Waar we zijn, met wie we praten, hoe gezond we zijn: veel informatie wordt vastgelegd zonder dat we dit weten. Bescherming van persoonsgegevens wordt steeds belangrijker. Privacy is immers een grondrecht. En een voorwaarde om vrij te zijn in wie je bent en wat je doet. De invoering van de Algemene Verordening Gegevensbescherming (AVG) in mei 2018 geeft aan hoe we moeten omgaan met de privacyregels. De effecten van de wetgeving zijn inmiddels merkbaar en zichtbaar op scholen. Gelukkig vinden veel schoolbesturen het belangrijk om de privacy van leerlingen en medewerkers optimaal te beschermen. Desondanks is er nog een wereld te winnen. Want zorgen dat uw organisatie volledig aan de AVG-voorschriften voldoet, is in de praktijk behoorlijk ingewikkeld.
Zolang iedereen op school alles goed opbergt en de toegang voor onbevoegden wordt voorkomen, lijken de gevolgen van de AVG goed te overzien. Helaas beschikt niet iedereen van nature over de daarvoor benodigde discipline. Denk bijvoorbeeld aan het laten slingeren van papieren met persoonsgegevens of het niet afsluiten van een beeldscherm als je van je werkplek wegloopt. Mede hierdoor worden er momenteel elke week tussen de vijf en tien meldingen gedaan bij de Autoriteit Persoonsgegevens.
Er zijn heel veel situaties denkbaar waarin privacy in het geding kan komen. Het is ook niet altijd voor iedereen duidelijk wat nu wel en niet mag. Welke leerlinggegevens mag een school delen? En met wie? Mogen we foto’s en filmpjes van leerlingen delen? Heeft een school altijd toestemming van ouders nodig? Mag een school bewakingscamera’s ophangen? Wat moet je doen met WhatsApp-groepen, waar vaak ook leerlingen aan deelnemen? Welke software gebruiken we allemaal? En is de relatie met de leveranciers van de software wel goed geregeld als het gaat om privacy?
Het is goed om als eerste de zaken die intern geregeld moeten worden, op orde te brengen. Besteed aandacht aan wat je vastlegt en waarom, hoe lang je iets bewaart en wie die data mag inzien. Dit moet natuurlijk ook onderhouden worden. Nieuwe producten en diensten inkopen betekent dus ook nieuwe verwerkersovereenkomsten sluiten en de toegang vastleggen.
Veel scholen en besturen hebben inmiddels een Functionaris Gegevensbescherming (FG) aangesteld, waarmee zij voldoen aan één aspect van de wet. Maar daarmee zijn ze er nog (lang) niet. De AVG is eigenlijk pas goed ingevoerd als alle medewerkers die onbewust bekwaam toepassen. Daaraan vooraf gaat dus de bewustwording. Het gevaar van het aantrekken van een externe Functionaris Gegevensbescherming is dat de verplichtingen die voor scholen en besturen gelden ‘extern worden belegd’. De bewustwording bij medewerkers wordt daardoor niet altijd bevorderd.
De principes van de AVG voor het doorgeven van gegevens zijn:
Voor wie zich wil verdiepen in wat er van een schoolbestuur wordt verwacht door de AVG, volgt hieronder een beknopt stappenplan. Dit geeft een beeld van de omvang van de te nemen acties én de reikwijdte van de wet:
Wilt u weten hoe uw organisatie er voor staat op het gebied van de AVG? Vul dan onze handige AVG-checklist in.
Zolang alles goed gaat, is er niets aan de hand. Op het moment dat er echter een incident of datalek optreedt, komt uw organisatie onder een vergrootglas te liggen. Dat willen we graag samen met u voorkomen. Heeft u hulp nodig om uw school of bestuur AVG-proof te maken? Neem vrijblijvend contact met ons op.