‘Het helpt als mensen beseffen wat er fout kan gaan’
B&T levert ook ondersteuning op het terrein van AVG
Martin de Goffau is de AVG-specialist van B&T. Momenteel helpt hij Lentiz, een scholengroep voor voortgezet onderwijs en mbo in de regio Rotterdam, en de Amsterdamse Oecumenische Scholengroep (AMOS) om hun AVG-beleid op orde te brengen en te houden. “Het raakt iedereen in de organisatie.”
Privacywetgeving is niet nieuw. De Algemene verordening gegevensbescherming, beter bekend als AVG, is ingevoerd in mei 2018 en kent verschillende voorgangers. Nieuw aan de AVG is dat het Europese wetgeving betreft, geldig voor alle aangesloten lidstaten. Ook nieuw is de verantwoordingsplicht: organisaties moeten kunnen aantonen dat ze aan de wet voldoen. En dat brengt flink wat papierwerk met zich mee. “Handreikingen, protocollen, registers, verwerkersovereenkomsten met leveranciers, het moet allemaal worden opgesteld”, zegt De Goffau. “Een flinke klus, maar heel erg leuk om te doen. Ik sta elke dag weer voor verrassingen.”
Enorm breed
De AVG is de wet. De manier waarop je daarmee omgaat en invulling aan geeft, leggen organisaties vast in hun IBP-beleid: informatiebeveiliging en privacy. “Het formuleren van dat beleid, inclusief je ambitieniveau, is de basis”, zegt De Goffau. “Dan gaat het dus over alles waar persoonsgegevens in zitten. Dat is enorm breed, zeker in het onderwijs. Je hebt het niet alleen over leerlingdossiers en het leerlingvolgsysteem, maar ook over de omgang met sociale media, bijvoorbeeld. Gebruik je Whatsapp in je communicatie met leerlingen? Zo ja, welke afspraken maak je daar dan over? Is er camerabewaking op school? Zo ja, wat doe je met de beelden? Wie mogen die bekijken en hoe lang bewaar je ze? Mensen hebben het niet altijd meteen door, maar het raakt eigenlijk iedereen in de organisatie.”
Dataregister
De AVG-wet schrijft voor dat je een aantal documenten en registers hebt. Het dataregister is daarvan het belangrijkste. De Goffau: “Dat is een heel groot overzicht dat precies omschrijft op welk niveau welke informatie wordt verzameld, in welke systemen dat wordt opgeslagen, welke leveranciers daarachter zitten, wie in de organisatie toegang heeft tot de informatie, wat de bewaartermijnen zijn, et cetera. En de kwalificatie van gegevens is van belang. Je hebt namelijk ook bijzondere persoonsgegevens die om extra bescherming vragen. Dan moet je bijvoorbeeld denken aan godsdienst, gezondheid, maar ook aan iemands politieke voorkeur.”
Bewustwording
Martin is, met een kleine onderbreking, nu zo’n twee jaar als AVG-specialist actief bij Lentiz, dat zo’n 750 medewerkers telt. Hij is daar begonnen met het opstellen van de vereiste documenten, zoals handreikingen en protocollen, en het dataregister. Al snel ging zijn aandacht uit naar bewustwording. “Regels en voorschriften formuleren is één, ervoor zorgen dat mensen die regels gaan naleven is een veel grotere uitdaging. Ze moeten allereerst geïnformeerd worden, natuurlijk. Vervolgens moet je ze overtuigen en motiveren om mee te doen. In het begin heb ik veel scholen bezocht, dat kon toen nog en werkte goed. Verder heeft iedere medewerker een e-learning gevolgd. Ook hebben we verschillende communicatiemiddelen ingezet, zoals posters en kladblokjes. En we versturen elke eerste maandag van de maand, om 12.00 uur, als de sirenes gaan, een bericht over een actueel thema. Zo houd je het levend.”
