OHM helpt schoolbesturen bij het voldoen aan de verplichtingen van de AVG

6 MRT ‘18
Bron: OHM

Op 25 mei 2018 wordt een nieuwe wet van kracht, namelijk de AVG (Algemene Verordening Persoonsgegevens). De AVG komt in de plaats van alle andere huidige Nederlandse privacywetgeving. De doelstelling van de nieuwe wet is de privacy-rechten te versterken, persoonsgegevens beter te beschermen en krachtiger te kunnen optreden tegen misbruik. De AVG is een stuk strenger in de regelgeving over de verwerking van persoonsgegevens. Dat heeft tot gevolg dat er meer verplichtingen komen met betrekking tot de wijze waarop persoonsgegevens van leerlingen en docenten worden verzameld, bewaard en gebruikt.

Om te kunnen voldoen aan de nieuwe wetgeving moeten schoolbesturen verschillende maatregelen met betrekking tot informatiebeveiliging en privacy (IBP) nemen.

Het contract met administratiekantoren moet worden aangepast.

Als het schoolbestuur de verwerking van de persoonsgegevens heeft uitbesteed aan een administratiekantoor die bijvoorbeeld de personeels- en salarisadministratie voert, moet er een ‘verwerkingsovereenkomst’ tussen het bestuur en het kantoor worden afgesloten. Het schoolbestuur blijft - als uitbestedende partij – altijd eindverantwoordelijk voor de naleving van de AVG. De afspraken met de verwerkende partij moeten daarom helder op papier staan.

Alle processen waarbinnen met persoonsgegevens wordt gewerkt, en de beveiliging van de gegevens, moeten in kaart worden gebracht.

Voordat een goed IBP-beleid kan worden opgesteld, zal er eerst inzicht moeten komen in de processen waarbinnen persoonsgegevens worden verwerkt. Ook moet worden vastgelegd met welk doel de gegevens worden verzameld, bewaard en gebruikt. Let op: als de gegevens namelijk niet meer noodzakelijk zijn voor het betreffende doel, zullen ze ook weer moeten worden verwijderd. En bijzondere persoonsgegevens zoals politieke voorkeur, religie of medische gegevens mogen in principe niet worden opgeslagen.

Vervolgens zal er voor een goede digitale en fysieke beveiliging van de persoonsgegevens moeten worden gezorgd. Hoe gevoeliger de gegevens zijn, des te strenger zullen ook de beveiligingsmaatregelen moeten zijn.

Er moet een Functionaris Gegevensbescherming worden aangesteld.

Omdat onderwijsinstellingen voor de AVG gelijkgesteld worden aan overheidsinstanties, is het verplicht een interne toezichthouder op de verwerking van persoonsgegevens aan te stellen. Zo iemand wordt een functionaris voor de gegevensbescherming (FG) genoemd. De FG houdt binnen de organisatie toezicht op de toepassing en naleving van de AVG. Omdat deze functionaris een bijzondere status krijgt (ontslagbescherming) moet dit in een functie plaatsvinden en kan niet worden volstaan met het toewijzen van de taak van FG. Voor een onderwijsinstelling is het lang niet altijd handig om voor een beperkt aantal uren per jaar iemand in dienst te nemen. Deze functie mag ook worden ingekocht.

Handig om te weten:

Persoonsgegevens

Persoonsgegevens zijn alle gegevens die een persoon kunnen identificeren. Bijvoorbeeld feitelijke gegevens zoals naam, adresgegevens of BSN-nummer, maar ook foto’s of leerlingennummers. Denk daarbij aan alle leerling gegevens in het leerlingvolgsysteem, of aan de gegevens van screening van nieuwe docenten bij indiensttreding, foto’s die van leerlingen worden gemaakt, gegevens van de ouders of verzorgers van leerlingen, het schoolnetwerk en digitale leermiddelen, persoonsgegevens die aan subsidieverstrekkers worden verstrekt, camerabeelden in de fietsenstalling, het uitwisselen van gegevens met andere scholen … te veel om op te noemen.

Aanpak IBP voor scholen

Dat een goed beleid op het gebied van informatiebeveiliging en privacy (IBP) veelomvattend is, dat is wel duidelijk. Ter ondersteuning hebben de VO-raad, PO-raad en Kennisnet de Aanpak IBP ontwikkeld. De Aanpak IBP bestaat uit drie stappen:

-Organiseren
In deze stap is het belangrijk inzicht te krijgen in de processen waarbinnen persoonsgegevens worden verwerkt.

-Realiseren
Vervolgens worden risico’s in kaart gebracht, maatregelen getroffen en procedures uitgewerkt. Er wordt een actieplan opgesteld. Dit vereist commitment van alle medewerkers.

-Communiceren
Om te zorgen dat alle inspanningen niet voor niets zijn geweest, is het vooral belangrijk te (blijven) communiceren. Met medewerkers, leerlingen én hun ouders of verzorgers. Daardoor gaat het onderwerp privacy leven en wordt het integraal onderdeel in de gehele organisatie.

Meer info?

Neem contact op met John de Leeuw, Nanne Groeneveld of Gert Bor.

Zie ook de onderstaande websites:

Autoriteitpersoonsgegevens
Kennisnet
Wikiwijs