privacy

HOT ITEM: PRIVACYBESCHERMING

Het zingt rond: Er komt een nieuwe Europese privacywet. Iedere organisatie krijgt ermee te maken, ook scholen. Hieronder leest u in een paar minuten wat de nieuwe privacyregels voor scholen betekent.

Vanaf 25 mei 2018 geldt binnen de hele Europese Unie de Algemene Verordening Gegevensbescherming (AVG). Deze verordening vervangt dan de nationale privacywetten van alle lidstaten, waaronder de Nederlandse wet op dit vlak, de Wet Bescherming Persoonsgegevens. Omdat de AVG een verordening is, heeft deze ‘Europese wet’ rechtstreekse werking in alle lidstaten, en hoeft deze niet te worden omgezet in nationale wetgeving.

Uitgangspunten privacy-wetgeving

Gegevensbescherming heeft betrekking op persoonsgegevens. Persoonsgegevens zijn al die gegevens die direct of indirect herleidbaar zijn tot een persoon. Daaronder vallen bijvoorbeeld je naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. Privacy-wetgeving stelt grenzen aan het verwerken (verzamelen, opslaan, doorsturen, wijzigen, opvragen, raadplegen, gebruiken, doorsturen, verspreiding) van persoonsgegevens. Daaronder vallen ook zogenaamde bijzondere persoonsgegevens, zoals informatie over gezondheid, gedragsproblemen, politieke voorkeur, seksuele voorkeur of problematische thuissituatie. Voor dergelijke gegevens gelden, vanwege hun gevoeligheid, strengere regels.

Hoofdlijn van de privacy-wetgeving is, dat deze alleen worden verwerkt voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Die doeleinden moeten concreet en voorafgaand aan de verwerking worden vastgesteld. Het is niet toegestaan persoonsgegevens te verwerken op een wijze die niet verenigbaar is met de doelen waarvoor ze zijn verkregen.

Behalve een gerechtvaardigd doel moet de verwerking van persoonsgegevens ook gebaseerd zijn op een specifieke grondslag. Die grondslag kan zijn:

1 De toestemming van de betrokkene

Met toestemming van de ouders mag bijvoorbeeld een foto van een leerling in de schoolgids of op de website van de school worden geplaatst

2 de uitvoering van een overeenkomst waarbij de betrokkene partij is

Voor het uitvoeren van de arbeidsovereenkomst tussen het schoolbestuur en de leraar is het bijvoorbeeld nodig dat bepaalde persoonsgegevens van de werknemer verwerkt worden

3 de nakoming van een wettelijke verplichting

De school heeft de wettelijke plicht bepaalde leerlinggegevens te verwerken, te beginnen natuurlijk bij de naam en geboortedatum van de leerling

4 als daarmee een ‘vitaal belang van de betrokkene’ wordt beschermd

Bijvoorbeeld als een leerling bepaalde medicijnen nodig heeft

5 de vervulling van een taak van algemeen belang

Het bijhouden van de verzuimgegevens is zo’n taak die aan  scholen is opgedragen.

6 de behartiging van de gerechtvaardigde belangen

Op deze basis is het bijvoorbeeld geoorloofd om persoonsgegevens door te spelen aan de verzekeraar of  accountant van de school als de situatie daarom vraagt

Er mogen volgens de wet niet méér persoonsgegevens verwerkt worden dan nodig is om een bepaald doel te bereiken. De verwerking moet dus proportioneel zijn. Al deze vereisten zijn nu al in de wet opgenomen en zullen per 25 mei 2018 niet wezenlijk veranderen.

Nieuwe aanvullingen

In aanvulling op deze al bestaande regels gelden vanaf 25 mei 2018 een aantal aanvullingen. In de eerste plaats zult u als schoolbestuur uitgebreider moeten kunnen verantwoorden dat u aan de privacyregels voldoet. Deze verantwoordingsplicht houdt in dat u voldoet aan de hierboven genoemde regels, en dat u de juiste technische en organisatorische maatregelen heeft genomen om persoonsgegevens te beschermen. De Autoriteit Persoonsgegevens kan u vragen te verantwoorden hoe u met persoonsgegevens omgaat.

