Menu
Terug

Privacywetgeving; onbekend maakt (nog steeds) onbemind

Joris Voorhuis
Joris Voorhuis

In 2018 is de Algemene Verordening Gegevensbescherming (AVG) ingevoerd. Sindsdien hebben onderwijsinstellingen enorme stappen gemaakt in de waarborging van privacy en naleving van privacywetgeving. Scholen hebben zich organisatorisch aangepast en het ‘privacybewustzijn’ is verhoogd. De toepassing van de regelgeving gaat echter nog lang niet altijd goed. Zowel te strikte (!) als te coulante toepassing komt nog vaak voor. AVG-expert Joris Voorhuis van Marxman Advocaten deelt zijn tips!

Toestemming

Om persoonsgegevens te verzamelen is een wettelijke grondslag nodig. Scholen doen er goed aan om bij de verzameling van persoonsgegevens kritisch te kijken op welke grondslag dit mogelijk is. Vaak grijpt men naar de grondslag ‘toestemming’, terwijl een andere grondslag ook mogelijk is. Toestemming is namelijk een wettelijke grondslag die je wil vermijden. Het levert veel administratieve rompslomp op (het vastleggen) en toestemming kan ook weer ingetrokken worden.

Een voorbeeld hiervan is het vragen van toestemming voor het maken van foto’s bij schoolactiviteiten. Gaat het om foto’s van leerlingen die openbaar gepubliceerd worden, bijvoorbeeld op de publieke schoolwebsite, dan is inderdaad toestemming nodig. Toestemming is echter niet per se nodig als foto’s van een schoolactiviteit alleen worden geplaatst op een afgeschermde omgeving van de website. Bijvoorbeeld waar alleen ouders en leerlingen toegang tot hebben. Een school zou in dat geval de rechtsgrondslag ‘gerechtvaardigd belang’ kunnen gebruiken. Dit moeten ze dan wel uitleggen in de algemene privacyverklaring.

Werk samen waar mogelijk

Scholen verwerken naast ‘normale’ persoonsgegevens in sommige gevallen ook bijzondere of gevoelige persoonsgegevens van leerlingen. Wanneer hiervoor de dienst of applicatie van een derde partij wordt ingeschakeld moet in de meeste gevallen een ‘DPIA’ uitgevoerd worden. Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Hoewel een DPIA nuttig is, ziet men dit ook vaak als een papieren tijger. Het is efficiënt als scholen hierin hun krachten bundelen. Wanneer een verwerking gelijksoortig is volstaat namelijk één DPIA. Scholen zullen een bepaalde tool of applicatie vaak op eenzelfde manier gebruiken en kunnen een uitgevoerde DPIA daarom ook met elkaar delen of gezamenlijk uitvoeren. Dit bespaart veel dubbel werk.

Aanbevelingen van de Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) heeft een nieuw rapport gepubliceerd: het Sectorbeeld Onderwijs 2021–2023. De belangrijkste inzichten en aanbevelingen uit dit rapport hebben wij hieronder kort voor je opgesomd.

  • Houd AVG-documentatie actueel en zorg voor cyclisch risicomanagement
    Werk met up-to-date verwerkingsregisters, DPIA’s en verwerkersovereenkomsten. Voer regelmatig (jaarlijks of tweejaarlijks) controles uit en organiseer privacy by design structureel in projecten.

  • Wees kritisch bij leveranciers en werk samen
    Stel duidelijke eisen aan softwareleveranciers over gegevensbescherming. Voer gezamenlijke DPIA’s uit en maak gebruik van collectieve inkoop via SURF, SIVON of koepelorganisaties om risico’s te beperken.

  • Integreer privacywetgeving en AI-beleid vanaf het begin
    Neem privacy en informatiebeveiliging standaard mee bij nieuwe projecten, digitalisering en AI-toepassingen. Borg dit in beleid en bespreek risico’s vooraf, niet achteraf.

Van moetje naar doetje

Een laatste advies (en een open deur) is het verhogen van de kennis over privacy binnen schoolorganisaties. Op die manier is het toepassen van privacyregelgeving gemakkelijker en verandert het meer en meer van een ‘moetje’ naar een efficiënt ‘doetje’.

Klik hier om terug te gaan naar de homepage.