Sinds vandaag, 25 mei 2018, is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Deze nieuwe Europese privacywetgeving bevat striktere regels over de omgang en verwerking van persoonsgegevens. Voor scholen geldt dat zij de privacy van leerlingen zo goed mogelijk dienen te beschermen. De PO-Raad zet een aantal belangrijke punten nogmaals voor u op een rijtje.

De eerste privacywetgeving stamt uit de jaren ’80. En zo’n negentig procent van de AVG was ook al van toepassing in de Wet bescherming persoonsgegevens. De AVG geeft burgers meer rechten als het gaat om het verwerken en opslaan van hun persoonsgegevens. Ook wordt er meer nadruk gelegd op de verantwoordelijkheid van organisaties om transparant te zijn over hoe zij met persoonsgegevens omgaan en aantoonbaar de wet naleven.

De Autoriteit Persoonsgegevens zal zich in eerste instantie richten op de grote bedrijven, en ook zullen er niet direct boetes uitgedeeld worden. Het is belangrijk dat schoolbesturen kunnen aantonen dat zij ‘in control’ zijn. Zij moeten laten zien dat ze goed op weg zijn met het opzetten en implementeren van beleid omtrent informatiebeveiliging en privacy (IBP).

Aanpak IBP

Om scholen op weg te helpen met het vormgeven en implementeren van beleid en uitvoering omtrent informatiebeveiliging en privacy (IBP) hebben Kennisnet, de VO-raad en PO-Raad de Aanpak IBP ontwikkeld. Dit online stappenplan helpt scholen om stap voor stap IBP te organiseren.

Foto’s van leerlingen

Vrijwel elke school heeft wel een facebookpagina en website met foto’s van leerlingen. Maar aan welke eisen dien je te voldoen voor je een foto mag gebruiken? Lees verder op de website van Kennisnet.  

Functionaris Gegevensbescherming

Conform de AVG dienen organisaties een Functionaris Gegevensbescherming (FG) aan te stellen. Deze fungeert als interne toezichthouder en controleert of conform de wet met gegevens wordt omgegaan binnen de organisatie. “Het aanstellen van een FG is een sluitstuk, en geen beginpunt”, aldus Maurits Huigsloot, beleidsadviseur Informatiebeleid bij de PO-Raad. “Scholen die net begonnen zijn met informatiebeveiliging en privacy, zouden moeten starten met het formuleren en implementeren van beleid. Een FG is dan niet de aangewezen functionaris om daarbij te helpen, die heeft met name een controlerende functie.”

FG as a service

SIVON (Samen Inkopen Voor Onderwijs Nederland) is de recent opgerichte inkoopcoöperatie door schoolbesturen uit het primair en voortgezet onderwijs. SIVON wil scholen ontzorgen bij het werven en aanstellen van een functionaris gegevensbescherming en de FG as-a-service gaan bieden. Lees meer op de website van SIVON.

Privacyconvenant 3.0

De PO-Raad, VO-raad en MBO Raad hebben in samenwerking met leveranciers recentelijk een nieuwe versie van het privacyconvenant opgesteld. Het privacyconvenant maakt het scholen en hun besturen makkelijker om afspraken te maken met leveranciers en uitgevers over hoe zij veilig met leerlinggegevens omgaan. Inmiddels hebben zich ruim 280 schoolbesturen aangesloten bij het convenant. Meer informatie over het convenant vindt u op www.privacyconvenant.nl
 

Keten iD

Een van de maatregelen die de privacy van leerlingen beter gaat beschermen is het zogenoemde keten iD. Het keten iD, ook wel ECK iD genoemd, is een uniek nummer dat uit 128 tekens bestaat. Aangezien het keten iD geen persoonsgegevens bevat, wordt de herleidbaarheid van leerlingen beperkt wanneer er gegevensuitwisseling plaatsvindt tussen scholen en leveranciers van leermiddelen. Per 1 augustus 2018 kan het keten iD gebruikt worden voor digitale leermiddelen die via Basispoort toegang krijgen. Meer informatie over het keten iD vindt u op www.nummervoorziening.nl

Handige links

• Een uitgebreide uitleg over het belang van privacy en de Aanpak IBP wordt gegeven in het webinar Aanpak IBP.
• Op 10 oktober 2018 is er een landelijk IBP-congres voor het primair en voortgezet onderwijs. Aanmelden kan hier.

Helpdesk IBP

De helpdesk IBP (ibp@kennisnet.nl) staat klaar om inhoudelijke vragen te beantwoorden.