Wat betekent dit voor u?
Schoolbesturen moeten zich gaan voorbereiden op het beter beschermen van de privacy van leerlingen en medewerkers. Vanaf 25 mei 2018 gaat de nieuwe privacywetgeving van kracht. Deze wordt op Europees niveau geregeld (GDPR). De verouderde wet bescherming persoonsgegevens zal hiermee worden vervangen. Welke maatregelen moet je nemen om te voldoen aan de nieuwe wet?
- Stel een functionaris voor de gegevensbescherming aan.
- Omschrijf de vier “W vragen”: Welke data, Waarom wordt deze opgeslagen, Waar wordt de data opgeslagen en Wie heeft toegang tot deze data?
- Beschrijf de maatregelen die genomen zijn om deze gegevens te beschermen.
- Beschrijf hoe intern met de gevoelige gegevens wordt omgegaan.
- Beschrijf de stappen die genomen zullen worden bij een datalek.
Tip!
Besteedt voldoende aandacht binnen de organisatie aan bewustwording rondom het verwerken van privacygevoelige informatie. Dit is geen vereiste maar wellicht wel de belangrijkste. Hiermee voorkom je in veel gevallen dat informatie onbewust wordt blootgesteld aan de buiten wereld. Graag geef ik nog een korte toelichting op bovengenoemde vereiste maatregelen:
De functionaris voor de gegevensbescherming
Voor een aantal organisaties wordt het verplicht om een onafhankelijke functionaris voor de gegevensbescherming aan te stellen. Deze persoon controleert binnen de organisatie of de wet goed wordt toegepast en nageleefd. Voor het onderwijs is deze functionaris verplicht. Het is niet nodig per school een functionaris aan te stellen. Dit wordt op bestuursniveau gedaan.
Welke data, waarom, waar en wie?
De nieuwe wet vereist een duidelijke omschrijving van welke persoonsgegevens de school verzamelt en waarom. Alle informatie dat herleidbaar is naar een natuurlijk persoon valt onder persoonsgegevens. Denk hierbij aan namen, e-mailadressen, geboortedata, NAW gegevens en telefoonnummers. Maar ook gezondheid, religie, afkomst. Deze laatste 3 worden ook wel bijzondere persoonsgegevens genoemd.
Denk ook aan ‘dataminimalisatie’. Beperk verwerking en registratie van persoonsgegevens dat nodig is voor de organisatie. Als laatste is het belangrijk om te beschrijven wie toestemming heeft tot het verwerken van de persoonsgegevens. En waarom die persoon daar toegang tot heeft.
Tip!
Voor het gebruik van social media in de les moeten ouders van leerlingen onder de 16 toestemming geven.
Maatregelen ter bescherming van de persoonsgegevens
Verwerkersovereenkomst
Werkt de school samen met andere bedrijven? Bijvoorbeeld een netwerkbeheerder of een leerlingvolgsysteem? Je bent dan verplicht om een verwerkersovereenkomst op te stellen samen met deze partijen. In de verwerkersovereenkomst wordt vermeld onder welke voorwaarden het verwerken van de gegevens mag plaatsvinden en wat er moet gebeuren met de gegevens wanneer de samenwerking stopt. Meer informatie over de verwerkersovereenkomst is terug te lezen op de website van Autoriteit Persoonsgegevens.
Tip!
De meeste onderwijsinstellingen maken gebruik van de diensten van bijvoorbeeld Microsoft of Google. Vraag bij deze bedrijven hun verwerkersovereenkomst op. Zij hebben deze namelijk vaak al beschikbaar.
Beveiligingsmaatregelen
Zorg voor een goede beveiliging van de data door middel van een geavanceerde firewall. Vraag naar de mogelijkheden bij je netwerkbeheerder.
Gegevensbeschermingseffectbeoordeling (GEB)
Vanaf 25 mei 2018 is het verplicht om minimaal een keer per jaar een risicoanalyse uit te voeren. Hierbij worden de belangrijkste risico`s van de systemen genoteerd en welke maatregelen er zijn genomen om deze risico`s te beperken.
Hoe wordt er omgegaan met persoonsgegevens?
Beschrijf hoe er binnen de organisatie wordt omgegaan met privacygevoelige gegevens. Deel dit met alle medewerkers zodat ook zij bewuster worden bij het verwerken van persoonsgegevens.
Hou er rekening mee dat de oude manier van werken echt moet veranderen. De AVG vereist een nieuwe manier van denken en omgaan met gegevens. Een aantal kleine aanpassingen in het register en het privacyreglement zullen niet voldoende zijn.
Tip!
Een goed begin voor de nodige veranderingen is je regelmatig afvragen waarom je bepaalde gegevens verzamelt en of het minder kan.
Melden van een datalek
We sluiten af met het beschrijven hoe eventuele datalekken gemeld zullen worden. Dit ben je namelijk verplicht te doen binnen 72 uur na het datalek.