Datalekken
Een ander instrument dat bijdraagt aan de bewustwording is de jaarlijkse interne audit. “Daarmee controleren we of de regels worden nageleefd en mensen de afspraken nakomen”, zegt De Goffau. “Zo’n audit levert altijd weer vragen op en biedt dus een gelegenheid om mensen te adviseren over concrete kwesties.” Het klinkt misschien gek, maar wat ook helpt zijn dingen die misgaan. “Het is heel vervelend als iemand zijn laptop wordt gehackt, maar het zorgt er wel voor dat hij wakker wordt geschud. Het helpt als mensen zich realiseren wat er fout kan gaan. Iets soortgelijks geldt voor datalekken. Die komen gelukkig weinig voor, maar als het gebeurt dan kan het veel schade opleveren. Je moet er niet aan denken dat er allerlei privégegevens van leerlingen op straat komen te liggen. In het begin waren mensen terughoudend met het melden van een datalek, vaak uit schaamte. Maar je kunt beter snel een melding doen, om grotere schade te voorkomen.”
Benchmark
Behalve interne audits doet Martin ook externe audits. “Die zijn bedoeld om na te gaan of de afspraken die zijn vastgelegd in verwerkersovereenkomsten, vaak met leveranciers van digitale systemen, worden nageleefd. Verder hebben we in het onderwijs nog de landelijke benchmark. Die controleert of je voldoet aan de wettelijke voorschriften.” Die benchmark levert scores op van 1 tot en met 5. Een score van 3 is verplicht. Dat betekent drie dingen: dat je voldoet aan de wet, dat je kunt aantonen dat je aan de wet voldoet, en dat alle medewerkers zijn geïnformeerd over de wettelijke verplichtingen. Je scoort een 4 als je kunt aantonen dat je je PDCA-cyclus hebt ingebouwd in je beleid. Organisaties die daarnaast hun totale IBP-beleid hebben laten controleren – en goed bevonden – door een externe auditor scoren een 5. Martin: “Of je die twee hoogste scores wilt behalen, is natuurlijk afhankelijk van je ambities als bestuur.”
Vreemde ogen
Met het aantrekken van De Goffau hebben Lentiz en AMOS ervoor gekozen om het opstellen en uitvoeren van het IBP-beleid bij een externe te beleggen. Is dat eigenlijk een logische keuze. “Vanuit mijn interim-rol kan ik een bestuur versneld helpen om een bepaald niveau te bereiken”, zegt Martin zelf daarover. “Als externe ben je objectiever, dat is een voordeel als het om AVG gaat. Er geldt toch ‘vreemde ogen dwingen’, zeker bij audits. Bovendien kan ik de ervaringen die ik opdoe bij het ene bestuur toepassen bij het andere. Het is trouwens wel afhankelijk van de fase waarin de organisatie zich bevindt. Als het beleid nog helemaal moet worden opgesteld, dan is het slim om dit bij een externe te beleggen. Op het moment dat alles staat, dan is het juist goed om vaste mensen voor de uitvoering te hebben. Dan zorg je voor continuïteit.”
Mini-audit
Kan De Goffau tot slot in het algemeen iets zeggen over de fase waarin de onderwijssector zich bevindt als het om AVG gaat? “In het hoger onderwijs en het mbo begint het behoorlijk op orde te komen. In het voortgezet onderwijs denk ik dat er best nog het nodige moet worden gedaan. En in het basisonderwijs moet nog heel veel gebeuren. Ik houd mijn hart zelfs een beetje vast voor de wat kleinere organisaties, waar we er heel veel van hebben, en die alleen een Functionaris Gegevensbescherming hebben aangesteld. Die staat echter op vrij grote afstand, dat is echt onvoldoende.” Organisaties die willen weten hoe ze er voor staan, kunnen altijd met Martin contact opnemen. “Ik ben ze graag van dienst. Ik doe altijd eerst een check, even de thermometer erin, zo is het bij AMOS ook gegaan. Een soort mini-audit, waardoor je aan het einde van de dag weet waar je staat. Zodat je als bestuurder kunt besluiten of je dat genoeg vindt of niet. En of het nodig is om verdere actie te ondernemen.”
Meer weten?
Bent u op zoek naar ondersteuning op het terrein van privacybeleid? Neem dan contact op met Hans van Willegen, algemeen directeur B&T.