AVG wetgeving: tips voor scholen

Wie te maken heeft met het verwerken van persoonsgegevens, heeft te maken met de privacywet. Hoewel het de laatste maanden lijkt alsof dit volledig nieuw is, is dit al jaren zo. De Algemene Verordening Gegevensbescherming (AVG) die net van kracht is, is ‘slechts’ een aanscherping op die regels. En dat is niet gek. Bij een wereld vol technologische mogelijkheden anno 2018 hoort een wet die daarbij past! En dus kunnen we gerust ademhalen, want iedereen die altijd al zorgvuldig met de persoonsgegevens van hun school is omgegaan, kan de AVG makkelijk toepassen. Je moet alleen even weten hoe en waar je moet beginnen. We zetten een aantal belangrijke stappen op een rij.

(Door Vanessa Pelle/uit PrimaOnderwijs)

Het zijn vooral de ingewikkelde termen die velen van ons op het verkeerde been hebben gezet. De lange lappen ‘terms of conditions’ maakten alles ingewikkeld. Dat is meteen het goede nieuws rondom de nieuwe wet. ‘De bewoording moet helder, het moet beknopt en begrijpelijk zijn zodat we ook weten waar we toestemming voor geven en waarvoor onze gegevens gebruikt worden’, zegt Martin Vliem, Microsofts National Security Officer. En hij heeft meer tips.

Is het op mij van toepassing?

Aan Martin worden standaard drie vragen gesteld rondom de nieuwe privacywet AVG. Is die wet op mij van toepassing? (Ja, dus lees vooral verder.) Wat houdt
het dan in? En, waar begin ik? Martin: ‘Het gaat over organisaties die persoonsgegevens verwerken, dus ook het onderwijs. Het heeft dus gevolgen voor ons allemaal. Met persoonsgegevens bedoelen we álles wat herleidbaar is naar een persoon, wat van een mens een mens maakt. Dat is een naam maar ook een foto. Kort door de bocht heeft de wet tot doel dat we verantwoordelijk omgaan met die persoonsgegevens. Zodra je persoonsgegevens vastlegt en ergens voor gebruikt, is dit van toepassing. En dat gebeurt in alle lagen van het onderwijs. Denk aan leerlingvolgsystemen, voortgangsrapportages, klassenlijsten, maar ook aan de foto’s op Facebook van een sportdag. Het onderwijs is wat dat betreft een gevoelige sector. Kinderen zijn een kwetsbare groep. Met de komst van steeds meer digitale mogelijkheden en social media, zie je dat het hoger op de agenda staat. Dat is goed. Niet negatief. We hebben mooie mogelijkheden met technologie die voor het onderwijs kunnen werken. Oplossingen waarmee we het onderwijs voor de leerling beter maken en het werk voor de leraar plezieriger in tijden dat de werkdruk toeneemt. Maar dat moet wel op een betrouwbare manier. Daar zorgt deze wet voor.’

Laat je niet afschrikken

Er heerst een gevoel van overweldiging als het gaat om de AVG. ‘Dat komt ook door de dreiging van boetes’, denkt Martin. ‘Je hebt als school de controle. Je moet
dus zelf vastleggen waarvoor je verzamelde gegevens gebruikt. Weet waarom je die gegevens nodig hebt en houd dat bij. Dat is nieuw. Die documentatieplicht weegt
zwaar. Maar je kan niet iets beschermen als je niet weet wat je hebt. Dus zorg dat je dat in kaart hebt. Woorden als ‘nieuwe wetgeving’ en ‘boetes’ moeten dit niet uitlokken, je moet die gegevens van kinderen zelf wíllen beschermen. Waarschijnlijk doet elke school dit al. Anders heb je nu inderdaad een hoop te doen, maar als het doel positief is, dan heb je dat er voor over.’

