AVG dwingt scholen bij de les te blijven
De aandacht rond de Algemene verordening gegevensbescherming (AVG) is sinds de invoering op 25 mei vorig jaar wat weggezakt. Tegelijkertijd zijn de eerste dwangsommen opgelegd en boetes geïnd op grond van deze nieuwe wetgeving. Tijd om de belangrijkste aandachtspunten uit deze verordening nog eens na te lopen.
In de hele Europese Unie geldt sinds de introductie van de AVG dezelfde privacywetgeving. De wet geeft onder meer docenten, leerlingen en ouders meer privacyrechten. Scholen daarentegen moeten nóg zorgvuldiger omgaan met persoonsgegevens, zoals naam, adres of telefoonnummer. De meeste scholen hebben te maken met persoonsgegevens van personeel, leerlingen en ouders. AVG-proof zijn vraagt een voortdurend bewustzijn van hun privacyrechten. De school is ervoor verantwoordelijk dat iedereen die binnen de school op de een of andere manier persoonsgegevens verwerkt (personeel, bestuur, toezichthouders, vrijwilligers en soms ook ouders of leerlingen) op de hoogte is van de AVG-regels. De school kan nog zo goed bezig zijn, maar een overijverige klassenouder die de juf de lijst met e-mailadressen van de andere ouders ontfutselt en verspreidt, dat is natuurlijk niet de bedoeling.
Cameratoezicht
Inmiddels zullen de meeste scholen een functionaris gegevensbescherming aangesteld hebben en de gegevensverwerkingen in kaart hebben gebracht. Heeft de gegevensverwerking op de school een hoog privacyrisico? Werkt een school met een leerlingvolgsysteem of cameratoezicht? Dan moet volgens de Autoriteit Persoonsgegevens waarschijnlijk een Data Protection Impact Assessment (DPIA) worden uitgevoerd, omdat het over gegevens van kwetsbare personen (kinderen) betreft. De privacyrisico’s kunnen zo vooraf in kaart worden gebracht en vervolgens zo veel mogelijk worden beperkt. In het algemeen zal een school ongeveer om de drie jaar opnieuw een DPIA moeten uitvoeren, omdat het monitoren van de privacy een doorlopend proces is.
Digitaal betaalsysteem
De AVG heeft als uitgangspunten “privacy by design” en “privacy by default”. Het eerste houdt in dat de school al bij het invoeren van bepaalde processen oplet dat de privacy goed wordt beschermd. Als de school een nieuw digitaal betaalsysteem via de schoolpas invoert voor de kantine, moet daar in het ontwerp al rekening mee worden gehouden.
“Privacy by default” houdt in dat de privacyrechten worden beschermd door standaard de instellingen of functies op de meest privacyvriendelijke optie te zetten. Vraagt de school bijvoorbeeld aan ouders op het online-aanmeldingsformulier om toestemming voor het maken van foto’s, dan staat dus niet alvast standaard het vinkje aan bij het antwoord “ja”.
Informatieplicht
De school mag persoonsgegevens alleen verwerken als daarvoor een wettelijke grondslag is, bijvoorbeeld de wettelijke verplichting in het kader van de Leerplichtwet om absenties door te geven. De school is verplicht het personeel, de leerlingen en de ouders helder en duidelijk te informeren over welke persoonsgegevens zij gebruikt en met welk doel – bijvoorbeeld het registreren als leerling van de school – tenzij het gaat om een wettelijke verplichting. Dat kan bijvoorbeeld door een privacyverklaring op de website van de school of op het aanmeldingsformulier. De school moet hen verder informeren over het inzagerecht, het recht op correctie en om vergeten te worden en het recht op dataportabiliteit (bijvoorbeeld de overdracht van gegevens als een leerling naar een andere school gaat).
Toestemming zonder dwang
Als er voor een bepaalde gegevensverwerking toestemming nodig is van de docent, ouder of leerling, moet de school kunnen verantwoorden dat deze toestemming ook echt voor dat doel is verkregen. Deze toestemming moet ook weer even makkelijk kunnen worden ingetrokken en er mag op geen enkele manier sprake zijn van dwang. Om de foto van een leerling van zestien jaar of ouder te publiceren, bijvoorbeeld in de schoolkrant, heeft de school toestemming van de leerling nodig. Dat geldt ook voor inzage in het leerlingdossier. Voor een leerling jonger dan zestien jaar is de toestemming van de ouders nodig. Ook voor het plaatsen van foto’s van docenten, bijvoorbeeld op de website of in het verslag van een schoolreisje, heeft de school voor dat specifieke doel toestemming nodig.
Datalekken
Scholen dienen alle datalekken te registeren en te documenteren. Daarnaast is er in een aantal gevallen een meldplicht. De school moet afspreken en controleren wie er toegang tot de gegevens mag hebben. Dat betekent doorgaans dat er geregistreerd moet worden (loggen) wat er met de gegevens gebeurt: Wie logt er in? Wat gebeurt er met de gegevens? En probeert iemand bijvoorbeeld ongeautoriseerd toegang te krijgen tot de gegevens?
Werkt de school met organisaties waaraan ze persoonsgegevens doorgeeft, zoals het Cito en het loonadministratiekantoor, dan moeten daarmee wellicht verwerkersovereenkomsten worden gesloten. Dat is het geval wanneer de school verantwoordelijk is voor de verwerking, en gebruikmaakt van de diensten van een verwerker. Daarin zal onder meer de adequate beveiliging door de verwerker worden vastgelegd.
Bewaartermijnen
De school moet ook beschikken over een beleid ten aanzien van de bewaartermijnen. Persoonsgegevens mogen op grond van de AVG niet langer worden bewaard dan noodzakelijk is voor het doel van die gegevensverwerking. Heeft de school een antipestbeleid waarvoor zij gegevens van leerlingen verzamelt, dan moet ze dus vooraf bedenken hoe lang ze die gegevens nodig heeft. De meeste gegevens uit het leerlingdossier mogen nadat de leerling van school is gegaan twee jaar bewaard worden.
Alert
Leerlingen worden in het kader van de AVG beschouwd als een extra kwetsbare groep. Het lekken van bepaalde gegevens kan hen een leven lang achtervolgen. Juist daarom is het voor scholen ook zo belangrijk om alert te zijn op de manier waarop er binnen de school met privacygevoelige gegevens wordt omgegaan. Bij de les blijven, dus!