Wat vraagt de AVG van het onderwijs?
Bewustwording en discipline zijn sleutelwoorden
Het zal niemand zijn ontgaan: sinds mei 2018 is de AVG van kracht. Dat betekent dat ook scholen moeten voldoen aan strenge regels omtrent het omgaan met persoonsgegevens. Een jaar na de invoering blijkt het voor grotere organisaties in het onderwijs ingewikkeld maar haalbaar om te voldoen aan de AVG. Voor kleinere partijen is het echter een grote uitdaging.
Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Daarmee is de privacywetgeving in de hele Europese Unie gelijk. De wet legt allerlei zaken vast omtrent het zorgvuldig omgaan met de gegevens van leerlingen, studenten, medewerkers en andere betrokkenen. Dit lijken misschien zaken die voor de hand liggen, maar in de praktijk zijn ze niet zo simpel. Door de AVG wordt namelijk steeds duidelijker dat organisaties over heel veel persoonsgegevens beschikken – soms misschien te veel.
Discipline
Zolang iedereen op school alles goed opbergt en de toegang voor onbevoegden wordt voorkomen, lijken de gevolgen van de AVG goed te overzien. Helaas beschikt niet iedereen van nature over de daarvoor benodigde discipline. Denk bijvoorbeeld aan het laten slingeren van papieren met persoonsgegevens of het niet afsluiten van een beeldscherm als je van je werkplek wegloopt. Mede hierdoor worden er momenteel tussen de vijf en tien meldingen bij de Autoriteit Persoonsgegevens gedaan per week.
Veel vragen
Er zijn heel veel situaties denkbaar waarin privacy in het geding kan komen. Het is ook niet altijd voor iedereen duidelijk wat nu wel en niet mag. Welke leerlinggegevens mag een school delen? En met wie? Mogen we foto’s en filmpjes van leerlingen delen? Heeft een school altijd toestemming van ouders nodig? Mag een school bewakingscamera’s ophangen? Wat moet je doen met WhatsApp-groepen, waar vaak ook leerlingen aan deelnemen? Welke software gebruiken we allemaal? En is de relatie met de leveranciers van de software wel goed geregeld als het om privacy gaat?
Principes
De principes van de AVG voor het doorgeven van gegevens zijn:
- het dient een doel;
- het is belangrijk, afgesproken of zelfs verplicht;
- we geven zo min mogelijk door;
- we vertellen wat we doen en waarom;
- wat we zeggen, klopt.
Interne oplossingen
Het is goed om als eerste de zaken die je intern moet regelen op orde te brengen. Besteed aandacht aan wat je vastlegt en waarom, hoe lang je iets bewaart en wie die data mag inzien. Dit moet je natuurlijk ook onderhouden. Nieuwe producten en diensten inkopen betekent dus ook nieuwe verwerkersovereenkomsten sluiten en de toegang vastleggen.
Bewustwording
Veel organisaties benoemen vervolgens een Functionaris Gegevensbescherming (FG), waarmee zij voldoen aan één aspect van de wet. Maar daarmee zijn ze er nog (lang) niet. De AVG is eigenlijk pas goed ingevoerd als alle medewerkers die onbewust bekwaam toepassen. Daaraan vooraf gaat dus de bewustwording. Sommige scholen en besturen stellen een externe FG aan. Daarin schuilt een gevaar, want het extern beleggen van de AVG komt de bewustwording bij medewerkers niet altijd ten goede.
Stappenplan
Voor wie zich wil verdiepen in wat de AVG van een schoolbestuur verwacht, volgt hieronder een beknopt stappenplan. Dit geeft een beeld van de omvang van de te nemen acties én de reikwijdte van de wet:
- Opstellen beleidsplan.
- Actieplan voor het lopende jaar.
- Opstellen van reglementen en protocollen voor medewerkers, leerlingen en ouders. Denk hierbij onder andere aan een privacyreglement, clear desk- en clear screen-richtlijn, hoe om te gaan met datalekken, het gebruik van social media en internet, het maken van foto’s en films, et cetera.
- Opstellen van dataregisters met alle persoonsgegevens die worden verwerkt:
- Welke gegevens sla je op?
- Wie mag deze inzien?
- Hoe lang worden ze bewaard?
- Wie zijn jullie toeleveranciers en welke gegevens verwerken zij?
- Welke standaarddocumenten gebruikt jouw organisatie?
- Sluiten van verwerkersovereenkomsten met alle toeleveranciers.
- Creëren van bewustwording in de organisatie.
- Controleren op de naleving.
- En ten slotte: het invoeren van de PDCA-cirkel voor alle AVG-gerelateerde zaken.
Lentiz en de AVG
Lentiz onderwijsgroep begon al vroeg met de voorbereidingen op de AVG, vertelt Rick van Dam, lid van de raad van bestuur: “We zijn ruim een jaar voordat de wet in werking trad, gaan onderzoeken wat deze voor ons zou betekenen. Een aantal ICT-collega’s heeft op een rij gezet waar we allemaal aan moesten voldoen.”
Van Dam omschrijft de AVG als een ‘nieuwe wereld’ die de school is binnengekomen. “Die wereld kenden we in het onderwijs niet. We zijn bezig met het opleiden van leerlingen en studenten en toen kwam opeens die hele privacykant erbij. Zo voelden we dat. Het werd een zoektocht hoe we toch gewoon ‘school’ konden blijven en tegelijkertijd konden voldoen aan de AVG. We moesten nieuwe processen een plek geven in de organisatie, maar we wilden niet dat die belangrijker zouden worden dan het onderwijs zelf.”
Urgentie
Terugkijkend op de afgelopen jaren vindt hij de hoeveelheid werk niet schrikbarend: “Het lijkt veel in het begin, maar als je successievelijk aan de slag gaat, valt het wel mee. Wel is het natuurlijk zo dat iedereen ermee te maken heeft. Het raakt alle personeelsleden. Er gaat dus wel wat tijd overheen voordat je iedereen hebt doordrongen van de urgentie. En het gaat ook niet meer weg. De samenleving acht privacy nu eenmaal hoog en dat begrijp ik heel goed.”
Lentiz wordt door hun externe Functionaris Gegevensbescherming hoog geclassificeerd, wat betekent dat zij bovengemiddeld ver zijn met de inbedding van de AVG. “Maar we kunnen nooit alle incidenten voorkomen, bijvoorbeeld dat een van onze computers gehackt wordt met ransomware. Het draait er dan om hoe je als organisatie met zo’n potentieel datalek omgaat. Maar ook daarvoor hebben we inmiddels procedures ingeregeld.”
Hulp bij AVG
Zolang alles goed gaat, is er niets aan de hand. Op het moment dat er echter een incident of datalek optreedt, komt je organisatie onder een vergrootglas te liggen. Dat willen we graag samen met jou voorkomen. Zoek je begeleiding om jouw school of bestuur AVG-proof te maken? Neem dan vrijblijvend contact op met Diana Goedschalk.