Zondag 28 januari is het de Dag van de Privacy. Een goed moment voor scholen en onderwijsinstellingen om te kijken hoe het staat met de gegevensbescherming van hun leerlingen en medewerkers. Immers, over slechts enkele maanden is het al zover, dan treedt de nieuwe privacywet in werking. Organisaties, dus ook scholen moeten dan aan nieuwe regels voldoen, op straffe van fikse boetes. Waar gaat er precies veranderen en waar moet je als school om denken? De Nationale Onderwijsgids verzamelde de belangrijkste feiten en adviezen.
Van Wbp naar AVG
De nieuwe privacywet - de Algemene verordening gegevensbescherming (AVG) - gaat in Nederlandse de huidige Wet bescherming persoonsgegevens (Wbp) vervangen. Onder de AVG wordt de bescherming van persoonsgegevens strenger. Voor scholen zal de overgang naar de nieuwe wetgeving groter zijn dan voor andere organisaties omdat zij onder de Wpb nog enkele vrijstellingen genoten. Wat gaat er precies veranderen?
Verantwoordingsplicht
Vanaf 25 mei krijgen scholen meer verantwoordelijkheden in het goed beschermen om de persoonsgegevens van leerlingen. Zij hebben dan bovendien een verantwoordingsplicht. Dit houdt in dat zij voortaan moeten kunnen aantonen welke technische en organisatorische maatregelen zijn genomen voor de beveiliging van persoonsgegevens. Ook moeten scholen goede argumenten hebben om bepaalde persoonsgegevens te verwerken. Scholen zijn nog vrijgesteld van deze verplichting.
Toestemming
Onder de AVG mogen persoonsgegevens alleen worden verwerkt en bewaard met toestemming van de persoon zelf, in dit geval dus de leerlingen en hun ouders. Scholen moeten daarom goed nadenken over de (digitale) toepassingen en systemen die zij inzetten voor het onderwijs. Denk daarbij aan digitale toetsingsprogramma's, leerlingvolgsystemen en het gebruik van computer software, sociale media, apps en niet te vergeten de schoolwebsite.
Aan de andere kant hebben mensen straks ook het recht om 'vergeten' te worden. Zij kunnen dan een verzoek indienen om bepaalde gegevens te laten verwijderen. Over de uitvoering van deze maatregel is nog niet veel duidelijk. Scholen doen er goed aan om er alvast rekening mee te houden dat het mogelijk moet zijn om gegevens uit hun systeem te wissen.
Wat betekent dit voor scholen
Scholen zullen technische maatregelen moeten nemen om gegevens van leerlingen en medewerkers veilig te verwerken. Zo bleek vorig jaar dat veel scholen nog gebruik maken van onbeveiligde websites. De websites zijn makkelijk te hacken waardoor onbevoegden zich toegang kunnen verschaffen tot namen, adressen, rapportcijfers, beeldmateriaal en andere gevoelige informatie. Een goed beveiligde website en een privacyverklaring zijn onder de nieuwe wet verplicht.
Ook zullen scholen zorgvuldige dossiers moeten gaan bijhouden over hun privacybeleid en de praktische uitvoering ervan. Wanneer de Autoriteit Persoonsgegevens (AP) daarom vraagt zullen zij duidelijk moeten kunnen maken welke persoonsgegevens zij in hun systeem hebben opgenomen en waarom, hoe lang zij deze gegevens bewaren en hoe het delen van gegevens met derden is geregeld.
Boetes
Instanties die vanaf 25 mei niet voldoen aan de eisen van de Avg lopen het risico op hoge boetes. De Autoriteit Persoonsgegevens kan boetes uitdelen van 20 miljoen euro of 4 procent van de groepsjaaromzet. Deskundigen betwijfelen of de AP dergelijke forste boetes ook aan nalatige scholen zal opleggen. De organisatie lijkt vooral te willen waarschuwen om op tijd te beginnen met databeveiliging.
Tips & tools
- Om scholen te helpen bij het op orde brengen van hun beveiliging hebben de PO-Raad, VO-raad en Kennisnet de website 'Aanpak informatiebeveiliging en privacy voor scholen' ontwikkeld. Daar vinden scholen alle informatie over wat de nieuwe regels specifiek voor het onderwijs gaan betekenen. Ook biedt de website een stappenplan om de privacy en informatiebeveiliging zo te regelen dat de school voldoet aan de nieuwe eisen.
- Voor het mbo heeft Kennisnet zeven tips voor medewerkers op een rijtje gezet. Daarnaast is er de game 'MBO Alert! Privacy in de mbo-praktijk'. De game en de tips zijn te vinden op de website van Kennisnet.
- Onderwijs-ictspecialist ICheek organiseert op 7 maart en 12 april de workshop Privacy goed geregeld. Deelnemers krijgen handvatten om zelf stappen te zetten om als school te voldoen aan de nieuwe eisen van de Avg. Meer informatie op slimindeklas.nl.
- Lees meer over de implicaties van de AVG voor scholen op de website van de Autoriteit Persoonsgegevens of download de '5 vuistregels voor privacy 2.0' van Kennisnet.
Bronnen: Autoriteit Persoonsgegevens, ICtheek, Kennisnet
Door: Redactie Nationale Onderwijsgids