AVG / GDPR en Onderwijs
Algemene verordening gegevensbescherming General Data Protection Regulation
ronald.paans@noordbeek.com
Ronald Paans
Noordbeek
16 november 2017
AVG en onderwijs 2
Digitalisering op scholen
Steeds vaker maken scholen gebruik van digitale systemen
• Leerlingvolgsystemen
• Digitale tentamineringen
• Educatieve apps
• Thuis les of college volgen
• Digitaal overdrachtsdossier
• Etc.
Digitalisering op scholen
4
Datalek: kranten
DEN HAAG - Door een datalek bij de gemeente Den Haag in 2014 is gevoelige informatie van 781 kinderen op straat beland. Het gaat om adressen, scholen of clusters waar zij naartoe werden
gebracht en of de kinderen gebruik maakten van een rolstoel. Dat schrijft wethouder Saskia
Bruines in een brief aan de gemeenteraad.
De privacy van leerlingen wordt vaak geschonden, blijkt uit een enquête van de Nederlandse Vereniging van Pedagogen en Onderwijskundigen (NVO) en het
Nederlands Instituut van Psychologen.
Bij de AP kwamen de afgelopen 1½ jaar 500 telefoontjes binnen over de privacy in het onderwijs. Ouders komen er bij toeval achter dat er gegevens van hun kinderen bij andere scholen of hulpverleners liggen. Terwijl ze in bijna alle gevallen formeel toestemming
hadden moeten geven. ,,Als scholen gegevens willen delen, moeten ze aan ouders
toestemming vragen'', stelt Job Vos, adviseur privacy bij Kennisnet.
Lang niet alle scholen zijn zorgvuldig. Terwijl het delen van informatie grote gevolgen kan hebben.
Bijvoorbeeld als een kind van school wil wisselen, omdat het niet de juiste zorg krijgt. ,,Als de
school zonder pardon een heel dossier aan de
nieuwe school geeft, krijgt zo'n kind op voorhand geen eerlijke kans'', constateert Marieke Boon van Ouders en Onderwijs. De belangen
organisatie krijgt regelmatig klachten over dergelijke situaties.
SANCTIES
• AVG: Boete tot € 20 miljoen of 4% van jaaromzet
• Persoonlijke verwachting: Boetes tussen de € 100.000 en 500.000
• In de praktijk eerst waarschuwing of bindende aanwijzing Computable Café op Infosecurity beurs (3-11-2017)
• Een organisatie moet het erg bont maken om een boete van
€ 20 miljoen opgelegd te krijgen, zegt Peter Kager
(ICTRecht)• De wet geeft gradaties in overtredingen en boetes als
interpretatieruimte. Niet zwart/wit zoals de boete voor door rood licht rijden
• AVG (148): Indien het gaat om een kleine inbreuk of indien de te verwachten geldboete een onevenredige last zou berokkenen aan een natuurlijk persoon, kan in plaats van een geldboete worden gekozen voor een berisping
• De wet is een prikkel om te voldoen aan de eisen, vooral voor multinationals, niet om organisaties failliet te laten gaan
DE BOETES
AVG en onderwijs 6
Wat is Privacy?
De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht
• Handvest van de grondrechten van de Europese Unie, Art. 8, lid 1, en Verdrag betreffende de werking van de Europese Unie, Art. 16, lid 1:
– Eenieder heeft recht op bescherming van zijn persoonsgegevens
• Kort samengevat, PRIVACY is:
– Het recht om met rust te worden gelaten – Niemand hoeft iets over je te weten
Beperking
• Verplicht of vrijwillig naar school registratie
• Vrijwillig een verzekering registratie
• Vrijwillig lid van een vereniging registratie
• Doe iets doms politie of belastingdienst
• AVG: Dan wel zorgvuldig omgaan met die persoonsgegevens
• AVG: Verordening met specifieke maatregelen voor veilig verzamelen, opslaan en verwerken van
persoonsgegevens
• Van kracht: 25 mei 2018
• AVG vervangt Wet bescherming persoonsgegevens (Wbp) en Meldplicht Datalekken
• Verbetering van de privacyrechten van personen (informatieplicht en transparantie)
• Geeft organisaties meer verantwoordelijkheden om zelf in te richten (met bijbehorende sancties)
• Naast de AVG is er een aparte Richtlijn voor
gegevensbescherming bij opsporing en vervolging, alleen bedoeld voor Politie en Justitie
Wat is de AVG ?
AVG en onderwijs 8
Verduidelijking van het begrip ‘persoonsgegevens’
‘Persoonsgegeven’ volgens Wbp
• Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon
• Identificeerbaar: Geen onevenredige inspanning
‘Persoonsgegeven’ volgens AVG (specifieker en moderner dan Wbp)
• Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’)
• Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd
– aan de hand van een identificatiefactor zoals naam, identificatienummer, locatiegegevens, online identificator, of
– van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die
natuurlijke persoon
AVG: Modelvorming
Acquire
Binnenhalen
Access Toegang
Use
Verwerken
Disseminate Delen
Verstrekken
Dispose
Verwijderen Vernietigen INFORMATION ASSURANCE: Informatiestroom,
werkprocessen, applicaties en gegevensverzamelingen Toezicht (Intern)
Functionaris voor Gegevensbescherming (FG of DPO) Verwerkingsverantwoordelijkheid
Register en vastgelegde afspraken
Transparantie Inzagerecht
Rectificatierecht Wissingsrecht
Meldplicht Datalekken Toezicht (Extern)
Autoriteit Persoonsgegevens (AP) en certificering
IB&P Maatregelen
BIV Classificatie, Procedurele en Applicatieve Controls, General IT Controls Voortbrengingsproces
Privacy by Design en PIA (GEB)
AVG en onderwijs 10
AVG aandachtspunten voor Onderwijs
1. Expliciete Toestemming van betrokkene of ouders
(tenzij een wettelijke noodzakelijkheid, cf. AVG Art. 6, lid 1) 2. Omvang van uw organisatie en de soort persoonsgegevens die
u verwerkt
3. Minimale Data Opslag en Tijdige Verwijdering 4. Recht op Vergetelheid
5. Data Privacy Officer (DPO) of FG 6. Register van Verwerkingen
7. PIA – Privacy Impact Assessment
(gegevensbeschermingseffectbeoordeling – GEB) 8. Beveiliging van Persoonsgegevens
9. Verwerkersovereenkomst met IT-leveranciers 10. Datalekken
(een datalek kan voorkomen, maar melden is verplicht)
10 belangrijkste punten uit de AVG
Wat betekent AVG voor scholen en gemeenten ?
▪ Alleen data opvragen die de school of de gemeente daadwerkelijk nodig heeft (‘dataminimalisatie’) en deze data niet langer bewaren dan nodig is
▪ Relatie tussen het individu (leerling, ouder en werknemer) en de
gegevensverwerker (de school) vastleggen, inclusief toestemming voor het gebruik van gegevens (ook bij gebruik van foto’s)
▪ Bij digitale apps en social media toestemming nodig van ouders van leerlingen jonger dan 16 jaar
▪ Een risicoanalyse (PIA: privacy impact assessment) uitvoeren wanneer er privacy-risico’s zijn – ook bij aankoop en ingebruikname van systemen van derden die persoonsgegevens verwerken (bijv. leerling administratie en
leerlingvolgsystemen)
AVG en onderwijs 12