B&T

Wat vraagt de AVG van het onderwijs?

Bewustwording en discipline zijn sleutelwoorden

Overig

Het zal niemand zijn ontgaan: sinds mei 2018 is de AVG van kracht. Dat betekent dat ook scholen moeten voldoen aan strenge regels omtrent het omgaan met persoonsgegevens. Een jaar na de invoering blijkt het voor grotere organisaties in het onderwijs ingewikkeld maar haalbaar om te voldoen aan de AVG. Voor kleinere partijen is het echter een grote uitdaging.

Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Daarmee is de privacywetgeving in de hele Europese Unie gelijk. De wet legt allerlei zaken vast omtrent het zorgvuldig omgaan met de gegevens van leerlingen, studenten, medewerkers en andere betrokkenen. Dit lijken misschien zaken die voor de hand liggen, maar in de praktijk zijn ze niet zo simpel. Door de AVG wordt namelijk steeds duidelijker dat organisaties over heel veel persoonsgegevens beschikken – soms misschien te veel.

Discipline

Zolang iedereen op school alles goed opbergt en de toegang voor onbevoegden wordt voorkomen, lijken de gevolgen van de AVG goed te overzien. Helaas beschikt niet iedereen van nature over de daarvoor benodigde discipline. Denk bijvoorbeeld aan het laten slingeren van papieren met persoonsgegevens of het niet afsluiten van een beeldscherm als je van je werkplek wegloopt. Mede hierdoor worden er momenteel tussen de vijf en tien meldingen bij de Autoriteit Persoonsgegevens gedaan per week.

Veel vragen

Er zijn heel veel situaties denkbaar waarin privacy in het geding kan komen. Het is ook niet altijd voor iedereen duidelijk wat nu wel en niet mag. Welke leerlinggegevens mag een school delen? En met wie? Mogen we foto’s en filmpjes van leerlingen delen? Heeft een school altijd toestemming van ouders nodig? Mag een school bewakingscamera’s ophangen? Wat moet je doen met WhatsApp-groepen, waar vaak ook leerlingen aan deelnemen? Welke software gebruiken we allemaal? En is de relatie met de leveranciers van de software wel goed geregeld als het gaat om privacy?

Interne oplossingen

Het is goed om als eerste de zaken die intern geregeld moeten worden, op orde te brengen. Besteed aandacht aan wat je vastlegt en waarom, hoe lang je iets bewaart en wie die data mag inzien. Dit moet natuurlijk ook onderhouden worden. Nieuwe producten en diensten inkopen betekent dus ook nieuwe verwerkersovereenkomsten sluiten en de toegang vastleggen.

Bewustwording

Veel organisaties benoemen vervolgens een Functionaris Gegevensbescherming (FG), waarmee zij voldoen aan één aspect van de wet. Maar daarmee zijn ze er nog (lang) niet. De AVG is eigenlijk pas goed ingevoerd als alle medewerkers die onbewust bekwaam toepassen. Daaraan vooraf gaat dus de bewustwording. Het gevaar van het aantrekken van een externe Functionaris Gegevensbescherming is dat de verplichtingen die voor scholen en besturen gelden ‘extern worden belegd’. De bewustwording bij medewerkers wordt daardoor niet altijd bevorderd.

Stappenplan

De principes van de AVG voor het doorgeven van gegevens zijn:

  • het dient een doel;
  • het is belangrijk, afgesproken of zelfs verplicht;
  • we geven zo min mogelijk door;
  • we vertellen wat we doen en waarom;
  • wat we zeggen, klopt.

Voor wie zich wil verdiepen in wat er van een schoolbestuur wordt verwacht door de AVG, volgt hieronder een beknopt stappenplan. Dit geeft een beeld van de omvang van de te nemen acties én de reikwijdte van de wet:

  • Opstellen beleidsplan
  • Actieplan voor het lopende jaar
  • Opstellen van reglementen en protocollen voor medewerkers, leerlingen en ouders. Denk hierbij onder andere aan een privacyreglement, clear desk- en clear screen-richtlijn, hoe om te gaan met datalekken, het gebruik van social media en internet, het maken van foto’s en films, et cetera.
  • Opstellen van dataregisters met alle persoonsgegevens die worden verwerkt:
    1. Welke gegevens slaat u op?
    2. Wie mag deze inzien?
    3. Hoe lang worden ze bewaard?
    4. Wie zijn uw toeleveranciers en welke gegevens verwerken zij?
    5. Welke standaard documenten gebruikt u in de organisatie?
  • Sluiten van verwerkersovereenkomsten met alle toeleveranciers
  • Creëren van bewustwording in de organisatie
  • Controleren op de naleving
  • En ten slotte: het invoeren van de PDCA-cirkel voor alle AVG-gerelateerde zaken.

Lentiz en de AVG

Lentiz onderwijsgroep begon al vroeg met de voorbereidingen op de AVG, vertelt Rick van Dam, lid van de raad van bestuur: “We zijn ruim een jaar voordat de wet in werking trad, gaan onderzoeken wat deze voor ons zou betekenen. Een aantal ICT-collega’s heeft op een rij gezet waar we allemaal aan moesten voldoen.”

Van Dam omschrijft de AVG als een ‘nieuwe wereld’ die de school is binnengekomen. “Die wereld kenden we in het onderwijs niet. We zijn bezig met het opleiden van leerlingen en studenten en toen kwam opeens die hele privacykant erbij. Zo werd dat gevoeld. Het werd een zoektocht hoe we toch gewoon ‘school’ konden blijven en tegelijkertijd konden voldoen aan de AVG. We moesten nieuwe processen een plek geven in de organisatie, maar we wilden niet dat die belangrijker zouden worden dan het onderwijs zelf.”

Urgentie

Terugkijkend op de afgelopen jaren vindt hij de hoeveelheid werk niet schrikbarend: “Het lijkt veel in het begin, maar als je successievelijk aan de slag gaat, valt het wel mee. Wel is het natuurlijk zo dat iedereen ermee te maken heeft. Het raakt alle personeelsleden. Er gaat dus wel wat tijd overheen voordat je iedereen hebt doordrongen van de urgentie. En het gaat ook niet meer weg. De samenleving acht privacy nu eenmaal hoog en dat begrijp ik heel goed.”

Lentiz wordt door hun externe Functionaris Gegevensbescherming hoog geclassificeerd, wat betekent dat zij bovengemiddeld ver zijn met de inbedding van de AVG. “Maar we kunnen nooit alle incidenten voorkomen, bijvoorbeeld dat een van onze computers gehackt wordt met ransomware. Het draait er dan om hoe je als organisatie met zo’n potentieel datalek omgaat. Maar ook daarvoor hebben we inmiddels procedures ingeregeld.”

Hulp bij AVG

Zolang alles goed gaat, is er niets aan de hand. Op het moment dat er echter een incident of datalek optreedt, komt uw organisatie onder een vergrootglas te liggen. Dat willen we graag samen met u voorkomen. Hebt u hulp nodig om uw school of bestuur AVG-proof te maken? Neem vrijblijvend contact op met Diana Goedschalk.

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.