Daarnaast dient in sommige gevallen voorafgaand een het starten van gegevensverwerking een Data Protection Impact Assessment te worden uitgevoerd. Dat is een beoordeling van de privacyrisico’s van een bepaalde nieuwe aanpak, waarbij ook wordt vastgesteld met welke waarborgen en veiligheidsmaatregelen die risico’s kunnen worden geborgd. Zo’n DPIA is verplicht in een situatie waarin een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor betrokkenen, bijvoorbeeld omdat op grote schaal bijzondere persoonsgegevens worden verwerkt. De DPIA is niet verplicht als er al eerder een DPIA is uitgevoerd voor hetzelfde type van verwerking en de verwerkingswijze niet wezenlijk wijzigt. Een DPIA kan door het schoolbestuur zelf worden uitgevoerd, maar u kunt hiervoor ook deskundigen inhuren.

Een andere belangrijke wijziging is dat organisaties vaak verplicht worden een functionaris voor gegevensbescherming (FG) aan te stellen. Dit is iemand binnen de organisatie die informeert, adviseert en toezicht houdt op de toepassing en naleving van de AVG. De FG moet gefaciliteerd worden om deze taak goed te kunnen vervullen, bijvoorbeeld in budgettaire zin en door scholing op het vlak van privacyregels en IT-toepassingen mogelijk te maken. Een FG is verplicht als sprake is van regelmatige en stelselmatige observatie op grote schaal en/of van grootschalige verwerking van bijzondere persoonsgegevens.

De verplichtingen om een DPIA toe te passen en een FG aan te stellen zijn beide van toepassing op scholen, aangezien zij ten aanzien van hun leerlingen bijzondere persoonsgegevens verzamelen, onder meer over hun leerprestaties, maar indien van toepassing ook of de leerling dyslexie of ADHD heeft.

Verder verandert de manier waarop een organisatie moet omgaan met gegeven toestemming als grondslag voor verwerking van persoonsgegevens. Een school die zich erop beroept dat zij bijvoorbeeld toestemming heeft van een ouder om foto’s van een leerling te gebruiken voor de website van de school, zal die gegeven toestemming ook altijd schriftelijk moeten kunnen aantonen. De schriftelijke verklaring waarmee toestemming wordt gevraagd, moet begrijpelijk zijn en er moet onderscheid worden gemaakt tussen de verschillende zaken waarvoor toestemming gevraagd wordt. Ook mag de toestemming altijd worden ingetrokken en moet het intrekken van de toestemming net zo gemakkelijk zijn als het geven ervan. Als sprake is van online gegevensverwerking van persoonsgegevens van kinderen jonger dan 16 jaar, is de toestemming vereist van de ouder of verzorger. Dit laatste is bijvoorbeeld van toepassing bij het gebruik van digitale leermodules door de school.

Verwerkersovereenkomsten

Behalve dat schoolbesturen zelf persoonsgegevens verwerken, laten ze andere organisaties vaak voor of namens hen persoonsgegevens verwerken. Denk aan het administratiekantoor dat namens de school de personele en salarisadministratie verzorgt, de arbodienst die gegevens verwerkt over zieke medewerkers (vaak bijzondere persoonsgegevens in de zin van de AVG) en de aanbieders van digitale leermiddelen die de leerresultaten van leerlingen opslaan en terugkoppelen. Met deze partijen moet het schoolbestuur verwerkersovereenkomsten sluiten die voldoen aan de huidige WBP en straks de AVG. Wat betreft de digitale leermiddelen is hiervoor door betrokken partijen het convenant digitale onderwijsmiddelen en privacy ontwikkeld, met daarbij een model voor de overeenkomst met aanbieders.

In oktober 2017 heeft de Tweede Kamer bovendien ingestemd met het wetsvoorstel pseudonimisering leerlinggegevens. Deze wet zal inhouden dat voor iedere leerling een uniek pseudoniem (keten iD) kan worden gemaakt, waardoor de leerlinggegevens worden opgeslagen op een wijze die niet herleidbaar is tot de individuele leerling.

Conclusie

Er zijn veel bronnen van objectieve informatie over dit onderwerp, zoals op de website van de Autoriteit Persoonsgegevens, de PO-raad en via Kennisnet, een organisatie die scholen ondersteunt bij ICT-toepassingen en gefinancierd wordt door het ministerie van OCW. Wanneer u nog geen stappen heeft gezet om de verplichtingen uit de AVG binnen uw organisatie te implementeren, is het zaak daarmee op korte termijn te beginnen. Cascade advocaten biedt u dienstverlening aan met betrekking tot de implementatie van de AVG binnen uw organisatie.

Dit item is een bewerkte versie van een in december 2017 in Basisschool Management gepubliceerde column ‘Juridisch’.