Nieuwe gegevenswet gooit scholen in het diepe

25 mei 2018 is een datum die elke onderwijsorganisatie omcirkeld moet hebben. Het liefst vergezeld van een aantal uitroeptekens. Op die dag treedt namelijk de Algemene Verordening Gegevensbescherming (AVG) in werking.

De AVG is de Nederlandse versie van de Europese Verordening, in het Engels aangeduid als GDPR (General Data Protection Regulation). Aan deze verordening dienen alle EU-lidstaten te voldoen. De AVG is in Nederland de opvolger van de Wet bescherming persoonsgegevens (Wbp) en gaat in veel gevallen een stuk verder. Zo krijgen consumenten (in het geval van scholen: leerlingen en hun ouders) veel meer te zeggen over wat er met hun data gebeurt en organisaties moeten technische maatregelen nemen om deze persoonsgegevens goed te beschermen. Dit moeten zij bovendien kunnen laten zien wanneer de Autoriteit Persoonsgegevens (AP) hier om vraagt. Het belang van goede dossiervorming neemt toe. Ook moeten organisaties heel duidelijk zijn tegenover consumenten over het doel waarvoor zij data verzamelen, waarbij zij niet meer data mogen verzamelen dan strikt nodig is om dit doel te bereiken.

Megaboetes bij overtreding
De gevolgen voor organisaties (en dus ook scholen) die zich niet aan de AVG houden liegen er niet om. Toezichthouder AP kan boetes uitdelen van 20 miljoen euro of vier procent van de groepsjaaromzet, afhankelijk van welke van de twee hoger is. De vraag is overigens of deze ook scholen zal treffen. Gerrit-Jan Zwenne, hoogleraar Recht en de Informatiemaatschappij aan de Universiteit Leiden, denkt dat de AP op dit moment vooral bezig is met publieke beeldvorming en een voorbeeld zal willen stellen. “De eerste boete zal dan wel worden opgelegd voor een onmiskenbaar groot datalek, waarbij de maatschappelijke verontwaardiging groot is.”

Alexander Singewald van Singewald Consultants Group, die als adviseur verschillende organisaties helpt met het op orde brengen van hun persoonsgegevens in het kader van de AVG, is dezelfde mening toegedaan: “Bij een groot internetbedrijf dat in overtreding is, zal AP niet schromen om een hoge boete op te leggen. Daarentegen is het wel erg slechte publiciteit om het onderwijs 20 miljoen euro af te pakken. Een bestuurlijke boete of zelfs een brief en een dwangsom kan al genoeg effect hebben als een school de privacyverklaring niet op orde heeft. En dat weet de AP ook.”

Ingrijpende overgang
De overgang van de Wbp naar AVG is voor scholen ingrijpender dan voor andere organisaties. De vrijstelling van melding bij de toezichthouder die zij genoten onder de Wbp komt te vervallen, het dan in werking tredende standaard wettelijk voorgeschreven regime komt te vervallen. Scholen zullen dus zelf moeten nadenken over doelstellingen, verstrekking van gegevens aan derden en bewaartermijnen. Singewald: “Meer dan andere bedrijven komen scholen uit een beschermde omgeving. Ik kan me goed voorstellen dat dit voor hen voelt alsof ze ineens in het diepe gegooid worden.” Tijd om te panikeren is er voor scholen niet. “Ze moeten nu wel beginnen met het maken van privacyverklaringen en kijken naar de ICT-organisaties. Als je dit in maart 2018 gaat doen, ben je veel te laat.”
De AVG kent enkele onderdelen die de Wbp moeten moderniseren. Deze laatste stamt al uit 2000 (gebaseerd op een Europese Richtlijn uit 1995) en vooral technologisch ziet de wereld er nu heel anders uit. Een nieuw begrip dat in de AVG staat is ‘dataportabiliteit’. Vooral de opkomst van allerlei clouddiensten hebben de noodzaak hiervan duidelijk gemaakt. Zwenne: “Wie bijvoorbeeld van Facebook naar Google+ gaat, moet al zijn data, zoals foto’s, mee kunnen nemen.” Ook niet-technologiebedrijven krijgen te maken met dataportabiliteit. Dit is overigens een onderdeel waarop scholen een voorsprong hebben, ziet Singewald. “Als je van de ene school naar de andere gaat, is het al gebruikelijk dat je oude school je dossier doorstuurt. Het is in het belang van de leerling dat deze goed ‘landt’ in de nieuwe omgeving. Dit zit al in het onderwijs ingebakken. Iets dat misschien nog beter kan is de technische executie. Je moet het wel goed inregelen qua ICT, zodat je alle gegevens uit je systemen kunt halen en doorsturen, in plaats van handmatig te moeten selecteren.”

Recht op vergetelheid
Weer een ander onderdeel is het ‘recht om vergeten te worden’. Onder de nieuwe wet kunnen consumenten een verzoek plaatsen om gegevens te verwijderen als zij hierdoor schade oplopen. Iemand die bijvoorbeeld eens een brandslang heeft opengezet in de gymzaal, zal hier niet in een sollicitatiegesprek aan herinnerd willen worden wanneer een potentiële werkgever op Google heeft gekeken. Hoever dit recht gaat, zal nog moeten blijken. Er lopen op dit moment verschillende rechtszaken in Europese landen, die door advocaten en juristen met grote belangstelling worden gevolgd. “Los van de jurisprudentie zul je toch je systemen zo moeten inrichten dat het in ieder geval mogelijk is om bepaalde gegevens te verwijderen”, zegt Zwenne. “Het recht om vergeten te worden is op zichzelf geen probleem voor scholen als zij een keurige richtlijn hebben voor bewaartermijnen en -doelen”, voegt Singewald hier nog toe.

Zelf aan de slag met de AVG?

Tijdens de speciaal voor het onderwijs ontwikkelde workshop Privacy goed geregeld krijgt u de handvatten aangereikt om zelf snel stappen te zetten.

Anderen bekeken ook dit

Race tegen de klok om ...

Geplaatst: 06-02-2018 Race tegen de klok om op tijd ‘AVG-proof’ te zijn

De nieuwe privacywet heeft de nodige gevolgen voor organisaties die persoonsgegevens verwerken. Wat moet er ...

Leraren vinden mobieltjes in de ...

Geplaatst: 15-12-2017 Leraren vinden mobieltjes in de klas ongehoord

In Nederland maken leraren zich grote zorgen over een voor ons allemaal bekend apparaatje. En ...

Calvijn Juliana beheert mobiele apparaten ...

Geplaatst: 20-12-2017 Calvijn Juliana beheert mobiele apparaten gemakkelijk dankzij Intune

“Boeiend onderwijs gaat hand in hand met de inzet van ICT-middelen. Dat zegt Dimitri Verschoor, ...