AVG / GDPR en Onderwijs Algemene verordening gegevensbescherming General Data Protection Regulation

AVG / GDPR en Onderwijs

Algemene verordening gegevensbescherming General Data Protection Regulation

ronald.paans@noordbeek.com

Ronald Paans

Noordbeek

16 november 2017

AVG en onderwijs 2

Digitalisering op scholen

Steeds vaker maken scholen gebruik van digitale systemen

• Leerlingvolgsystemen

• Digitale tentamineringen

• Educatieve apps

• Thuis les of college volgen

• Digitaal overdrachtsdossier

• Etc.

Digitalisering op scholen

4

Datalek: kranten

DEN HAAG - Door een datalek bij de gemeente Den Haag in 2014 is gevoelige informatie van 781 kinderen op straat beland. Het gaat om adressen, scholen of clusters waar zij naartoe werden

gebracht en of de kinderen gebruik maakten van een rolstoel. Dat schrijft wethouder Saskia

Bruines in een brief aan de gemeenteraad.

De privacy van leerlingen wordt vaak geschonden, blijkt uit een enquête van de Nederlandse Vereniging van Pedagogen en Onderwijskundigen (NVO) en het

Nederlands Instituut van Psychologen.

Bij de AP kwamen de afgelopen 1½ jaar 500 telefoontjes binnen over de privacy in het onderwijs. Ouders komen er bij toeval achter dat er gegevens van hun kinderen bij andere scholen of hulpverleners liggen. Terwijl ze in bijna alle gevallen formeel toestemming

hadden moeten geven. ,,Als scholen gegevens willen delen, moeten ze aan ouders

toestemming vragen'', stelt Job Vos, adviseur privacy bij Kennisnet.

Lang niet alle scholen zijn zorgvuldig. Terwijl het delen van informatie grote gevolgen kan hebben.

Bijvoorbeeld als een kind van school wil wisselen, omdat het niet de juiste zorg krijgt. ,,Als de

school zonder pardon een heel dossier aan de

nieuwe school geeft, krijgt zo'n kind op voorhand geen eerlijke kans'', constateert Marieke Boon van Ouders en Onderwijs. De belangen

organisatie krijgt regelmatig klachten over dergelijke situaties.

SANCTIES

• AVG: Boete tot € 20 miljoen of 4% van jaaromzet

• Persoonlijke verwachting: Boetes tussen de € 100.000 en 500.000

• In de praktijk eerst waarschuwing of bindende aanwijzing Computable Café op Infosecurity beurs (3-11-2017)

• Een organisatie moet het erg bont maken om een boete van

€ 20 miljoen opgelegd te krijgen, zegt Peter Kager

• De wet geeft gradaties in overtredingen en boetes als

interpretatieruimte. Niet zwart/wit zoals de boete voor door rood licht rijden

• AVG (148): Indien het gaat om een kleine inbreuk of indien de te verwachten geldboete een onevenredige last zou berokkenen aan een natuurlijk persoon, kan in plaats van een geldboete worden gekozen voor een berisping

• De wet is een prikkel om te voldoen aan de eisen, vooral voor multinationals, niet om organisaties failliet te laten gaan

DE BOETES

AVG en onderwijs 6

Wat is Privacy?

De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht

• Handvest van de grondrechten van de Europese Unie, Art. 8, lid 1, en Verdrag betreffende de werking van de Europese Unie, Art. 16, lid 1:

– Eenieder heeft recht op bescherming van zijn persoonsgegevens

• Kort samengevat, PRIVACY is:

– Het recht om met rust te worden gelaten – Niemand hoeft iets over je te weten

Beperking

• Verplicht of vrijwillig naar school  registratie

• Vrijwillig een verzekering  registratie

• Vrijwillig lid van een vereniging  registratie

• Doe iets doms  politie of belastingdienst

• AVG: Dan wel zorgvuldig omgaan met die persoonsgegevens

• AVG: Verordening met specifieke maatregelen voor veilig verzamelen, opslaan en verwerken van

persoonsgegevens

• Van kracht: 25 mei 2018

• AVG vervangt Wet bescherming persoonsgegevens (Wbp) en Meldplicht Datalekken

• Verbetering van de privacyrechten van personen (informatieplicht en transparantie)

• Geeft organisaties meer verantwoordelijkheden om zelf in te richten (met bijbehorende sancties)

• Naast de AVG is er een aparte Richtlijn voor

gegevensbescherming bij opsporing en vervolging, alleen bedoeld voor Politie en Justitie

Wat is de AVG ?

