Privacy

AVG en privacy in het basisonderwijs

Als basisschool of schoolbestuur beschik je over ontzettend veel persoonsgegevens. De AVG verplicht je om deze gegevens zorgvuldig te gebruiken en de privacy van leerlingen, medewerkers en ouders te beschermen. Hoe zit dat precies?

Welke eisen stelt de AVG in het onderwijs?

De AVG (Algemene Verordening Gegevensbescherming) is sinds mei 201van kracht. Deze wet stelt hoge eisen aan de beveiliging van persoonsgegevens. In het kort moet je als basisschool of schoolbestuur:  

  • de privacy van leerlingen in het basisonderwijs, medewerkers en ouders waarborgen;

  • ouders van leerlingen wijzen op hun rechten en informeren over waarvoor en hoe persoonsgegevens verwerkt worden; 

  • medewerkers instrueren over wat is toegestaan bij het verzamelen en verwerken van persoonsgegevens; 

  • de organisatorische en technische beveiligingsmaatregelen (die je treft om aan de AVG te voldoen) documenteren. 

AVG waarborgen: hoe doe je dit?  

Het is belangrijk om de privacy van leerlingen, medewerkers en ouders te beschermen door aan de AVG te voldoen. Je wilt tenslotte niet dat hun gegevens in gevaar komen. Maar hoe maak je jouw school of bestuur ‘AVG-proof?’ Hier zijn onder andere technische en organisatorische maatregelen voor nodig. Maatregelen die je kunt opnemen in een privacybeleid. Daarnaast is het verplicht om binnen het schoolbestuur een Functionaris Gegevensbescherming (FG) aan te wijzen. Dit is iemand die toezicht houdt op de naleving van de AVG en daarover adviseert. Ook wordt het steeds belangrijker om een Privacy Officer (PO) in te zetten. Een PO is verantwoordelijk voor het uitvoeren en naleven van het privacybeleid.

Een DPIA is een belangrijk instrument om aan te tonen dat je school(bestuur) voldoet aan de verplichtingen van de AVG. Dit is een risicoanalyse, waarmee je de privacyrisico’s binnen je schoolbestuur of basisschool analyseert. Aan de hand daarvan bepaal je de maatregelen om de risico's tot een aanvaardbaar niveau terug te brengen.

Tip: Hoe blijf je ransomware aanvallen de baas en blijf je in controle over je data? Bekijk hiervoor de Checklist Cyberweerbaarheid

Hoe maak je medewerkers bewust van privacy?  

Met het vaststellen van technische en organisatorische maatregelen voldoe je op papier aan de AVG-eisen. Maar: er hangt ook veel af van de dagelijkse praktijk in het onderwijs. Een groot deel van de datalekken en hacks op scholen ontstaat namelijk door menselijk handelen. Medewerkers zijn de belangrijkste schakel! Hen bewustmaken van hun eigen verantwoordelijkheid is daarom cruciaal bij het veilig houden van gevoelige informatie. 


Digitale producten en verwerkersovereenkomsten 

Wanneer jouw basisschool digitale leermiddelen gebruikt zoals leerlingvolgsystemen, is het onvermijdelijk dat persoonlijke gegevens met leveranciers gedeeld worden. Hoe zit het dan met de AVG? Het belangrijkste aandachtspunt is dat je als basisschool of schoolbestuur altijd eindverantwoordelijk blijft voor de beveiliging van persoonsgegevens. Door goede afspraken met leveranciers te maken zorg je dat je aan de AVG voldoet, maar je blijft zelf altijd het aanspreekpunt voor belanghebbenden. 

Gelukkig worden afspraken over privacy en informatiebeveiliging met een leverancier vastgelegd in de verplichte verwerkersovereenkomst. Hierin staat welke persoonsgegevens de leverancier mag verwerken en met welk doel. Sommige leveranciers zijn aangesloten bij het Privacyconvenant Onderwijs. Een belangrijk onderdeel van dit convenant is de modelverwerkersovereenkomst, waarin standaardafspraken staan tussen schoolbesturen en leveranciers. Leveranciers die géén deel uitmaken van het Privacyconvenant, hanteren hun eigen verwerkersvoorwaarden. Wij ondersteunen je door inzicht te bieden in hoe leveranciers omgaan met persoonsgegevens en controleren of de voorwaarden voldoen aan de AVG. 

Microsoft en de AVG

Werken jullie met Microsoft 365? Dat betekent dat veel persoons- en andere gegevens worden verwerkt in de datacenters van Microsoft. Ook daar is een verwerkersovereenkomst voor nodig. Deze overeenkomst is onderdeel van het Microsoft contract dat je met ons hebt gesloten. Je hoeft dus geen aparte verwerkersovereenkomst met Microsoft te sluiten!

Wij toetsen de verwerkersvoorwaarden voortdurend aan de hand van ontwikkelingen. Onze conclusie na de meest recente toetsing is dat je rechtmatig gebruik kunt maken van de Microsoft 365 producten wanneer je een contract met ons hebt afgesloten.

Zorg er wel voor dat je de Microsoft 365 omgeving zo veilig mogelijk inricht. Onze handleiding kan hierbij helpen. Hierin staan stappen die je kunt nemen voor het beveiligen en beschermen van de privacy bij het gebruik van Microsoft producten en diensten. Ook raden we je aan om de onderwijsomgeving te laten controleren met de Microsoft 365 APK.

Vragen of meer informatie?

Onze Servicedesk staat voor je klaar. We zijn elke werkdag bereikbaar tussen 8.30 en 17.00 uur. 030 2856870 info@apsitdiensten.nl