De Algemene Verordening Gegevensbescherming (AVG), oftewel de privacywet is nogal een omstreden onderwerp: het is en blijft complex wat deze privacywet nu precies voor ons in petto heeft. Het blijkt dat in de praktijk diverse scholen aardig kunnen worstelen met deze wet. Zo verscheen vlak voor de zomervakantie, in juli 2018, een nieuwsbericht over een basisschool. De school had wegens de privacywetgeving de gezichten van alle medeleerlingen zwart gemaakt, zodat deze leerlingen onherkenbaar waren. Dit veroorzaakte nogal wat commotie in de media: ‘Dit lijkt toch zeker niet de bedoeling te zijn van de privacywet?’
Veel scholen vrezen voor de sancties die kleven aan het niet nakomen van deze nieuwe wetgeving. Zo kunnen corrigerende maatregelen worden opgelegd als: waarschuwingen, berispingen of een tijdelijk of blijvend verwerkingsverbod, maar ook de administratieve geldboetes zijn niet te miskennen: maximaal twintig miljoen euro of vier procent van de totale jaaromzet. Dit artikel reikt een aantal praktische handvatten aan, over hoe je als school met de Algemene verordening gegevensbescherming (AVG) kunt omgaan.
"De complexiteit rondom publicatie van beeldmateriaal valt gelukkig erg mee."
Hoe word je als (school)organisatie AVG-proof?
Er zijn vier belangrijkste stappen die elke school moet doorlopen:
- Breng alle persoonsgegevens binnen de school in kaart: waar bevinden zich welke gegevens en waar dienen deze gegevens voor?
- Bedenk welke persoon binnen je organisatie deze gegevens gaat beheren. Een school heeft vaak veel diverse gegevens in bezit van zowel leerlingen als medewerkers, om die reden kan het aanstellen van een functionaris erg handig zijn. Zo kan een Functionaris Gegevensbescherming (FG) intern toezicht houden op gegevens en eventueel zijn advies geven over het verwerken van deze gegevens conform de wet- en regelgeving. Daarnaast kan een FG intern regelingen bepalen en input leveren voor het opstellen van een gedragscode voor bijvoorbeeld medewerkers.
- Zorg dat je weet op welke manier de veiligheid van persoonsgegevens gewaarborgd wordt en dat de organisatie voorbereid is op het traceren en aanpakken van eventuele (gegevens)inbreuken.
- Reageer op verzoeken omtrent (persoons)gegevens en rapporteer over inbreuken en de beschikbaarheid van vereiste documentatie.
Onderwijsinstellingen hebben aangaande de privacywet voornamelijk te maken met drie globale onderwerpen: beeldmateriaal, (digitale) gegevens en communicatiekanalen.
Beeldmateriaal
Zoals net al even werd aangehaald, blijkt dat scholen het ingewikkeld vinden om op een correcte wijze om te gaan met beeldmateriaal van leerlingen (en medewerkers). Wanneer, waar en op welke wijze mag beeldmateriaal worden geplaatst? De complexiteit rondom publicatie van beeldmateriaal valt gelukkig erg mee. De Autoriteit Persoonsgegevens wijst op twee zaken, die in de praktijk goed te bewerkstelligen zijn.
Ten eerste is het van belang dat scholen technische en organisatorische maatregelen treffen voor de wijze waarop het beeldmateriaal gebruikt en beschermd wordt. Bij het gebruik van een beeldbank als opslagplaats, moet nagegaan worden in hoeverre deze – al dan niet met behulp van een beveiligingsprogramma – veilig is. Daarnaast is het handig om na te gaan hoe lang beeldmateriaal van leerlingen bewaard wordt en met welk doel. Zo kun je als school de kans op een datalek verkleinen, als je besluit ieder jaar alle foto’s uit de beeldbank te verwijderen, mits deze geen doel meer hebben. De bewaartermijnen voor beeldmateriaal zijn niet door de AVG-wet opgelegd en kunnen daarom door de onderwijsinstelling zelf gedefinieerd worden.
