Bent u ook (nog) druk bezig met de nieuwe Algemene verordening gegevensbescherming (AVG)? Sinds 25 mei is de overgangsperiode voor de aangescherpte privacywetgeving verstreken, maar veel scholen voldoen nog niet aan alle eisen. En dat terwijl scholen veel gevoelige persoonsgegevens van leerlingen verzamelen. Denk aan schoolfoto’s, maar ook dossiers over leerresultaten en persoonlijke omstandigheden.
Eén van de belangrijkste veranderingen in de privacywetgeving is dat voor elk persoonsgegeven dat een school bewaart, u een gerechtvaardigde grondslag moet hebben. De meest aantoonbare grondslag is schriftelijke toestemming van de ouders (onder 16 jaar) of de leerling zelf (16+). Toestemming kan alleen worden gevraagd voor specifieke doeleinden, dus niet in één keer voor alle gegevens die ooit verzameld worden. In sommige gevallen is het echter niet noodzakelijk toestemming te vragen, bijvoorbeeld wanneer de informatie een aantoonbaar algemeen, gerechtvaardigd of wettelijk belang dient. .
Bij het ontwerpen van nieuw beleid moet vooraf worden nagedacht over de privacy implicaties (privacy by design). Voor het bestaande beleid is het raadzaam een impact assessment te maken. Vervolgens is het verplicht alle soorten verzamelde persoonsgegevens bij te houden in een verwerkingsregister.
Op basis hiervan dient u als school een privacybeleid op te stellen. Dit beleid moet actief onder de aandacht van leerlingen en ouders worden gebracht. Zij hebben namelijk het recht om in te zien welke gegevens er van hen worden bijgehouden, hoe daar mee om wordt gegaan en zelfs het recht om vergeten te worden.
Krijgt mijn school een boete?
Ook de Autoriteit persoonsgegevens (AP) kan u vragen om het AVG beleid met alle bijbehorende onderdelen te laten zien. Wanneer dit niet voldoet aan de nieuwe regelgeving, kunnen daar hoge boetes voor worden uitgedeeld. Betekent dit dat u morgen al een boete kunt verwachten? Nee, want volgens AP-voorzitter Aleid Wolfsen zal in de eerste periode na 25 mei de nadruk liggen op voorlichting. Er wordt nog niet beboet zolang een school welwillend is om aan de regels te voldoen.
Dat betekent wel dat u moet kunnen laten zien dat u aan de slag bent met de AVG. Door bijvoorbeeld een functionaris gegevensbescherming aan te stellen en de bovengenoemde documenten op te stellen. Voor concrete handvatten kunnen scholen gebruik maken van de AVG stappenplannen van Kennisnet. Klik hier voor de gids voor het po en vo (https://maken.wikiwijs.nl/81891/Aanpak_IBP_voor_het_po_en_vo), en hier voor het mbo
Social Contact