Wat vraagt de AVG van het onderwijs?
Waar we zijn, met wie we praten, hoe gezond we zijn: veel informatie wordt vastgelegd zonder dat we dit weten. Bescherming van persoonsgegevens wordt steeds belangrijker. Privacy is immers een grondrecht. En een voorwaarde om vrij te zijn in wie je bent en wat je doet. De invoering van de Algemene Verordening Gegevensbescherming (AVG) in mei 2018 geeft aan hoe we moeten omgaan met de privacyregels. De effecten van de wetgeving zijn inmiddels merkbaar en zichtbaar op scholen. Gelukkig vinden veel schoolbesturen het belangrijk om de privacy van leerlingen en medewerkers optimaal te beschermen. Desondanks is er nog een wereld te winnen. Want zorgen dat jouw organisatie volledig aan de AVG-voorschriften voldoet, is in de praktijk behoorlijk ingewikkeld.
Zolang iedereen op school alles goed opbergt en de toegang voor onbevoegden wordt voorkomen, lijken de gevolgen van de AVG goed te overzien. Helaas beschikt niet iedereen van nature over de daarvoor benodigde discipline. Denk bijvoorbeeld aan het laten slingeren van papieren met persoonsgegevens of het niet afsluiten van een beeldscherm als je van je werkplek wegloopt. Mede hierdoor worden er momenteel elke week tussen de vijf en tien meldingen gedaan bij de Autoriteit Persoonsgegevens.
Veel vragen
Er zijn heel veel situaties denkbaar waarin privacy in het geding kan komen. Het is ook niet altijd voor iedereen duidelijk wat nu wel en niet mag. Welke leerlinggegevens mag een school delen? En met wie? Mogen we foto’s en filmpjes van leerlingen delen? Heeft een school altijd toestemming van ouders nodig? Mag een school bewakingscamera’s ophangen? Wat moet je doen met WhatsApp-groepen, waar vaak ook leerlingen aan deelnemen? Welke software gebruiken we allemaal? En is de relatie met de leveranciers van de software wel goed geregeld als het gaat om privacy?
Principes
De principes van de AVG voor het doorgeven van gegevens zijn:
- het dient een doel;
- het is belangrijk, afgesproken of zelfs verplicht;
- we geven zo min mogelijk door;
- we vertellen wat we doen en waarom;
- wat we zeggen, klopt.
Interne oplossingen
Het is goed om als eerste de zaken die je intern moet regelen op orde te brengen. Besteed aandacht aan wat je vastlegt en waarom, hoe lang je iets bewaart en wie die data mag inzien. Dit moet je natuurlijk ook onderhouden. Nieuwe producten en diensten inkopen betekent dus ook nieuwe verwerkersovereenkomsten sluiten en de toegang vastleggen.
Bewustwording
Veel scholen en besturen hebben inmiddels een Functionaris Gegevensbescherming (FG) aangesteld, waarmee zij voldoen aan één aspect van de wet. Maar daarmee zijn ze er nog (lang) niet. De AVG is eigenlijk pas goed ingevoerd als alle medewerkers die onbewust bekwaam toepassen. Daaraan vooraf gaat dus de bewustwording. Sommige scholen en besturen stellen een externe FG aan. Daarin schuilt een gevaar, want het extern beleggen van de AVG komt de bewustwording bij medewerkers niet altijd ten goede.
Stappenplan
Voor wie zich wil verdiepen in wat de AVG van een schoolbestuur verwacht, volgt hieronder een beknopt stappenplan. Dit geeft een beeld van de omvang van de te nemen acties én de reikwijdte van de wet:
- Opstellen beleidsplan.
- Actieplan voor het lopende jaar.
- Opstellen van reglementen en protocollen voor medewerkers, leerlingen en ouders. Denk hierbij onder andere aan een privacyreglement, clear desk- en clear screen-richtlijn, hoe om te gaan met datalekken, het gebruik van social media en internet, het maken van foto’s en films, et cetera.
- Opstellen van dataregisters met alle persoonsgegevens die worden verwerkt:
- Welke gegevens sla je op?
- Wie mag deze inzien?
- Hoe lang worden ze bewaard?
- Wie zijn jouw toeleveranciers en welke gegevens verwerken zij?
- Welke standaarddocumenten gebruikt jouw organisatie?
- Sluiten van verwerkersovereenkomsten met alle toeleveranciers.
- Creëren van bewustwording in de organisatie.
- Controleren op de naleving.
- En ten slotte: het invoeren van de PDCA-cirkel voor alle AVG-gerelateerde zaken.
Checklist
Wil je weten hoe jouw organisatie er voor staat op het gebied van de AVG? Vul dan onze handige AVG-checklist in.
Begeleiding B&T
Zolang alles goed gaat, is er niets aan de hand. Op het moment dat er echter een incident of datalek optreedt, komt je organisatie onder een vergrootglas te liggen. Dat willen we graag samen met jou voorkomen. Zoek je begeleiding om jouw school of bestuur AVG-proof te maken? Neem dan vrijblijvend contact met ons op.