AVG en onderwijs 8

Verduidelijking van het begrip ‘persoonsgegevens’

‘Persoonsgegeven’ volgens Wbp

• Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon

• Identificeerbaar: Geen onevenredige inspanning

‘Persoonsgegeven’ volgens AVG (specifieker en moderner dan Wbp)

• Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’)

• Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd

– aan de hand van een identificatiefactor zoals naam, identificatienummer, locatiegegevens, online identificator, of

– van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die

natuurlijke persoon

AVG: Modelvorming

Acquire

Binnenhalen

Access Toegang

Use

Verwerken

Disseminate Delen

Verstrekken

Dispose

Verwijderen Vernietigen INFORMATION ASSURANCE: Informatiestroom,

werkprocessen, applicaties en gegevensverzamelingen Toezicht (Intern)

Functionaris voor Gegevensbescherming (FG of DPO) Verwerkingsverantwoordelijkheid

Register en vastgelegde afspraken

Transparantie Inzagerecht

Rectificatierecht Wissingsrecht

Meldplicht Datalekken Toezicht (Extern)

Autoriteit Persoonsgegevens (AP) en certificering

IB&P Maatregelen

BIV Classificatie, Procedurele en Applicatieve Controls, General IT Controls Voortbrengingsproces

Privacy by Design en PIA (GEB)

AVG en onderwijs 10

AVG aandachtspunten voor Onderwijs

1. Expliciete Toestemming van betrokkene of ouders

(tenzij een wettelijke noodzakelijkheid, cf. AVG Art. 6, lid 1) 2. Omvang van uw organisatie en de soort persoonsgegevens die

u verwerkt

3. Minimale Data Opslag en Tijdige Verwijdering 4. Recht op Vergetelheid

5. Data Privacy Officer (DPO) of FG 6. Register van Verwerkingen

7. PIA – Privacy Impact Assessment

(gegevensbeschermingseffectbeoordeling – GEB) 8. Beveiliging van Persoonsgegevens

9. Verwerkersovereenkomst met IT-leveranciers 10. Datalekken

(een datalek kan voorkomen, maar melden is verplicht)

10 belangrijkste punten uit de AVG

Wat betekent AVG voor scholen en gemeenten ?

▪ Alleen data opvragen die de school of de gemeente daadwerkelijk nodig heeft (‘dataminimalisatie’) en deze data niet langer bewaren dan nodig is

▪ Relatie tussen het individu (leerling, ouder en werknemer) en de

gegevensverwerker (de school) vastleggen, inclusief toestemming voor het gebruik van gegevens (ook bij gebruik van foto’s)

▪ Bij digitale apps en social media toestemming nodig van ouders van leerlingen jonger dan 16 jaar

▪ Een risicoanalyse (PIA: privacy impact assessment) uitvoeren wanneer er privacy-risico’s zijn – ook bij aankoop en ingebruikname van systemen van derden die persoonsgegevens verwerken (bijv. leerling administratie en

leerlingvolgsystemen)

AVG en onderwijs 12

▪ Technische maatregelen nemen opdat de opslag van persoonsgegevens goed is beveiligd

▪ Leerlingen, ouders en medewerkers voorlichten over de genomen privacy

maatregelen en inspanningen van de school of gemeente om verantwoordelijk om te gaan met persoonsgegevens

▪ Een Functionaris Gegevensbescherming aanstellen, die controleert dat de persoonsgegevensverwerking juist en volgens de wet gebeurt (voor grote

organisaties, scholen die bijzondere persoonsgegevens verwerken of leerlingen actief volgen)

▪ Alle bovenstaande maatregelen documenteren, opdat de school of gemeente haar inspanningen om de privacywet na te leven kan bewijzen

▪ Indien er zich een datalek voordoet, moet dit binnen 72 uur worden onderzocht en worden gemeld aan AP. Bij risico voor misbruik z.s.m.

de betrokkenen inlichten

Maatregelen binnen het onderwijs en de gemeente

Vragen