AVG

Veelgestelde vragen

• We willen camera’s laten plaatsen. Hoe zit het met de regels rond dit onderwerp?

  Op scholen hangen steeds vaker camera’s. Bijvoorbeeld om vernielingen of diefstal tegen te gaan. Maar de inbreuk op de privacy van leerlingen, leerkrachten en bezoekers is groot. Daarom mogen scholen alleen camera’s ophangen als zij aan een aantal voorwaarden voldoen. Ook moeten zij ervoor zorgen dat de inbreuk op de privacy zo klein mogelijk is. Een camera in bijvoorbeeld een toilet of kleedhokje gaat te ver, omdat mensen dan bloot in beeld kunnen komen.

  Gerechtvaardigd belang
  De school moet een gerechtvaardigd belang hebben voor het cameratoezicht. Bijvoorbeeld diefstal tegengaan of leerlingen, leerkrachten en bezoekers beschermen.

  Noodzaak cameratoezicht
  Het cameratoezicht moet noodzakelijk zijn. Dat wil zeggen dat de school het doel niet op een andere manier kan bereiken. Is er geen andere mogelijkheid, die minder ingrijpend is voor de privacy? Dat moet de school eerst nagaan.
  Ook mag het cameratoezicht niet op zichzelf staan. Het moet onderdeel zijn van een totaalpakket aan maatregelen.

  Privacytoets
  De school moet eerst een privacytoets uitvoeren. Dit betekent dat de school de belangen van de leerlingen, leerkrachten en bezoekers afweegt tegen het eigen belang.
  Ook moet de school de plannen vooraf met de medezeggenschapsraad bespreken.

  DPIA
  Zet de school grootschalig en/of systematisch cameratoezicht in om diefstal tegen te gaan of leerlingen, leerkrachten en bezoekers te beschermen? Dan moet de school een data protection impact assessment (DPIA) uitvoeren.
  Dit is bijvoorbeeld zo als de school structureel of gedurende een langere periode cameratoezicht inzet voor dit doel.
  Wil de school een verborgen camera (heimelijk cameratoezicht) inzetten? Dan moet de school hiervoor altijd een DPIA uitvoeren. Ook als het heimelijk cameratoezicht incidenteel is.

  Rechten leerlingen, leerkrachten en bezoekers
  De school moet ervoor zorgen dat de leerlingen, leerkrachten en bezoekers weten dat er een camera hangt en voor welk doel deze er hangt. Bijvoorbeeld door bordjes op te hangen.
  Daarnaast geeft de Algemene verordening gegevensbescherming (AVG) de volgende privacyrechten aan betrokkenen:

  • het recht om gegevens (camerabeelden) in te zien;
  • het recht om vergeten te worden;
  • het recht op beperking van de verwerking;
  • het recht om bezwaar te maken tegen het gebruik van persoonsgegevens.

  Bewaartermijn camerabeelden
  De school mag de camerabeelden niet langer bewaren dan noodzakelijk is. De richtlijn hiervoor is maximaal 4 weken.
  Maar is er een incident vastgelegd, zoals diefstal? Dan mag de school de betreffende beelden bewaren tot dit incident is afgehandeld.

  Mag een school een verborgen camera gebruiken?
  Nee, normaal gesproken mag dat niet. Maar heeft een school duidelijke vermoedens van bijvoorbeeld diefstal of fraude door leerlingen of leerkrachten? Dan kan de school onder bepaalde voorwaarden gebruikmaken van een verborgen camera (heimelijk cameratoezicht).

  Voorwaarden verborgen camera

  De school mag alleen een verborgen camera gebruiken als de school in ieder geval aan de volgende voorwaarden voldoet:

