Dat de nieuwe privacywetgeving geresulteerd heeft in meer aandacht voor privacy, ook in het onderwijs, valt niet te ontkennen. Hoewel er voor de AVG al privacywetgeving (WBP) van toepassing was, stond privacy niet altijd hoog op de agenda. Sinds de AVG is dat anders: privacy staat “in the picture”. Veel scholen hebben door de AVG een slag gemaakt op het gebied van informatiebeveiliging en privacy.* Een positieve ontwikkeling, een jaar na de inwerkingtreding van deze nieuwe wet.
Toch zijn er nog genoeg obstakels en is het voldoen aan de AVG niet “zomaar” geregeld. Welke vijf hindernissen en uitdagingen bestaan er nog en hoe lossen we deze als school(bestuur) het beste op?
1. Privacywetgeving is niet eenmalig
Het blijvend updaten van documenten is een belangrijke schakel in het voldoen aan de privacywetgeving. Een school is een levende organisatie waar jaarlijks veel verandert. Wijzigingen in de verwerking van persoonsgegevens moeten uiteindelijk wel in het verwerkingsregister belanden. Worden er gegevens verzameld die eerst niet verzameld werden, dan dient ook de privacyverklaring weer aangepast te worden. Privacy is een proces en geen eenmalige periode van implementatie. Geef de privacy van ouders, leerlingen en medewerkers dan ook structureel aandacht en zorg voor een periodieke update van je privacydocumentatie.
2. Voorlichting en bewustwording
Uit de IBP-monitor van Kennisnet blijkt dat een kwart van de scholen meldt dat medewerkers nog niet genoeg bewustwording ontvangen hebben met betrekking tot gegevensbescherming. Hoewel het opstellen van documenten en het ontsluiten hiervan belangrijk is, zorgt alleen het ontsluiten van documenten niet voor meer bewustwording.* Een te grote warboel aan documenten kan ook resulteren in onbegrip en weerstand onder medewerkers. Vergeet dan ook niet om de focus te leggen op voorlichting en bewustwording. Het organiseren van speciale bijeenkomsten, vragensessies en een op het onderwijs toegespitste e-learning kan het niveau van bewustwording onder medewerkers verhogen. Voorlichting en bewustwording dient juist daarom een continu proces te zijn.
3. Technische beveiliging
Hoewel de AVG vooral een juridisch kader biedt, heeft de wet ook praktische gevolgen. De bescherming van persoonsgegevens hangt nauw samen met de beveiliging van systemen. Met alleen beleid kom je er dus niet. De IBP-monitor van Kennisnet geeft aan dat er in het onderwijs al verschillende procedures zijn ontwikkeld en er periodiek back-ups worden gemaakt.* Technische beveiliging gaat echter verder dan procedures en back-ups. Regelmatige (beveiligings)testen en analyses zijn dan ook essentieel.
4. DPIA’s
Veel scholen moeten nog beginnen met het uitvoeren van de gegevensbeschermingseffectenbeoordelingen (DPIA’s). Bij gegevensverwerkingen met een verhoogd risico kan de onderwijsinstelling verplicht zijn om deze beoordeling uit te voeren. Hoewel DPIA’s vaak pas op het einde van de implementatieperiode uitgevoerd worden, is het aan te raden om deze verplichting niet te laten versloffen. Wees dus niet te afwachtend in het (laten) uitvoeren van DPIA’s.
5. Aanstellen Functionaris Gegevensbescherming
Een andere wettelijke verplichting is het aanstellen van een Functionaris Gegevensbescherming (FG). De onafhankelijke persoon die binnen de organisatie toezicht houdt op de toepassing en naleving van de privacywetgeving. Voor onderwijsinstellingen is het aanstellen van een FG een wettelijke verplichting. Toch heeft 10% van de VO-schoolbesturen en 30% van de PO-schoolbesturen nog geen FG aangesteld.* Terwijl het aanstellen van een FG geen theoretische benoeming is, maar een kans voor onderwijsinstellingen om het privacyniveau te verhogen.
Hulp nodig?
Hulp nodig bij het regelen van al je privacyvraagstukken? Privacy op School helpt bij het opstellen of aanscherpen. Privacy op School heeft jarenlange ervaring in het onderwijs én weet alle ins en outs van het thema privacy. Neem gerust contact op.
* Bron: IBP Monitor 2019, stichting Kennisnet en CHOICE Insights + Strategy