Uw school heeft allerlei persoonsgegevens in huis: van leerlingen, ouders en medewerkers. Waar bevinden die gegevens zich precies, wie kunnen en mogen er bij, wat doet u met welke gegevens en heeft u daarvoor een wettelijke grondslag? De adviseurs van Horlings helpen u om te voldoen aan de regels van de nieuwe privacywet AVG.

De Algemene Verordening Gegevensbescherming (AVG), van kracht sinds 25 mei, vraagt van u dat u goed op een rijtje hebt welke gegevens u in huis hebt en hoe u hiermee omgaat. “Dat leg je allemaal vast in een register van verwerkingsactiviteiten”, zegt Robert Johan, IT-auditor bij Horlings. “In dit register neem je op welke persoonsgegevens je gebruikt, voor welk doel, waar je ze opslaat en met wie je ze deelt.” Robert Johan: “Scholen weten dat je de veiligheid bij de verwerking van informatie goed moet regelen, maar wij merken dat ze het nog lastig vinden om daar handen en voeten aan te geven. Hoe krijg je al je verwerkingsactiviteiten goed op een rij en hoe beveilig je de daarvoor benodigde persoonsgegevens, maar wel op zo’n manier dat het werkbaar blijft? Wij kunnen scholen daarbij helpen.”

Het is belangrijk dat ook alle leerkrachten zich bewust worden van de privacyregels. Horlings kan desgewenst een informatiebijeenkomst voor uw personeel verzorgen. Daarbij besteden we onder andere aandacht aan het feit dat je een rechtmatige grondslag nodig hebt voor het omgaan met persoonsgegevens en dat je alleen de gegevens mag gebruiken die je echt nodig hebt voor een specifiek doel. Robert Johan: “Neem bijvoorbeeld het handelingsplan dat een intern begeleider voor een leerling opstelt. Dan moet je weten: welke gegevens heeft zij daarvoor nodig en met wie mag ze die delen? Moet zij ouders op de hoogte stellen van het gebruik van informatie over hun kind en heeft ze daarvoor hun toestemming nodig? Deze en andere verwerkingen van persoonsgegevens moet je in kaart brengen.”

Scholen moeten ook zorgen voor een goede datalekprocedure en, waar van toepassing, een Data Protection Impact Analyse (DPIA) uitvoeren. Robert Johan: “Wij kijken samen met een school hoe een datalekprocedure opgesteld moet worden. De uitvoering van de DPIA begeleiden wij ook.” Horlings kan de school ook adviseren over verdere invulling van de vereisten van de AVG, zoals het beoordelen van verwerkersovereenkomsten van (cloud) leveranciers.

Meer weten? rjohan@horlings.nl, tel. 020 570 02 55.

De AVG in een notendop

  • U moet ouders schriftelijk en in voor hen begrijpelijke taal informeren over het gebruik en delen van persoonsgegevens. Dat mag via uw website of per e-mail. U heeft voor het gebruik van de gegevens hun schriftelijke toestemming nodig.
  • De gegevens mogen alleen worden gebruikt voor het doel waarvoor ze zijn verkregen.
  • Minimaliseer de bewaarde persoonsgegevens tot wat u echt nodig hebt.
  • Voor het publiceren van foto’s of filmpjes heeft u toestemming nodig van de ouders van elke herkenbare leerling. Die toestemming betreft een specifiek doel, bijvoorbeeld: publicatie in de schoolgids.
  • U moet de veiligheid, integriteit en vertrouwelijkheid van de persoonsgegevens waarborgen.
  • Voor projecten met een hoog risico op lekken moeten vooraf de privacy risico’s worden ingeschat met behulp van een data protection impact analyse (DPIA).
  • Een datalek moet binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens.

Meer informatie vind u op www.autoriteitpersoonsgegevens.nl

 

Aanmelden Nieuwsbrief

 
Wilt u op de hoogte blijven? Schrijf u dan gratis in voor onze Nieuwsbrief en ontvang nieuws en wetenswaardigheden rondom de onderwijs financiën!

You have Successfully Subscribed!