Op 21 maart heeft minister Slob van OCW daarover gerapporteerd aan de Tweede Kamer. Ook heeft minister Dekker (verantwoordelijk voor de uitvoering van de AVG) op 1 april de Kamer geïnformeerd over de uitkomsten van de evaluatie van de AVG in heel Nederland.
Scholen goed op weg
De belangrijkste uitkomsten van het onderzoek van OCW zijn de volgende:
- Beleid: een grote meerderheid van de schoolbesturen geeft aan goed op weg te zijn met de implementatie van privacy-beleid: in het PO is dat 75 %, in het VO 84 %. Slechts 1 % van de PO-scholen is nog niet gestart (in het VO is dat 0 %). Er zijn geen aanwijzingen dat, op basis van het aantal leerlingen, grote(re) schoolbesturen structureel verder zijn met de implementatie van het privacy-beleid.
- FG: één op de drie schoolbesturen in het po heeft nog geen functionaris gegevensbescherming (FG) aangewezen. In het VO is dat bij één op de tien het geval. Dit is een wettelijk voorschrift in de AVG.
- Communicatie: beleid maken is één, maar beleid communiceren met het onderwijzend personeel is twee. Uit het onderzoek blijkt dat docenten wel meer behoefte aan informatie hebben over hun verantwoordelijkheden. Gebleken is dat de informatie-uitwisseling tussen beleidsbepalers en coördinatoren enerzijds en onderwijzend personeel anderzijds nog niet goed loopt.
- Beeldmateriaal: bijna alle PO-scholen geven aan dat er op hun scholen toestemming wordt gevraagd voor het gebruik van beeldmateriaal van leerlingen. In het VO heeft 89% dit geregeld, 10% is hier nog mee bezig.
Kortom, de bescherming van persoonsgegevens heeft steeds meer de aandacht en de basis is redelijk op orde, maar geconcludeerd wordt dat verbetering nog wel nodig is. Daarvoor worden enkele aanbevelingen gedaan.
Invoering kost tijd en energie
Ook uit de inventarisatie van minister Dekker blijkt dat in Nederland sowieso een sterke behoefte bestaat aan voorlichting en uitleg over de AVG. Hij benadrukt dat er meer ruimte is voor het maken van eigen afwegingen dan verondersteld wordt. Zo hoef je niet steeds toestemming voor het maken van foto’s te vragen, maar mag je dit ook eens in de zoveel tijd doen om de administratieve lasten te beperken. Dekker: ‘Uit de inventarisatie blijkt ook dat de komst van de AVG tot veel aandacht voor de bescherming van persoonsgegevens heeft geleid. Ik juich dit toe. Verder wijs ik er graag op dat het hier nieuwe wetgeving betreft waarvan de invoering nu eenmaal tijd en energie kost en waaraan men nog verder moet wennen.’ Uiterlijk 25 mei 2020 komt minister Dekker met de definitieve resultaten van de evaluatie van de nieuwe AVG.
Digitaliseringsagenda onderwijssector
Met zijn brief van 21 maart over privacy in het onderwijs lanceerde minister Slob ook de digitaliseringsagenda PO en VO. Deze agenda met speerpunten, ambities en activiteiten moet de komende jaren richting geven aan de samenwerking tussen schoolbesturen, onderwijsorganisaties, overheid en bedrijfsleven als het gaat om digitalisering in het onderwijs. Het is de bedoeling dat besturen en scholen hiervan uiteindelijk hun voordeel mee kunnen doen. In de brief wijst hij ook op het invoeren van een pseudoniem voor leerling gegevens (zie daarover dit bericht).
Kortom: voortgang nodig
Beide bewindslieden zijn over het algemeen wel tevreden met hoe de bescherming van persoonsgegevens wordt opgepakt door het onderwijs en andere sectoren. Er is begrip voor het feit dat dit tijd en energie vergt, maar: er is wel voortgang nodig. Gelet op de digitaliseringsagenda en de komende evaluatie van de nieuwe AVG is de verwachting dat de noodzaak om te voldoen aan de AVG zal toenemen, zeker ook voor het onderwijs waar veel persoonsgegevens in omgaan. Dat onderstreept bijvoorbeeld ook het belang om als scholen een FG-er aan te stellen (zie ook dit bericht) en het privacy-beleid verder op orde te maken.
Hoever is uw school?
Hoe weet je nu of je als school op de goede weg bent met privacy binnen de school? Beantwoord onderstaande vragen om te kijken hoever de school is. De vragen zijn met gemak uit te breiden, maar ze geven wel een globaal beeld van hoever het privacybeleid binnen uw school geregeld is.
- Ligt er een beleidsdocument waarin het privacybeleid is vastgelegd, of bent u hiermee actief?
- Heeft de school een functionaris gegevensbescherming aangesteld?
- Is er binnen de school voldoende bewustwording van de do’s en don’ts van de AVG?
- Zijn ouders op de hoogte van het privacybeleid van de school en hebben ze waar nodig toestemming gegeven voor het gebruik van persoonsgegevens? (toestemmingsformulier)
- Zijn er duidelijke regels over het wel of niet gebruiken van foto’s in alle uitingen van de school? (website, schoolgids, sociale media, schoolfoto)
- Is er een verwerkingsregister waarin de categorieën persoonsgegevens die worden verwerkt staan vermeld?
- Bestaat er een datalekprocedure? Weet het personeel van deze procedure?
- Zijn het netwerk en de computers voldoende beveiligd volgens de AVG-normen? Beschikt bijv. de website-url over een SLL-certifictaat voor beveiligde verbinding?
- Heeft de school met uitgevers en andere bedrijven die persoonsgegevens van personeel en/of leerlingen verwerken, verwerkersovereenkomsten gesloten?
Wie deze vragen bevestigend kan beantwoorden, gaat de goede kant op en heeft al serieus werk gemaakt van de AVG. Neem voor vragen of advies contact op met Tineke Mulder.