AVG voor scholen

Ook scholen vallen onder de Algemene Verordening Gegevensbescherming (AVG, ook wel de  GDPR of General Data Protection Regulation) en ook voor hen gelden dus na 25 mei 2018 de verplichtingen van de AVG. Ter ondersteuning voor scholen stellen wij een stappenplan beschikbaar, waardoor het mogelijk is om de naleving van de AVG te vergemakkelijken.

Let wel, de juiste naleving van de AVG kan zeer complex zijn. Met dit stappenplan kunt u zelf aan de slag, of u kunt het als checklist gebruiken als u al bezig bent geweest met de AVG. Het is geenszins een model om ‘AVG-proof’ te worden – daarvoor bestaan teveel uitzonderingen en is de praktijk te wisselend.

Stel dus gerust aanvullende vragen door contact met ons op te nemen.

Toelichting

Stap 1: Benoem een functionaris voor de gegevensbescherming (FG)

Vrijwel alle scholen zijn verplicht een Functionaris voor de Gegevensbescherming te benoemen. Dit volgt uit artikel 37 van de AVG.

Stap 2: inventariseer over wie je wat verwerkt

De tweede stap om te kunnen voldoen aan de verplichtingen uit de AVG is het inventariseren van welke persoonsgegevens verwerkt worden binnen de school. Denk daarbij aan off- en online verwerking en maak voor je eigen school inzichtelijk welke gegevens van welke personen op welke manier binnen de school gevraagd en gebruikt worden. In het stappenplan staan een aantal voorbeelden genoemd.

Maak hierbij onderscheid tussen de verschillende persoonsgegevens, en vergeet vooral niet films of foto’s van personen. Markeer bijzondere persoonsgegevens.

Leg deze stap vast – zorg dat je een beschrijving hebt van alle verwerkingen.

Stap 3: controleer waarvoor je verwerkt, of dit noodzakelijk is en welke grondslag je hebt

Als alle verwerkingen van persoonsgegevens geinventariseerd zijn, moet nagegaan worden of een geldige reden voor de verwerking bestaat. Het is verstandig om je voorafgaand af te vragen of een bepaalde verwerking voor je school noodzakelijk is: als dat niet zo is, kan het verstandig zijn die verwerking gewoon te stoppen. Doe dit in ieder geval als sprake is van bijzondere persoonsgegevens.

De AVG kent een aantal mogelijke geldige grondslagen voor verwerking. Deze staan in het stappenplan genoemd. Neem niet te snel aan dat een verwerking noodzakelijk is voor bijvoorbeeld de uitvoering van een wettelijke verplichting of de uitvoering van het onderwijs is – de AVG kent daarvoor strenge eisen. Veelal (maar niet altijd!) zal toestemming nodig zijn.

Kun je geen geldige grondslag vinden? Dan moet er toestemming komen, of moet je de verwerking staken.

Stap 4: verwerk de persoonsgegevens in lijn met de AVG

Door het uitvoeren van stap 2 en 3 verwerk je binnen school alleen nog maar persoonsgegevens met geldige grondslag. Maar daarmee ben je er nog niet. De AVG kent meer eisen.

Belangrijk is dat iedere betrokkene bewust is van het belang van persoonsgegevens en de risico’s die het voor je school kan opleveren. Zorg ervoor dat de kring van personen die in aanraking kan komen met de persoonsgegevens, zo klein mogelijk. Beschrijf dit.

Beveilig de persoonsgegevens. Zowel fysiek (in een afgesloten kast, bijvoorbeeld) als technisch (door het treffen van ICT-voorzieningen).

Stel een bewaartermijn vast en houd je daar aan. Leg dit ook vast.

Inventariseer of persoonsgegevens verstrekt worden aan derden, en vraag je af of dit noodzakelijk is. Stop ermee als dat niet zo is, en moet je wel blijven verstrekken, dan moet je ook hiervoor de grondslag onderzoeken en vastleggen. Vraag je daarbij af of een verwerkersovereenkomst nodig is.

Stap 5: leg vast

De AVG vereist de vastlegging van hoe binnen school omgegaan wordt met persoonsgegevens. De stappen 1 tot en met 3 moet je dus (schriftelijk) vastleggen. Daarnaast noemt het stappenplan nog een aantal documenten die opgesteld moeten worden.