Omgaan met persoonsgegevens: wat zijn de regels?
12 april 2018
Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming in werking. Wat betekent dit precies voor mbo-scholen? De website van de MBO Raad noemt een aantal belangrijke zaken.Privacy is ook voor mbo-scholen een belangrijk thema. Sinds 2001 kennen we in Nederland de privacywetgeving, maar door allerlei incidenten is het onderwerp veel meer gaan leven. En met de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) eind mei zal het belang van privacy voor scholen alleen maar groter worden.
Gegevens verwerken
Dagelijks verwerkt een mbo-school tal van gegevens van studenten en medewerkers. Die gegevens zijn herleidbaar tot een specifieke persoon. De school heeft de verantwoordelijkheid hier zorgvuldig mee om te gaan en daar ook transparant over te zijn naar de betrokkenen. Met de invoering van de AVG moeten mbo-scholen hun privacy aantoonbaar op orde hebben. Een privacybeleid of -reglement is niet meer voldoende. De school moet ook kunnen aantonen dat dit beleid wordt nageleefd, geëvalueerd en bijgesteld waar nodig. Verder scherpt de AVG de rechten van betrokkenen aan, net als de (boete)bevoegdheden van de toezichthoudende autoriteiten.
Spelregels
De AVG bepaalt de spelregels waaraan de mbo-school zich moet houden bij de verwerking van persoonsgegevens. Verwerken is een verzamelbegrip voor alle handelingen die met persoonsgegevens plaats kunnen vinden: van verzamelen, gebruiken, bewaren tot vernietigen. De belangrijkste uitgangspunten waarmee de school rekening moet houden, zijn:
– Het verwerken van persoonsgegevens gebeurt op basis van een vooraf bepaald doel en alleen voor zover noodzakelijk voor de realisatie van dat doel.
– De verwerking kent een van de grondslagen zoals opgesomd in de AVG (bijvoorbeeld: toestemming van de student of ter uitvoering van de onderwijsovereenkomst).
– De school moet zorg dragen voor een adequate beveiliging van de persoonsgegevens.
Beveiliging
Bij dit laatste punt raakt het thema privacy duidelijk aan het thema informatiebeveiliging. Besteedt een mbo-school de verwerking van persoonsgegevens uit, bijvoorbeeld doordat studentgegevens in een administratie- of leerlingvolgsysteem staan? Dan heeft de school ook de verplichting om via een zogenoemde verwerkersovereenkomst juridische afspraken te maken met degene die de verwerking doet. Op deze wijze wordt vastgelegd wat de verwerker van de mbo-school wel en niet mag met de persoonsgegevens en kan de school verlangen dat de verwerker dezelfde beveiliging van de gegevens garandeert.
Datalekken
Sinds 1 januari 2016 is de Wet meldplicht datalekken van kracht. Dit betekent dat ook scholen een datalek moeten melden aan de Autoriteit Persoonsgegevens, als dit leidt tot ernstig nadelige gevolgen voor de bescherming van persoonsgegevens. Als een datalek ook ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de betrokkene, moet de school het datalek aan deze betrokkene melden. Meldt een school dit niet, dan ligt er een boete op de loer. Met de invoering van de meldplicht datalekken is namelijk ook de boetebevoegdheid van de Autoriteit Persoonsgegevens uitgebreid. Op het niet naleven van de verplichtingen uit de Wet bescherming persoonsgegevens staan sinds 1 januari 2016 aanzienlijke boetes. De Autoriteit Persoonsgegevens is bevoegd deze boetes uit te delen.
Zie ook de website van de MBO Raad