  • Het lukt de school niet, ondanks allerlei inspanningen, om een eind te maken aan de diefstal of fraude.
  • Het gebruik van de verborgen camera is tijdelijk (permanent heimelijk cameratoezicht is nooit toegestaan!).
  • De inbreuk op de privacy van de leerlingen, leerkrachten en bezoekers is zo klein mogelijk. Een camera op bijvoorbeeld het toilet gaat te ver, omdat mensen dan bloot in beeld kunnen komen.
  • De school heeft de leerlingen en leerkrachten er vooraf op gewezen dat verborgen camera’s in bepaalde situaties (diefstal of fraude) mogelijk zijn. Bijvoorbeeld in een reglement cameratoezicht.
  • De school informeert de betrokken leerlingen en leerkrachten achteraf over het gebruik van de verborgen camera.
  • De school heeft toestemming van de medezeggenschapsraad voor het gebruik van een verborgen camera.
  • De school heeft een data protection impact assessment (DPIA) uitgevoerd. Tenzij het gaat om bestaand beleid voor de inzet van heimelijk cameratoezicht. En de Autoriteit Persoonsgegevens (AP) dit beleid in het verleden al heeft goedgekeurd en de verwerking in de tussentijd niet is veranderd.
  • Is uit de DPIA naar voren gekomen dat de beoogde inzet van (verborgen) camera’s een hoog privacyrisico oplevert? En lukt het de school niet om maatregelen te vinden om dit risico te beperken? Dan moet de school met de AP overleggen voordat hij met het cameratoezicht start. Dit wordt een voorafgaande raadpleging genoemd.

  Bron: Autoriteit Persoonsgegevens

• Vanaf 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG). Wat worden de nieuwe eisen op het gebied van privacy?

  Vrijwel alle scholen hebben privacyreglementen voor het verwerken van gegevens van personeel en leerlingen. In de Wet Bescherming Persoonsgegevens (WBP) zijn de belangrijkste regels voor de omgang met persoonsgegevens in Nederland vastgelegd. Vanaf 25 mei 2018 wordt deze wet vervangen door de Europese Algemene Verordening Gegevensbescherming (AVG), die in heel Europa gaat gelden. Deze nieuwe wetgeving stelt hogere en aanvullende eisen aan privacy.
  De belangrijkste (nieuwe) uitgangspunten voor het verantwoord omgaan met persoonsgegevens zijn samengevat in vijf vuistregels: doelbepaling en doelbinding, grondslag, dataminimalisatie, transparantie (recht betrokkene) en data-integriteit.

  De nieuwe eisen komen onder andere voor verantwoordelijken op scholen in het kort neer op:
  1. U moet exact weten welke bestanden met persoonsgegevens u beheert en in bezit  heeft.
  2. U moet weten welke rechten de personen hebben van wie u gegevens in bezit heeft.
  3. Wanneer u een product of dienst ontwikkelt, moet er security by design worden  toegepast, oftewel: u moet gelijk nadenken hoe u de beveiliging van gegevens waarborgt en inbouwt.
  4. Projecten met hoge risico's op lekken moeten vooraf een inschatting van privacy-  risico's krijgen, een zogenaamde Privacy Impact Analyse (PIA).
  5. U mag persoonsgegevens alleen gebruiken voor het doel waar de informatie oorspronkelijk voor verzameld is.
  6. Dataminimalisatie (minder gegevensverwerking, zo min mogelijk opslaan)
  7. Het aanstellen van een functionaris voor de gegevensverwerking (FG). Deze is onder meer verantwoordelijk voor het naleven van de AVG.
  8. Alle betrokkenen (personeel en leerlingen) hebben uitgebreide rechten:
  a. Zij mogen gegevens corrigeren als de verzamelde persoonsgegevens onjuist blijken te zijn (artikel 16).
  b. Zij hebben het recht om 'vergeten te worden'; op verzoek dient u gegevens zo spoedig mogelijk ('zonder onredelijke vertraging') te wissen (artikel 17).
  c. Zij hebben het recht om de eigen gegevens in een gestandaardiseerd formaat te ontvangen. Dan is het eenvoudiger om gegevens door te geven aan een ‘andere leverancier van een vergelijkbare dienst’ (zoals een andere school, het samenwerkingsverband, een zorginstelling), bijvoorbeeld wanneer zij overstappen (artikel 20 dataportabiliteit). Zie ook het onderwijskundig rapport.
  d. En uiteraard hebben zij het recht om de eigen gegevens in te zien (artikel 15).
  9. Er is ook een Registerplicht (artikel 30). Dat betekent dat u schriftelijk de belangrijkste aspecten van de persoonsgegevens die u verwerkt, moet vastleggen.
  10. Een mondelinge toestemming over verwerking moet altijd schriftelijk bevestigd worden.
  Er blijft nog steeds een meldplicht bij datalekken, net als in de huidige wetgeving (WBP), maar de drempel wanneer u moet melden wordt lager. U moet elk datalek melden, mits er geen enkel risico is voor de 'vrijheden en rechten van individuen'.

   

  Downloads

  • Informatie over de AVG(pdf)
  • Wetsvoorstel Pseudonimiseren leerlinggegevens(pdf)
  • Modelprotocol social media Verus(pdf)