B&T

Gegevensbescherming (AVG)

OrganisatieadviesThema’sBedrijfsvoeringGegevensbescherming (AVG)

Wat vraagt de AVG van het onderwijs?

Waar we zijn, met wie we praten, hoe gezond we zijn: veel informatie wordt vastgelegd zonder dat we dit weten. Bescherming van persoonsgegevens wordt steeds belangrijker. Privacy is immers een grondrecht. En een voorwaarde om vrij te zijn in wie je bent en wat je doet. De invoering van de Algemene Verordening Gegevensbescherming (AVG) in mei 2018 geeft aan hoe we moeten omgaan met de privacyregels. De effecten van de wetgeving zijn inmiddels merkbaar en zichtbaar op scholen. Gelukkig vinden veel schoolbesturen het belangrijk om de privacy van leerlingen en medewerkers optimaal te beschermen. Desondanks is er nog een wereld te winnen. Want zorgen dat uw organisatie volledig aan de AVG-voorschriften voldoet, is in de praktijk behoorlijk ingewikkeld.

Zolang iedereen op school alles goed opbergt en de toegang voor onbevoegden wordt voorkomen, lijken de gevolgen van de AVG goed te overzien. Helaas beschikt niet iedereen van nature over de daarvoor benodigde discipline. Denk bijvoorbeeld aan het laten slingeren van papieren met persoonsgegevens of het niet afsluiten van een beeldscherm als je van je werkplek wegloopt. Mede hierdoor worden er momenteel elke week tussen de vijf en tien meldingen gedaan bij de Autoriteit Persoonsgegevens.

Veel vragen

Er zijn heel veel situaties denkbaar waarin privacy in het geding kan komen. Het is ook niet altijd voor iedereen duidelijk wat nu wel en niet mag. Welke leerlinggegevens mag een school delen? En met wie? Mogen we foto’s en filmpjes van leerlingen delen? Heeft een school altijd toestemming van ouders nodig? Mag een school bewakingscamera’s ophangen? Wat moet je doen met WhatsApp-groepen, waar vaak ook leerlingen aan deelnemen? Welke software gebruiken we allemaal? En is de relatie met de leveranciers van de software wel goed geregeld als het gaat om privacy?

Interne oplossingen

Het is goed om als eerste de zaken die intern geregeld moeten worden, op orde te brengen. Besteed aandacht aan wat je vastlegt en waarom, hoe lang je iets bewaart en wie die data mag inzien. Dit moet natuurlijk ook onderhouden worden. Nieuwe producten en diensten inkopen betekent dus ook nieuwe verwerkersovereenkomsten sluiten en de toegang vastleggen.

Bewustwording

Veel scholen en besturen hebben inmiddels een Functionaris Gegevensbescherming (FG) aangesteld, waarmee zij voldoen aan één aspect van de wet. Maar daarmee zijn ze er nog (lang) niet. De AVG is eigenlijk pas goed ingevoerd als alle medewerkers die onbewust bekwaam toepassen. Daaraan vooraf gaat dus de bewustwording. Het gevaar van het aantrekken van een externe Functionaris Gegevensbescherming is dat de verplichtingen die voor scholen en besturen gelden ‘extern worden belegd’. De bewustwording bij medewerkers wordt daardoor niet altijd bevorderd.

Principes

De principes van de AVG voor het doorgeven van gegevens zijn:

  • het dient een doel;
  • het is belangrijk, afgesproken of zelfs verplicht;
  • we geven zo min mogelijk door;
  • we vertellen wat we doen en waarom;
  • wat we zeggen, klopt.

Stappenplan

Voor wie zich wil verdiepen in wat er van een schoolbestuur wordt verwacht door de AVG, volgt hieronder een beknopt stappenplan. Dit geeft een beeld van de omvang van de te nemen acties én de reikwijdte van de wet:

  • Opstellen beleidsplan
  • Actieplan voor het lopende jaar
  • Opstellen van reglementen en protocollen voor medewerkers, leerlingen en ouders. Denk hierbij onder andere aan een privacyreglement, clear desk- en clear screen-richtlijn, hoe om te gaan met datalekken, het gebruik van social media en internet, het maken van foto’s en films, et cetera.
  • Opstellen van dataregisters met alle persoonsgegevens die worden verwerkt:
    1. Welke gegevens slaat u op?
    2. Wie mag deze inzien?
    3. Hoe lang worden ze bewaard?
    4. Wie zijn uw toeleveranciers en welke gegevens verwerken zij?
    5. Welke standaard documenten gebruikt u in de organisatie?
  • Sluiten van verwerkersovereenkomsten met alle toeleveranciers
  • Creëren van bewustwording in de organisatie
  • Controleren op de naleving
  • En ten slotte: het invoeren van de PDCA-cirkel voor alle AVG-gerelateerde zaken.

Checklist

Wilt u weten hoe uw organisatie er voor staat op het gebied van de AVG? Vul dan onze handige AVG-checklist in.

Hulp bij AVG

Zolang alles goed gaat, is er niets aan de hand. Op het moment dat er echter een incident of datalek optreedt, komt uw organisatie onder een vergrootglas te liggen. Dat willen we graag samen met u voorkomen. Heeft u hulp nodig om uw school of bestuur AVG-proof te maken? Neem vrijblijvend contact met ons op. 

Gerelateerd nieuws

‘Het helpt als mensen beseffen wat er fout kan gaan’

Martin de Goffau is B&T’s specialist op het gebied van informatiebeveiliging en privacy. Hij helpt verschillende scholen en besturen met het opstellen en uitvoeren van hun AVG-beleid.

Verder lezen
Diana Goedschalk
hoofd binnendienst