Merces

Privacy in het onderwijs | Waar te beginnen?

Over enkele maanden wordt de Algemene Verordening Persoonsgegevens (AVG) van toepassing en daarmee wordt alle Nederlandse privacywetgeving vervangen. De AVG biedt een strenger kader om verwerking van persoonsgegevens te beschermen. Allemaal regels, maar hoe werkt dit in de praktijk? Wat wordt er nu écht van u verwacht? Beveiliging, een Functionaris Gegevensbescherming, een dataregister: er komt een hoop bij kijken. Waar moet u beginnen? Wij nemen u graag mee in de te nemen stappen om privacy-proof te worden!

IBP

IBP is een afkorting die door de VO-raad, PO-raad en Kennisnet wordt gebruikt, die staat voor informatiebeveiliging en privacy. Deze term bent u vast al eens tegengekomen. Maar, hoe komt u IBP nu tegen in uw dagelijkse praktijk? Neem als voorbeeld een leerling die een heftige allergie heeft. Daar bent u graag van op de hoogte, om juist te kunnen handelen indien nodig. Vast en zeker legt u dit ergens vast. Daarmee verwerkt u (zelfs bijzondere) persoonsgegevens. Wij geven u een aantal privacy-vragen die dit oproept:

  • Hoe bent u aan deze informatie gekomen?
  • Hoe zorg u dat deze informatie up-to-date blijft?
  • Waar slaat u deze gegevens op?
  • Wie heeft toegang tot deze gegevens en waarom?
  • Aan wie geeft u deze gegevens door?
  • Vaak wordt zulke informatie opgeslagen in een leerlingvolgsysteem. Kan de leverancier van dit systeem bij de gegevens?
  • Hoe weet u of deze leverancier de juiste maatregelen treft in het kader van IBP?
  • Heeft u een verwerkersovereenkomst gesloten met de leverancier?
  • Weet u wanneer er sprake is van een datalek en wat u dan moet doen?

Zo zijn er nog veel meer voorbeelden te benoemen waaruit blijkt dat IBP van groot belang is in uw dagelijkse praktijk: screening van nieuwe docenten bij indiensttreding, foto’s die van leerlingen worden gemaakt, gegevens van de ouders of verzorgers van leerlingen, het schoolnetwerk en digitale leermiddelen, persoonsgegevens die aan subsidieverstrekkers worden verstrekt, camerabeelden in de fietsenstalling, het uitwisselen van gegevens met andere scholen en ga zo maar door.

Dat IBP veelomvattend is, dat is wel duidelijk. Nú is de tijd om bezig te zijn met deze vraagstukken. Ter ondersteuning hebben de VO-raad, PO-raad en Kennisnet de Aanpak IBP ontwikkeld. Het is ook mogelijk om hierin samen op te treken met andere scholen. Er zijn natuurlijk veel overlappende processen.

De Aanpak IBP bestaat uit drie stappen:

  1. Organiseren
    In deze stap is het belangrijk een IBP-beleid op te zetten, kaders te stellen. Aan bod komen onder andere de uitgangspunten van het privacybeleid in lijn met de wetgeving, de rolverdeling in de organisatie met bijbehorende taken en verantwoordelijkheden en de borging. Hier ligt een belangrijke rol bij het bestuur van de school, naast de eindverantwoordelijkheid ook het commitment.
  1. Realiseren
    Nadat in de vorige stap de kaders zijn gesteld, moeten deze verder worden ingekleurd om zo invulling te geven aan het beleid. Hierbij worden risico’s in kaart gebracht, maatregelen getroffen en procedures uitgewerkt. Er wordt een actieplan opgesteld. Dit vereist commitment van al uw medewerkers.
  1. Communiceren
    Om te zorgen dat alle inspanningen niet voor niets zijn geweest, is het vooral belangrijk te (blijven) communiceren. Dat doet u met uw medewerkers, leerlingen én hun ouders of verzorgers. Daardoor gaat het onderwerp privacy leven en wordt het integraal onderdeel in uw gehele organisatie. Docenten zijn privacy-minded in hun werk, privacy wordt bespreekbaar gemaakt met kinderen én het is een blijvend onderwerp van gesprek met ouders of verzorgers.

Laten we eens inzoomen op stap 1.

Van belang is allereerst om een aantal definities te kennen, zodat u weet wanneer u rekening moet houden met IBP. De privacy-regels uit de AVG gelden namelijk alleen wanneer sprake is van verwerking van persoonsgegevens. Wanneer is er sprake van een persoonsgegeven? Persoonsgegevens zijn gegevens waarmee iemand is te identificeren. Dat kunnen dus feitelijke gegevens zijn zoals naam, adresgegevens, BSN nummer, maar ook foto’s of leerlingennummers. Het hangt van de situatie af of iemand met bepaalde gegevens identificeerbaar is. Een verwerking is een bepaalde handeling die wordt gedaan met de persoonsgegevens. Dit is een breed begrip, want hieronder vallen veel soorten handelingen: verzamelen, vastleggen, bewaren, wijzigen, opvragen, gebruiken, verstrekken, afschermen enzovoort.

Nu kent u de kaders waarbinnen uw AVG-project start. Binnen de eerste stap ‘organiseren’ is het vervolgens van belang dat u inzicht heeft in de processen waarbinnen persoonsgegevens worden verwerkt. Het IBP-beleid kan immers niet alleen bestaan uit de regels uit de AVG, maar moet passen bij de praktijk in uw organisatie. Alleen dan kan het beleid ook daadwerkelijk effectief zijn.

Ga alle processen binnen uw organisatie na om in kaart te brengen welke persoonsgegevens worden verwerkt, op welke wijze en met welk doel. Vergeet hierbij niet de externe organisaties die persoonsgegevens voor uw organisatie verwerken, bijvoorbeeld leveranciers van systemen of uw arbodienst. Ons advies is om hiervoor een projectgroep te vormen, waarin verschillende disciplines binnen uw organisatie vertegenwoordigd zijn. Denk aan: docenten, ICT, PZ, Communicatie en Financiën. Verstandig is om hierbij een IBP-specialist te laten aansluiten. De IBP-specialist kan een (arbeids)jurist zijn of een externe AVG-deskundige. De inventarisatie van het projectteam geeft een goed beeld van de huidige situatie en vormt de basis voor het op te stellen privacybeleid.

Denk daarnaast in deze fase alvast na over een mogelijke persoon in uw organisatie die de rol van Functionaris Gegevensbescherming op zich kan en wil nemen.

Mocht u nog niet alle 3 de stappen doorlopen hebben, dan is er richting 25 mei 2018 nog genoeg werk te doen. Wilt u hier hulp bij of meer informatie en tips voor in de praktijk?
Lees dan de whitepaper en/of neem contact op met Erica Blaak, HR Adviseur Onderwijs (06 – 2508 2854).


Dit artikel is geschreven door Annemarie van Beurden, arbeidsjurist en HR Adviseur bij DAJC HRevolutie, een adviesbureau gespecialiseerd in HR, organisatieontwikkeling en project- en programmamanagement.