De AVG wordt vaak als ingewikkeld ervaren. Bij niet (correcte) naleving riskeren onderwijsinstellingen echter maatregelen en boetes. In tien stappen is uw organisatie ‘AVG Proof’.
1. Gegevensinventarisatie
Een systematische aanpak voor gegevensinventarisatie kan aan de hand van de werkprocedures, maar ook aan de hand van de softwarepakketten, die in de verwerkersovereenkomsten aangeven welke persoonsgegevens worden verwerkt in de software.
2. Vaststellen van doelen en verwerkingsgrondslagen
Als vuistregel voor onderwijsinstellingen geldt dat zij voor kernprocessen de grondslag van een ‘wettelijke verplichting’ dan wel een ‘wettelijke taak en/of in het openbaar belang’ kunnen hanteren. Vele verwerkingen vloeien namelijk direct voort uit de wet of betreffen de bekostigingsrelatie tussen de school en de overheid. De grondslag ‘toestemming’ kan men beter vermijden net als de grondslag ‘(onderwijs)overeenkomst’.
3. In kaart brengen van risicovolle verwerkingen en het uitvoeren van DPIA’s indien nodig
Met een DPIA worden privacyrisico’s in kaart gebracht. Bedoeling is dat de verantwoordelijke daarna maatregelen treft om deze risico’s te verkleinen. De Autoriteit Persoonsgegevens heeft aangegeven dat een DPIA voor de digitale leerlingvolgsystemen en het door scholen gehanteerde cameratoezicht in de meeste gevallen aan de orde zijn.
4. Opzetten en inrichten van een privacymanagementbeleid
Advies is om een projectteam in te richten met voldoende tijd en middelen om het implementatieproces met succes af te ronden.
5. Register van verwerkingsactiviteiten
Het projectteam kan met de in stap 1, 2, en 3 verkregen input starten met het opstellen van een register van verwerkingsactiviteiten. Een register van verwerkingsactiviteiten is één van de basisverplichtingen uit de AVG.
6. Nakoming van de rechten van betrokkenen
De Autoriteit Persoonsgegevens kan het niet correct naleven van de rechten van betrokkenen sanctioneren met een boete uit de hoogste categorie. Een protocol of een procedure inzake het afwikkelen van verzoeken van betrokkenen binnen een maand is daarom noodzakelijk.
7. Check de afspraken met uw verwerkers
Onderwijsinstellingen zijn verplicht om bij het contracteren van leveranciers van digitale leermiddelen gebruik te maken van de modelverwerkersovereenkomst, te raadplegen via de website van de sectorraden.
8. Regeling met medeverantwoordelijken
Indien gegevens worden gedeeld met andere partijen dan verwerkers is het eveneens aan te raden een regeling op te stellen waarin afspraken worden gemaakt over de wijze waarop beide partijen omgaan met persoonsgegevens die hen beiden ter beschikking moeten staan. Denk bijvoorbeeld aan het samenwerkingsverband.
9. Melden en registreren van datalekken
Het te laat melden van een datalek kan een boete opleveren. Een datalek dient binnen 72 uur na ontdekking te zijn gemeld bij de AP. Het verdient aanbeveling om een datalekprocedure gereed te hebben voor het onvermijdelijke moment dat in uw organisatie een datalek aan de orde is.
10. Controleren van logbestanden en passende beveiliging van persoonsgegevens
Scholen moeten passende technische en organisatorische maatregelen treffen om de persoonsgegevens die zij verwerken te beveiligen. Een overzicht van de beveiligingsnormen en maatregelen vindt u op de websites van SURF, SAMBO-ICT en Kennisnet.