Hoe gaat de school om met de privacy van uw kind? In 10 stappen naar een betere AVG compliance.

Met de komst van de Algemene Verordening Gegevensbescherming (AVG) dragen schoolbestuurders meer verantwoordelijkheden om de persoonsgegevens van hun leerlingen goed te beschermen. De wet is al in werking getreden en zal per 25 mei 2018 ook echt gehandhaafd gaan worden door de Autoriteit Persoonsgegevens.

1, Zorg dat de medewerkers op de hoogte zijn van de AVG

De directie, het management maar ook de docenten en ondersteunend personeel kunnen allemaal aan de basis liggen van een privacy lek. Het is daarom belangrijk de gevolgen van de wet en de mogelijke consequenties

voor de school duidelijk te maken. Het voldoen aan de AVG zal behoorlijk wat tijd vergen van de school en haar medewerkers en dient derhalve tijdig gebudgetteerd en ingepland te worden. Ook de ouders dienen geïnformeerd te worden over de mogelijke consequenties. Dit dient tijdig te gebeuren en zeker niet NA 25 mei 2018.

2, Stel z.s.m. een Functionaris Gegevensbescherming (FG) aan.

Soms is een organisatie verplicht een FG aan te stellen. Het voldoen aan een van de drie genoemde vereisten is hiervoor al voldoende. Scholen zijn vrijwel allemaal wettelijk verplicht een FG aan te stellen. Een overkoepelende

stichting kan een centrale FG aan stellen die voor alle scholen de werkzaamheden coördineert. Een FG kan in loondienst worden aangesteld of extern worden ingehuurd. De school dient aan de Autoriteit Persoonsgegevens te melden wie de FG voor de school is. Een FG is een gekwalificeerde functie met voldoende juridische, privacy en databescherming kennis en kunde.

3, Start met de privacy governance

Voldoen aan de AVG is niet voldoende, de Autoriteit Persoonsgegevens wil bewijs zien dat er pro-actief omgegaan wordt met de databescherming. Dit omvat onder andere het uitvoeren van een Privacy Impact Assessment, gegevensbescherming audits, privacy policy reviews en het opzetten en bijhouden van een verwerkingsregister.

4, Communiceer en informeer

Scholen zijn verplicht te melden aan personen van wie de gegevens bijgehouden wordt, welke informatie wordt verwerkt, waarom die data wordt verwerkt, waar die data wordt bewaard, hoe lang die data wordt bewaard met wie deze data gedeeld wordt. Tevens moeten die personen geïnformeerd worden over hun rechten omtrent deze gegevensverwerking. Als er in het proces iets wijzigt, de school besteed bijvoorbeeld een deel van de verwerking uit, dan dient het informeren opnieuw te geschieden en dienen deze personen hiertegen in bezwaar te kunnen gaan.

5, Vraag toestemming, wie zwijgt stemt toe gaat niet meer op

Dit onderdeel binnen de AVG is sterk aangezet. Bij geldige toestemming moet elke twijfel zijn uitgesloten. Foto’s en video’s waarbij personen herkenbaar in beeld zijn, zijn persoonsgegevens. Wil de school beeldmateriaal publiceren van een leerling van 16 jaar of ouder? Dan moet de leerling daarvoor zelf toestemming geven. Is de leerling jonger dan 16 jaar? Dan heeft de school toestemming nodig van zijn of haar ouder/voogd. Onder de AVG moet de

school straks aan kunnen tonen dat ze een geldige toestemming van leerlingen en/of hun ouders heeft voor de publicatie van het beeldmateriaal. En het moet voor leerlingen en ouders net zo makkelijk zijn om de toestemming weer in te trekken als om de toestemming te geven.

6, Erken de rechten van de persoon en richt hiervoor de juiste processen in

De rechten van de datasubjects zijn onder de AVG sterk toegenomen. Zo kunnen personen wiens gegevens worden verwerkt gratis hun gegevens mogen inzien, laten corrigeren bij fouten, vergeten mogen worden uit de administratie, hun gegevens mee willen nemen naar een andere school. Zorg ervoor dat de digitale middelen die u als school gebruikt ook de mogelijkheden bieden om bovenstaande rechten uit te kunnen voeren.

7, Werk aan Privacy by Design en Default

Privacy by design houdt in dat u er al bij het ontwerpen van onderwijs producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat u niet meer gegevens verzameld dan noodzakelijk voor het doel van de verwerking. En dat u de gegevens niet langer bewaart dan nodig.

Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat

u wilt bereiken. Dit kunnen vinkjes op de website zijn die standaard aan staan en gegevens die u vraagt voor de nieuwsbrief.

8, Zorg dat ook leveranciers en verwerkers hun zaken op orde hebben

Ondanks dat de school de data niet altijd zelf verwerkt, ontslaat dat het schoolbestuur niet van hun verantwoordelijkheden. Dankzij het convenant Digitale Onderwijsmiddelen en Privacy 2.0 is het voor scholen eenvoudiger om afspraken te maken met leveranciers. Belangrijkste punt in het convenant is de rolverdeling: scholen hebben de regie op wat er gebeurt met de persoonsgegevens. Dit mag je niet overlaten aan een leverancier (een verwerker). De school beslist wat de leverancier wél en niet met de gegevens mag doen. Check of uw leverancier is aangesloten bij het privacy convenant, zorg dat er een model verwerkersovereenkomst is- of wordt afgesloten, controleer de bijlagen hiervan en onderteken alle benodigde documenten.

9, Internationaal data verkeer

Scholen moeten goed in kaart brengen of hun privacy data binnen de grenzen van de EU blijft. Het gebruik van cloud services, digitale fotoboeken, mobiele apps, nieuwsbrieven of alleen al een email zenden naar ouders of agenten in het buitenland kan mogelijk in strijd zijn met de AVG. Discussies spelen nog steeds over de geldigheid van Safe Harbour en Privacy Shield afspraken met de Verenigde Staten. Het is de verantwoordelijkheid van het schoolbestuur om te controleren of het gebruik van deze diensten is toegestaan.

10, Incidenten en Datalekken

Een beveiligingsincident is een gebeurtenis waarbij de mogelijkheid bestaat dat de beschikbaarheid, integriteit of vertrouwelijkheid van informatie of informatieverwerkende systemen in gevaar is of kan komen. Een datalek is een beveiligingsincident, waarbij gegevens verloren raken of onrechtmatig worden bewerkt (opgeslagen, aangepast, verzonden, enz.). Een school is verplicht binnen 72 uur een datalek te melden bij de Autoriteit

Persoonsgegevens. De FG van de school dient tevens een incidentenregister bij te houden.

Tot slot

Bovenstaande stappen zijn slechts een eerste aanzet om te komen tot AVG compliance. Het (bewust) niet voldoen aan de wet zal door de landelijke autoriteiten persoonsgegevens beboet kunnen worden tot een bedrag van 4% van de overkoepelende omzet of €20 miljoen euro. Mocht u in Oktober 2017 nog niet begonnen zijn dan kunt u maar beter snel starten. 25 mei 2018 komt sneller dan u denkt.

Mocht u verdere vragen hebben omtrent de AVG/GDPR of hulp nodig bij de implementatie dan kunt u mailen naar avg@privacyprotectors.eu