Privacy

Wat betekent de Europese Privacyverordening voor jouw School?

Geschreven door Tobias de Graaf op 04 apr. 2017
Vanaf mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing, ook wel de “Europese privacyverordening” genoemd. Vanaf dat moment is er één privacywet voor de hele Europese Unie, die in Nederland de Wet bescherming persoonsgegevens vervangt. Wat betekent deze verordening voor het onderwijs? Waar moeten scholen aan voldoen, en welke stappen kan jouw school nemen om de gegevensbescherming op orde te krijgen?


De ‘oude’ Wet bescherming persoonsgegevens is gebaseerd op de Europese privacyrichtlijn uit 1995. Tussen 1995 en 2017 is héél wat veranderd. Ter illustratie: in 1995 was de gloednieuwe Netscape Navigator de meest populaire browser, was het GSM-netwerk nog maar net gelanceerd en zat Mark Zuckerberg nog op de basisschool. Als je in die tijd zou zijn begonnen over social media, smartphones en zelfrijdende auto’s, was je voor gek verklaard.

Het is daarom niet moeilijk voor te stellen dat de nieuwe Europese privacywetgeving rekening houdt met veel meer situaties en de boel dus flink opschudt. In essentie worden de rechten van de burger uitgebreid en krijgen organisaties meer verantwoordelijkheden met betrekking tot gegevensbescherming dan nu het geval is in de Nederlandse privacywet. Zo ook basisscholen en middelbare scholen, die worden geacht verstandig met de persoonsgegevens van hun leerlingen, ouders en werknemers om te gaan. Dit heeft betrekking op het gebruik, de beveiliging en distributie van deze gegevens.


Wat kan mijn School doen om de Privacy van de Leerlingen, Ouders en Werknemers te waarborgen?

Bovenstaande werpt natuurlijk de vraag op: wat zijn de eisen waaraan jouw school moet voldoen? En welke stappen kan je nemen om dat vóór 25 mei 2018 goed te hebben geregeld?

Heel simpel gezegd, zegt de nieuwe privacywet dat “de verwerking van persoonsgegevens ten dienste van de mens [moet] staan”. Het is aan de organisaties die die gegevens verwerken om hier prioriteit aan te geven. Elke organisatie heeft de verantwoordelijkheid om de persoonsgegevens verstandig te gebruiken en te bewaren, de betrokken natuurlijke personen te beschermen tegen misbruik en ongeautoriseerde publicatie van hun gegevens, én om aan te kunnen tonen dat zij dit actief (pogen te) doen.

Meer concreet, om te zorgen dat jouw school voldoet aan de Europese privacyverordening moet jouw school:

  • Alleen data opvragen die de school daadwerkelijk nodig heeft (zogenoemde ‘dataminimalisatie’) en deze data alleen bewaren voor hoe lang dat nodig is;
  • Organisatorische veranderingen doorvoeren opdat de relatie tussen het individu (leerling, ouder en werknemer) en de gegevensverwerker (de school) wordt vastgelegd, waarin actief toestemming wordt gevraagd voor het gebruik van de relevante gegevens (ook van toepassing op het gebruik van foto’s);
  • Wanneer er in het onderwijs digitale apps en social media worden gebruikt, dienen ouders van leerlingen jonger dan 16 jaar daar toestemming voor te geven (zie ook bovenstaand punt van aandacht);
  • Een risicoanalyse (een zogeheten PIA: privacy impact assessment) uitvoeren wanneer de privacy verordening van toepassing is – dit dient ook te gebeuren bij de aankoop en ingebruikname van systemen van derden die persoonlijke gegevens verwerken (bijv. bij leerlingadministratie- en ontwikkelingssystemen);
  • Technische maatregelen nemen opdat alleen degenen die gegevens functioneel gebruiken (lees: de doelen waarvoor de gegevens zijn opgevraagd) toegang hebben tot die gegevens;
  • Technische maatregelen nemen opdat de opslag van persoonsgegevens goed is beveiligd;
  • Leerlingen, ouders en medewerkers voorlichten over de genomen privacy maatregelen en inspanningen van de school om verantwoordelijk om te gaan met persoonsgegevens;
  • Een Functionaris Gegevensbescherming aanstellen, die controleert dat de persoonsgegevensverwerking juist en volgens de wet gebeurt (let op, dit geldt alleen voor scholen die bijzondere persoonsgegevens verwerken en/of leerlingen actief volgen, lees hier meer);
  • Alle bovenstaande maatregelen documenteren, opdat de school haar inspanningen (om de privacywet na te leven) kan bewijzen;
  • Indien er zich een datalek voordoet, moet dit binnen 72 uur worden gemeld aan de personen van wie de data is gelekt.

Er is ook een lichtpuntje: de verwerking van persoonsgegevens hoeft vanaf mei 2018 niet meer te worden gemeld aan de Autoriteit Persoonsgegevens. Hier is de Algemene verordening gegevensbescherming (de Europese privacyverordening) in te zien.

Heb je vragen over de Europese Privacyverordening, en hoe jouw school hieraan kan voldoen? Neem gerust contact met ons op voor advies.

Online schoolgids & Privacy

Tegenwoordig mag er gebruik worden gemaakt van een online schoolgids, zodat het publiceren makkelijker is en ouders de schoolgids overal kunnen raadplegen. Bekijk ook de Schoolwiki, onze altijd-up-to-date online schoolgids. We helpen je met het privacy aspect: er dient toestemming te zijn voor schoolfoto’s waarop leerlingen voorkomen en eventuele medewerkersgegevens, en alles is goed beveiligd.

Ken je Schoolwiki al?

Via de slimme zoekfunctie van de Schoolwiki, hebben ouders inzicht in alle schoolinformatie. Overal en op elk apparaat.

Meer weten?

Verder lezen.

Nog niet uitgelezen? Hier zijn een paar andere posts over Privacy.

We delen onze nieuwtjes, ideeën en wat ons verder opvalt ook in onze nieuwsbrief! Ontvang ons relaas eens per twee maanden in je mailbox.