Denk niet te moeilijk

Je hoeft niet ICT of juridisch onderlegd te zijn. Martin: ‘Denk simpel! Veel scholen hebben een Officepakket. Dat biedt al veel hulpmiddelen bij de AVG. Onder
verantwoordelijk omgaan met persoonsgegevens valt bijvoorbeeld dat je transparant bent naar ouders. Als je bedoeling goed is, dan kun je dat makkelijk overbrengen. Een leerlingvolgsysteem heeft een logisch onderwijsdoel. Je wil de voortgang bijhouden. Als het gaat om een website waarop je foto’s van het kampuitje wil plaatsen, dan is dat leuk om te doen, maar niet noodzakelijk dus daar moet je toestemming voor vragen. En dat kan heel simpel. In Outlook zit een stemfunctie: JA/NEE. Dat volstaat. Of stuur een mail en leg het antwoord goed vast. Let er wel op dat je de mail niet stuurt met alle adressen zichtbaar. Nog een idee is dat ouders zich moeten
aanmelden op de site om toegang tot de foto’s extra te beveiligen. Vraag dat aan je IT-specialist of de aanbieder van de website. De Autoriteit Persoonsgegevens
heeft heel goed gedocumenteerd wat je precies moet vastleggen, dus lees je in en begin. Ja het is werk, maar het is niet ingewikkeld.’ Kijk op de website
autoriteitpersoonsgegevens.nl onder het kopje Zelf doen.

Stel een functionaris aan

Een functionaris gegevensbescherming is verplicht, ook voor scholen. ‘Dat mag overigens iemand van de school zijn’, zegt Martin. ‘Maar die persoon moet wel
onafhankelijk kunnen zijn. Natuurlijk moet hij of zij wel kennis hebben van de wet, maar er zijn veel sites om je in te lezen. De functionaris helpt om bijvoorbeeld
een communicatieplan op te stellen, een plan van aanpak te maken en ziet toe dat iedereen zich inzet voor privacy. De functionaris is niet degene die alle persoonsgegevens verzamelt en opslaat, dat doen de medewerkers. Voor kleine scholen is het best lastig om iemand daarvoor intern aan te wijzen dus er zijn mogelijkheden om functionarissen extern in te huren. Ook hier geldt dat je het niet moet doen omdat het verplicht is, maar omdat het echt verstandig is.’

Denk aan het doel

Er zijn altijd haken en ogen, uitzonderingen en vragen. Martin: ‘Daarom is eigen inzicht en verantwoordelijkheid belangrijk. Wat zou jij willen voor jouw leerlingen? Wat
vind je er zelf van? Er zijn rechten, natuurlijk, maar wat vind jij van het zonder toestemming plaatsen van foto’s? Denk aan het doel en je bedoeling ermee. Dat gevoel is vaak het juiste uitgangspunt.’

Bij twijfel, doen

‘Mocht je twijfelen, vraag opnieuw toestemming’, tipt Martin. ‘Ook dat past binnen een transparant beleid. Informeer de betrokkenen. En leg het antwoord goed vast. Houd ook je privacyreglement eens tegen het licht. Daarmee zeg je hoe je met de privacygegevens omgaat. Als je een nieuw systeem start, vraag opnieuw toestemming. Ook al heb je aan het begin van het schooljaar toestemming gevraagd, als je iets nieuws start, is daar geen toestemming voor gegeven. Wees duidelijk. Dat is de definitie van transparant.’

Voorlichting

Een functionaris gegevensbescherming kan op de school voorlichting en trainingen organiseren. Martin: ‘Stop echter niet teveel informatie in de eerste training. Voorkom die overload. Er moet allereerst naar boven komen dat privacy heel belangrijk is en dat de AVG dat regelt voor organisaties. Bij de functionaris gegevensbescherming kunnen collega’s terecht voor vragen. Vervolgens is het belangrijk dat iedereen gemotiveerd raakt om zorgvuldig met privacy om te willen gaan. De AVG blijft en wordt onderdeel van onze dagelijkse realiteit, maar er komen wel nieuwe ontwikkelingen, nieuwe mogelijkheden, nieuwe mensen en nieuwe data.’

Belangrijke pijlers

Ontdekken, beheren, beschermen en melden. Dat zijn de belangrijkste pijlers om op orde te hebben of te krijgen. Ontdek welke gegevens je hebt, bedenk waarvoor je die gegevens gebruikt. Beheer die gegevens, vraag toestemming voor het gebruik ervan en leg alles vast, daar zijn veel eenvoudige systemen voor beschikbaar, bekijk
daarvoor de vereisten op de website van de Autoriteit Persoonsgegevens. Bescherm die gegevens en tref maatregelen om datalekken te voorkomen. Meld eventuele lekken aan de AP en waar nodig aan de betrokkenen.

AVG handleiding voor scholen + gratis e-book: Lees de uitgebreide, overzichtelijke AVG-handleiding voor scholen op aka.ms/avgonderwijs

Het gratis lespakket ‘Privacy’ van de Autoriteit Persoonsgegevens (AP) geeft leerlingen en leraren de tools om meer zeggenschap te krijgen over hun persoonsgegevens. autoriteitpersoonsgegevens.nl/lespakket