gegevens en hoe datalekken gemeld worden

Een belangrijk doel van de AVG is dat organisaties zich bewuster worden van hun omgang met privacygevoelige informatie. Zo is het vanaf 25 mei 2018 verplicht om risicoanalyses uit te voeren. Hierin noteer je wat de belangrijkste risico’s zijn in de systemen die je gebruikt (bijvoorbeeld het administratiesysteem) en welke maatregelen je neemt om die risico’s te beperken.

To do: omschrijf hoe eventuele datalekken gemeld worden

Lekt er toch data uit? Dan ben je verplicht dit datalek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Het schoolbestuur is ook verplicht om minimaal een keer per jaar een gegevensbeschermingseffectbeoordeling (GEB) uit te voeren. Dit houdt in dat er van tevoren ingeschat wordt welke privacyrisico’s een bepaalde verwerking van persoonsgegevens heeft om deze risico’s vervolgens zo klein mogelijk te maken.

To do: ga daadwerkelijk zorgvuldiger om met gegevens

Een aantal processen die je al jaren op dezelfde manier aanpakt zal echt moeten veranderen. De AVG vereist een nieuwe manier van denken en omgaan met gegevens. Met alleen een paar aanpassingen in het privacyreglement en een register met welke gegevens er gebruikt worden, ben je er niet als organisatie. Daadwerkelijk zorgvuldig omgaan met gegevens en je regelmatig afvragen waarom je bepaalde gegevens verzamelt en of het niet minder kan, is een goed begin.

Toezicht van de Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens houdt toezicht en controleert of alle (onderwijs)organisaties aan hun plichten voldoen. Als school moet je altijd kunnen aantonen welke maatregelen je hebt genomen om gegevens te beschermen en hoe je de impact van een eventueel datalek kunt verkleinen.

Omvangrijke wetgeving

Zoals je ziet heeft de AVG nogal wat invloed op manier waarop je werkt. Bedrijven en instellingen hebben veel meer eigen verantwoordelijkheid om de wet na te leven én daar transparant over te zijn. Ondanks de lengte van deze blog, bevat deze lang niet alle informatie over de AVG en de plichten die je als school straks hebt. Om fikse boetes (tot maximaal 20 miljoen euro!) te voorkomen, kun je het beste direct beginnen en juridische ondersteuning vragen bij twijfel. Op de website van de Autoriteit Persoonsgegevens lees je meer over de AVG in het dossier Scholen & de AVG.

Meer weten over hoe de AVG in de praktijk werkt en hoe je om moet gaan met gegevens van jou en van anderen? Bekijk dan de verschillende leerblokken over de AVG van Edutrainers. De leerblokken zijn geschikt om groepen te trainen, monitoren en certificeren, ook in combinatie met een workshop. Wil je nieuwe leerblokken als eerste zien en uitproberen? Schrijf je dan in voor onze nieuwsbrief en we sturen je een berichtje zodra er een nieuw leerblok beschikbaar is.

Misschien vind je dit ook interessant

6 Responses

  1. als mijn zoon (17) zich heeft ziekgemeld op zijn stage adres en ik heb hem ziekgemeld op zijn school. mag zijn mentor dan mijn zoon vragen wat hij mankeert? Tussen werkgever en werknemer is dit duidelijk gesteld in de wet maar de verhouding leerling versus leerkracht kan ik nergens terugvinden.

    1. Hoi Rene,

      Dat is een lastige vraag waar ik zo snel ook geen antwoord op weet helaas! Ik verwacht dat dit mag en dat het aan jouw zoon is of hij dat wel of niet wil delen. Wellicht dat de Autoriteit Persoonsgegevens een antwoord heeft op jouw vraag. Zij zijn de handhaver van de AVG in Nederland.

      1. Mag een directeur een brief naar alle ouders schrijven dat mijn zoon (met voornaam)worsteld met zichzelf, dat ze hem niet meer kunnen bereiken en na een ernstig conflict (gevochten) hij niet meer naar deze school (speciaal basisonderwijs) en kamp mag komen ivm veiligheid voor andere kinderen?

  2. Beste Mimi,

    Dat gaat ver, maar het kan zijn dat het onder bepaalde omstandigheden kan. Als het goed is heeft de school (of een eventueel overkoepelend bestuur) een functionaris gegevensbescherming aangesteld waar je met dit soort vragen terecht kan. Weet je hoe je hem of haar kan bereiken?

  3. Bedankt Britte, ik denk dat dat wel lukt. Ik ben alleen bang dat ze elkaar beschermen en ik hierdoor geen poot om op te staan heb…of hoeft ik mij daar geen zorgen over te maken?
    Waar kan ik evt nog meer terecht?

    1. Hmm een functionaris gegevensbescherming is in principe onafhankelijk, dus dat zou niet mogen. Je kunt altijd contact opnemen met de Autoriteit Persoonsgegevens. Zij zijn in Nederland de handhaver van de AVG.

      Succes!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Search