Menu

Privacywetgeving; onbekend maakt (nog steeds) onbemind

Joris Voorhuis
               Joris Voorhuis

Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) in 2018 hebben onderwijsinstellingen enorme stappen gemaakt in de waarborging van privacy van leerlingen en medewerkers. Scholen hebben zich organisatorisch aangepast en het ‘privacybewustzijn’ is verhoogd. De toepassing van de regelgeving gaat echter nog lang niet altijd goed. Zowel te strikte (!) als te coulante toepassing komt nog vaak voor. AVG-expert Joris Voorhuis van Marxman Advocaten deelt zijn tips!

Toestemming

Om persoonsgegevens te verzamelen is een wettelijke grondslag nodig. Scholen doen er goed aan om bij de verzameling van persoonsgegevens kritisch te kijken op welke grondslag dit mogelijk is. Vaak wordt naar de grondslag ‘toestemming’ gegrepen, terwijl een andere grondslag ook mogelijk is. Toestemming is namelijk een wettelijke grondslag die je wil vermijden. Het levert veel administratieve rompslomp op (het vastleggen) en toestemming kan ook weer ingetrokken worden.

Een voorbeeld hiervan is het vragen van toestemming voor het maken van foto’s bij schoolactiviteiten. Gaat het om foto’s van leerlingen die openbaar gepubliceerd worden, bijvoorbeeld op de publieke schoolwebsite, dan is inderdaad toestemming nodig. Toestemming is echter niet per se nodig als foto’s van een schoolactiviteit alleen worden geplaatst op een afgeschermde omgeving van de website waar bijvoorbeeld alleen ouders en leerlingen toegang tot hebben. Een school zou in dat geval de rechtsgrondslag ‘gerechtvaardigd belang’ kunnen gebruiken. Dit moet dan wel uitgelegd worden in de algemene privacyverklaring.

Werk samen waar mogelijk

Scholen verwerken naast ‘normale’ persoonsgegevens in sommige gevallen ook bijzondere of gevoelige persoonsgegevens van leerlingen. Wanneer hiervoor de dienst of applicatie van een derde partij wordt ingeschakeld moet in de meeste gevallen een ‘DPIA’ uitgevoerd worden. Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Hoewel een DPIA nuttig is, wordt dit ook vaak als een papieren tijger gezien. Het is efficiënt als scholen hierin hun krachten bundelen. Wanneer een verwerking gelijksoortig is volstaat namelijk één DPIA. Scholen zullen een bepaalde tool of applicatie vaak op eenzelfde manier gebruiken en kunnen een uitgevoerde DPIA daarom ook met elkaar delen of gezamenlijk uitvoeren. Dit bespaart veel dubbel werk.

Aanbevelingen van de Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) heeft in november 2021 een adviesrapport gepubliceerd voor onderwijsinstellingen. Dit advies vind je hier. De belangrijkste adviezen uit dit rapport hebben wij hieronder kort voor je opgesomd;

  • Houd AVG-documentatie up-to-date (denk bijvoorbeeld aan verwerkingsregisters, template verwerkersovereenkomsten en privacybeleid). Controleer ze periodiek, bijvoorbeeld ééns in het jaar of in de twee jaar.
  • Blijf kritisch bij het sluiten van (verwerkers)overeenkomsten voor het gebruik van applicaties of diensten van derde partijen. Werk hierin samen met andere scholen of door middel van een koepelorganisatie.
  • Maak privacy een vast onderdeel (in de beginfase) van besprekingen indien een nieuw project of een nieuwe dienst wordt ontwikkeld of aangeschaft óf wanneer een bestaand proces wordt gewijzigd.

Van moetje naar doetje

Een laatste advies (en een open deur) is het verhogen van de kennis over privacy binnen schoolorganisaties. Op die manier wordt het toepassen van privacyregelgeving gemakkelijker en verandert het meer en meer van een ‘moetje’ naar een efficiënt ‘doetje’.