AVG - Mag je nu wel of geen foto’s maken van leerlingen?

In 2016 is de AVG (Algemene Verordening Gegevensbescherming) in werking getreden. Organisaties kregen tot 2018 de tijd om zich hier op voor te bereiden. Zou je hier niet mee aan de slag gaan dan kan de Autoriteit Persoonsgegevens (AP) een maximale boete geven van maar liefst 20 miljoen euro of 4% van de jaarlijkse omzet in het geval van een onderneming.

 

Het zal niemand verbazen dat veel organisaties daar nerveus van zijn geworden. Maar wat betekent de AVG nu eigenlijk in de praktijk van het onderwijs? Mogen er nog foto’s van leerlingen gemaakt worden? Mogen er aanwijzingen voor noodsituaties in verband met medicijngebruik van leerlingen in een klas worden opgehangen? En waar bestaan die persoonsgegevens uit waar we zo zorgvuldig mee moeten omgaan.

Persoonsgegevens - van foto tot bankrekeningnummer

Persoonsgegevens zijn gegevens die kunnen verbonden worden aan een individu, of waarmee een individu kan worden geïdentificeerd zoals een naam, foto, telefoonnummer, adres, e-mailadres,  bankrekeningnummer, IP adres enz. Bij persoonsgegevens moeten we vanuit de AVG onderstaande regels volgen:

  • Gegevens mogen alleen verwerkt worden wanneer een juridische basis voor te vinden is in de AVG. Die kan worden gevonden in o.a. wet of regelgeving (Onderwijswet) of wanneer de persoon van wie de gegevens verwerkt worden toestemming heeft gegeven.
  • Betrokken moeten hun rechten kennen. Bijvoorbeeld het recht op inzage in hun gegevens en hoeven daarbij geen reden op te geven waarom ze de informatie willen ontvangen.
  • De persoonsgegevens worden voor 1 (legitiem) doel verzameld en mogen niet voor andere zaken gebruikt worden;
  • Enkel de gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld;
  • De persoonsgegevens moeten correct zijn en blijven (beheer);
  • De persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel;
  • De persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging;
  • Je moet kunnen aantonen aan deze regels te voldoen.

Welkom Fieke van der Klugt, Functionaris voor Gegevensbescherming (FG)

Sinds kort heeft Openbaar Onderwijs Groningen een functionaris gegevensbescherming, Fieke van der Klugt. Fieke woont in Groningen en heeft veel ervaring als FG-er. Op een ontspannen manier vertelt Fieke over de invoering van de AVG. Ze geeft aan dat de AVG niets nieuws is. Ook voor de AVG moesten we als organisatie verstandig omgaan met gegevens van personen. Door de AVG is het duidelijk geworden hoe we dat moeten doen.

‘Vaak moet je gewoon je gezond verstand gebruiken. Natuurlijk kan je allerlei persoonlijke gegevens van leerlingen of medewerkers niet zomaar verzamelen of bewaren. En natuurlijk moet je deze gegevens goed beschermen. Daar zal niemand het mee oneens zijn. Wat belangrijker is, is dat binnen Openbaar Onderwijs Groningen de neuzen dezelfde kant op gaan wijzen. Verantwoord met gegevens omgaan is vooral een mensending, het moet bij iedereen tussen de oren zitten dat het heel belangrijk is om verstandig met gegevens van mensen om te gaan.’

Is gegevensbescherming ingewikkeld?
Volgens Fieke is het verstandig omgaan met gegevens van personen niet zo moeilijk. Je moet alleen aan de voorkant nadenken welke gegevens je nodig hebt en hoe je daar mee omgaat.

‘Ik werk hier nu een paar weken en de meest gestelde vraag is wel of je nog foto’s van leerlingen mag maken. Natuurlijk mag dat wel, maar je moet in het begin van het jaar de ouders wel vragen of ze daar toestemming voor geven. De functionaris gegevensbeheer kan daar behulpzaam in zijn door  voorbeelden van brieven voor ouders aan te reiken. Zo zie ik trouwens ook mijn taak. Ik wil de organisatie, de scholen goed leren kennen zodat ik goed weet wat er speelt. Ik wil verbinden. Ik wil de dialoog aangaan. Je kan dan in kaart brengen hoe je de scholen op het gebied van gegevensbeheer kunt ondersteunen zonder dat het erg bureaucratisch wordt. Soms heb je maatwerk nodig, maar vaak kan je met oplossingen voor alle scholen werken.’

Moeten we alle gegevens bewaren?
‘Nou nee, je moet er wel verstandig mee omgaan. Je kan het wel met een klerenkast vergelijken. Af en toe moet je weer eens door je kleren heen lopen en de kleren weg doen die je niet meer nodig hebt. Daar komt bij dat als je alles wilt bewaren, dat ook vrij kostbaar is. Als je je klerenkast niet regelmatig bijhoudt heb je binnen afzienbare tijd misschien wel twee of drie kasten nodig. Dat is bij gegevens niet anders. Gegevens bewaren is ook heel kostbaar. Belangrijker nog is dat het risico dat iets kwijt raakt natuurlijk groter is als je van alles en nog wat bewaard zonder dat het nodig is.’

Wat zijn de grootste risico’s?
‘Dat is moeilijk te zeggen. Daarom is het voor mij juist zo belangrijk om met de scholen in gesprek te gaan. We bespreken dan vaak dagelijkse zaken, zoals het bewaren van persoonsgegevens of het veilig gebruiken van usb-sticks. De meest voorkomende risico’s zijn ook de meest bekende voorbeelden zoals de reply-to all mails en mailadressen niet in de BCC zetten. De meeste datalekken zijn ook geen spectaculaire hacks waar je in de krant over leest. Het gaat meestal over dagelijkse lekken van persoonsgegevens die ontstaan door bijvoorbeeld ‘gehaastheid’ en in feite makkelijk voorkomen kunnen worden.’

Waar kunnen scholen je over benaderen?
‘Eigenlijk over alle vragen met betrekking tot gegevensbescherming. Ik wil met zoveel mogelijk scholen het gesprek aan gaan, zodat we over de belangrijkste onderwerpen veel gestelde vragen kunnen uitwerken en scholen kunnen adviseren hoe ze op een verstandige manier de gegevens kunnen beschermen.’

Wat wil je bereiken?
‘Uiteindelijk gaat het altijd over de dialoog in hoeverre het ene belang, bijvoorbeeld dat van de leerling die vanwege zijn gezondheid een bepaalde begeleiding in de klas nodig heeft, zich verhoudt ten opzichte van de belangen van privacy in het algemeen. Het gaat er om dat je als organisatie kan toelichten en ook aantonen (richting betrokkenen) waarom je iets doet of na laat. Het bewust denken over het beschermen van gegevens moet in het DNA van de organisatie gaan zitten.’