Daarnaast wijst de Autoriteit Persoonsgegevens op een tweede zaak: het is van belang dat de school expliciet toestemming heeft voor het publiceren van foto’s of video’s van leerlingen en medewerkers. Die toestemming geldt voor leerlingen en medewerkers die herkenbaar op het beeldmateriaal staan. Een school mag niet uitgaan van het principe ‘wie zwijgt, stemt toe’ en moet helder en eenduidig communiceren waar zij van plan is het beeldmateriaal te gaan plaatsen. Het toestemmingsformulier dat de school gebruikt moet bovendien beknopt, toegankelijk en begrijpelijk zijn en schriftelijk worden vastgelegd. In de praktijk houdt dit in dat foto’s van een excursie die (met toestemming) in een afgeschermde omgeving zijn geplaatst, niet automatisch gebruikt mogen worden voor op sociale media. Als school kan je het proces rondom toestemming vragen vergemakkelijken door een vast formulier op te stellen dat aan het begin van het schooljaar gebruikt kan worden. Vraag bijvoorbeeld toestemming aan om beeldmateriaal voor de schoolwebsite en sociale media te gebruiken voor de periode van één schooljaar. Geef ouders de mogelijkheid om deze toestemming gedurende het schooljaar te herzien en stel hier richtlijnen voor op. Zo ben je flexibel naar ouders en bereik je eerder consensus.
Belangrijk: er moet naar ouders en verzorgers worden gecommuniceerd hoe de school omgaat met privacy
(Digitale) gegevens
“Als schoolbestuurder moet je je gewoon aan de wet houden en in de wet is privacy geregeld. Privacy is ook een mensenrecht en mensenrechten willen we gewoon respecteren en nakomen. De wetgever gaat ervan uit dat de schoolbestuurder verantwoordelijk is voor de privacy van leerlingen’’, aldus privacy-expert Kennisnet Job Vos. Dat je als onderwijsinstelling concreet moet omgaan met gegevens van leerlingen is altijd al een cruciale zaak geweest, maar het belang hiervan is sinds het van kracht worden van de privacywet nog meer toegenomen.
Door de opkomst van het internet en het ontstaan van digitale leermiddelen ligt er meer druk voor onderwijsinstellingen om op een adequate manier gegevens van leerlingen en medewerkers te verwerken. Digitale systemen maken het onderwijsaanbod interessant, sluiten beter aan bij de beoogde ICT-vaardigheden van leerlinge en kunnen interne werkprocessen verbeteren. Tegelijkertijd vraagt dit om de grote verantwoordelijkheid om hier op een zorgvuldige wijze mee om te gaan. Daarom stelt de Wet dat scholen afspraken moeten maken met ICT-leveranciers, over wat de leveranciers wel en niet mogen doen met leerlinggegevens. Op privacyconvenant.nl staat hier aanvullende informatie over. De privacywet attendeert onderwijsinstellingen erop dat zij leerlinggegevens goed beveiligen, zodat niet iedereen daarbij kan. Tot slot moet naar ouders en verzorgers worden gecommuniceerd hoe de school omgaat met privacy: het moet aantoonbaar zijn dat de AVG-regels worden nageleefd door de onderwijsinstelling. De reglementen die de school treft rondom het toepassen van de AVG-wet kunnen bijvoorbeeld via de schoolgids worden gecommuniceerd naar ouders en leerlingen.
Communicatiekanalen
Er zijn onderwijsinstellingen die Whatsapp inzetten als communicatiemiddel, bijvoorbeeld om contact met ouders van leerlingen te onderhouden maar ook om communicatie tussen mentor en leerlingen te onderhouden. De vraag is in hoeverre Whatsapp voldoet aan de AVG-wetgeving. Het lastige aan Whatsapp is dat de applicatie in handen is van een Amerikaans bedrijf (Facebook), wat net als verschillende mail- en nieuwsbriefdiensten, ook hun servers daar hebben staan. Het verschil is dat privacybescherming in de Europese Unie in tegenstelling tot Amerika een fundamenteel recht is. Om die reden voldoet Whatsapp eigenlijk niet aan de AVG-wetgeving van Europa. Daarnaast speelt er nog een zaak mee, die het gebruik van Whatsapp binnen (school)organisaties ontmoedigt. Indien je Whatsapp installeert, geef je de app toestemming om alle contacten die in je telefoon staan in te zien en te gebruiken. Zogezegd betekent dit dat je gegevens van jouw contacten deelt met een derde partij, zonder dat al jouw contacten je hiervoor toestemming hebben verleend. Mocht je als school persoonsgegevens via WhatsApp of mail willen sturen, dan moeten ouders/verzorgers of leerlingen van boven de 16 jaar hier akkoord mee zijn.
Kortom: eigenlijk kunnen we concluderen dat de AVG-wet helemaal niet zo omstreden is als dat het lijkt. Het draait om transparante communicatie over hoe om te gaan met gegevens en toestemming vragen waar nodig, bijvoorbeeld bij publicatie van beeldmateriaal. Als je als onderwijsinstelling de verwerking van gegevens volgens doordachte reglementen naleeft, hoeft de AVG-wet niet zo ingewikkeld te zijn.