De invoering van de AVG heeft flinke gevolgen gehad voor scholen in het primair en voortgezet onderwijs. Het is dan ook logisch dat er bij bestuurders, leraren en onderwijsondersteunend personeel veel vragen leven rondom de omgang met persoonsgegevens van leerlingen. Waar moet je als school nu op letten voor een privacyvriendelijke onderwijsomgeving? En hoe zorg je dat leraren en onderwijsondersteunend personeel ongehinderd hun werk kunnen doen en toch veilig omgaan met persoonsgegevens?
De basis: doelbinding en dataminimalisatie
Als uitgangspunt van alle verwerkingen van persoonsgegevens geldt: bepaal allereerst voor welk doel je ze wil (of moet) gebruiken. Zodra je ze voor een specifiek doel hebt ontvangen, gebruik ze dan ook alleen daarvoor. Toetsresultaten moet de school bijhouden om de voortgang van een leerling bij te houden, maar men mag ze niet zomaar aan een bijlesinstituut verstrekken. Een foto die oorspronkelijk – met toestemming – gemaakt is voor in de schoolgids mag niet zomaar op Instagram worden gepubliceerd.
Aanverwant aan het begrip doelbinding is het principe van dataminimalisatie. Niet alleen mag je gegevens alleen voor het vooraf bepaalde doel gebruiken, gegevens die niet (meer) strikt nodig zijn mogen niet worden bewaard. Wees dus bij het verzamelen van persoonsgegevens kritisch welke noodzakelijk zijn en hanteer bewaartermijnen zodat persoonsgegevens die overbodig zijn worden gewist.
Zodra dit alles intern op orde is kan (en moet) de school het beleid uitleggen aan leerlingen en ouders. Op deze manier wekt de school vertrouwen dat op een weloverwogen en veilige manier met de persoonsgegeven van de leerlingen wordt omgegaan.
Toestemming
Veelal zijn persoonsgegevens die scholen beheren nodig voor het uitvoeren van de wettelijke taak: het verzorgen van onderwijs. Scholen hebben echter ook regelmatig behoefte aan gegevens voor andere doeleinden. Denk aan beeldmateriaal voor promotiedoeleinden of om verslag te doen van activiteiten. Ook het publiceren van een lijst van geslaagden in de lokale krant is een voorbeeld wat veel discussie losmaakt.
Voor veel verwerkingen van persoonsgegevens buiten de wettelijke taken, zoals de situaties hierboven, is volgens de Autoriteit Persoonsgegevens (AP) toestemming nodig. Die toestemming geeft de leerling zelf als deze 16 jaar of ouder is, anders is toestemming van een ouder of voogd nodig. Een verklaring van toestemming onder de AVG moet kunnen worden aangetoond; verkrijg deze dus altijd schriftelijk. Daarnaast moet de toestemming specifiek zijn – toestemming voor een foto in de schoolgids geldt dus niet voor andere soorten van publicatie. Ten slotte dient de toestemming met een vrije, actieve handeling te zijn gegeven; “als je geen bezwaar maakt ga je akkoord met …” is dus niet de juiste manier.
Functionaris Gegevensbescherming
Scholen zijn verplicht om een Functionaris Gegevensbescherming (FG) aan te stellen. De FG ziet toe op een correcte naleving van de AVG en het informatiebeveiligings- en privacybeleid (IBP-beleid) en adviseert het bestuur over te nemen maatregelen. Deze functionaris hoeft niet in dienst te zijn. Het hoeft ook geen fulltime rol te zijn. Een FG op afstand is voor veel scholen daarom een goede oplossing. Bij één op de drie scholen in het PO en één op de tien scholen in het VO is nog geen FG aangesteld.
Implementatie IBP-beleid
Volgens onderzoek in opdracht van Kennisnet zijn 75% van de PO-scholen en 84% van de VO-scholen goed op weg of zelfs al klaar met het IBP-beleid. Dat zijn hoopvolle cijfers. Ook op het gebied van datalekken lijkt het in het onderwijs relatief goed te gaan. In 2018, het eerste jaar waarin de AVG van kracht was, was 3% van de meldingen van datalekken die de Autoriteit Persoonsgegevens ontvangen heeft afkomstig vanuit het onderwijs.
Toch kunnen scholen niet stilzitten. Het IBP-beleid moet ook in concrete actie worden omgezet. Er moet blijvend worden gewerkt aan bewustwording onder medewerkers. Ook de maatregelen om systemen en persoonsgegevens te beveiligen hebben doorlopend aandacht nodig. Om scholen te ondersteunen bij het samenstellen en uitvoeren van een goed privacybeleid is de Aanpak IBP in het leven geroepen. Dit programma wordt ondersteund door Kennisnet, de PO-raad en de VO-raad. Het is recent vernieuwd en biedt praktische hulp aan scholen bij het implementeren van een gedegen privacybeleid.
De ervaring leert dat het prima mogelijk is om een privacybeleid door te voeren, terwijl leraren en ander personeel zich nog gewoon kunnen bezighouden met waar zij goed in zijn. Het implementeren van een IBP-beleid beantwoordt veel vragen die leven op de werkvloer en schept kaders voor de omgang met persoonsgegevens. Die kaders helpen om iedereen het vertrouwen te geven dat de persoonsgegevens binnen de school in veilige handen zijn.
