Afgelopen vrijdag (17 maart) opende Richard de Hoop als keynote het congres van AVS – ‘Samen maken we school’. Dat ziet hij voor zich als...
Vrijwel alle scholen hebben privacyreglementen voor het verwerken van gegevens van personeel en leerlingen. In de Wet Bescherming Persoonsgegevens (WBP) zijn de belangrijkste regels voor de omgang met persoonsgegevens in Nederland vastgelegd. Vanaf 25 mei 2018 wordt deze wet vervangen door de Europese Algemene Verordening Gegevensbescherming (AVG), die in heel Europa gaat gelden. Deze nieuwe wetgeving stelt hogere en aanvullende eisen aan privacy.
De belangrijkste (nieuwe) uitgangspunten voor het verantwoord omgaan met persoonsgegevens zijn samengevat in vijf vuistregels: doelbepaling en doelbinding, grondslag, dataminimalisatie, transparantie (recht betrokkene) en data-integriteit.
De nieuwe eisen komen onder andere voor verantwoordelijken op scholen in het kort neer op:
1. U moet exact weten welke bestanden met persoonsgegevens u beheert en in bezit heeft.
2. U moet weten welke rechten de personen hebben van wie u gegevens in bezit heeft.
3. Wanneer u een product of dienst ontwikkelt, moet er security by design worden toegepast, oftewel: u moet gelijk nadenken hoe u de beveiliging van gegevens waarborgt en inbouwt.
4. Projecten met hoge risico's op lekken moeten vooraf een inschatting van privacy- risico's krijgen, een zogenaamde Privacy Impact Analyse (PIA).
5. U mag persoonsgegevens alleen gebruiken voor het doel waar de informatie oorspronkelijk voor verzameld is.
6. Dataminimalisatie (minder gegevensverwerking, zo min mogelijk opslaan)
7. Het aanstellen van een functionaris voor de gegevensverwerking (FG). Deze is onder meer verantwoordelijk voor het naleven van de AVG.
8. Alle betrokkenen (personeel en leerlingen) hebben uitgebreide rechten:
a. Zij mogen gegevens corrigeren als de verzamelde persoonsgegevens onjuist blijken te zijn (artikel 16).
b. Zij hebben het recht om 'vergeten te worden'; op verzoek dient u gegevens zo spoedig mogelijk ('zonder onredelijke vertraging') te wissen (artikel 17).
c. Zij hebben het recht om de eigen gegevens in een gestandaardiseerd formaat te ontvangen. Dan is het eenvoudiger om gegevens door te geven aan een ‘andere leverancier van een vergelijkbare dienst’ (zoals een andere school, het samenwerkingsverband, een zorginstelling), bijvoorbeeld wanneer zij overstappen (artikel 20 dataportabiliteit). Zie ook het onderwijskundig rapport.
d. En uiteraard hebben zij het recht om de eigen gegevens in te zien (artikel 15).
9. Er is ook een Registerplicht (artikel 30). Dat betekent dat u schriftelijk de belangrijkste aspecten van de persoonsgegevens die u verwerkt, moet vastleggen.
10. Een mondelinge toestemming over verwerking moet altijd schriftelijk bevestigd worden.
Er blijft nog steeds een meldplicht bij datalekken, net als in de huidige wetgeving (WBP), maar de drempel wanneer u moet melden wordt lager. U moet elk datalek melden, mits er geen enkel risico is voor de 'vrijheden en rechten van individuen'.
