Euro-update voor privacy

Zorgvuldig omgaan met persoonsgegevens moet elke school al, maar nieuwe wetgeving over privacy op Europese grondslag maakt een update noodzakelijk met een eigen rol voor de medezeggenschapsraad.

Er is geen ontkomen aan: vanaf 25 mei moeten organisaties die overheidstaken uitvoeren een ‘functionaris voor de gegevensbescherming’ hebben. Die FG gaat toezicht houden op de toepassing en naleving van de vernieuwde wetgeving over gegevensbescherming, oftewel alle maatregelen om rapportcijfers, personeelsdossiers en dergelijke af te schermen van hackers en snuffelaars. Moeten scholen ook zo iemand aanwijzen? “Het openbaar onderwijs zeker, want die scholen zijn een publieke rechtspersoon”, zegt Jasper Gevers, specialist privacyrecht bij De Haan Advocaten & Notarissen. “Andere scholen kun je zien als privaatrechtelijke organisaties die een overheidstaak uitvoeren. Daarom adviseer ik om altijd een FG aan te wijzen. Dan heb je er in ieder geval een persoon binnen de organisatie voor. Zonder coördinatie is het vrijwel niet mogelijk volledig in lijn met deze wetgeving te handelen.” De nieuwe regels staan bekend als de AVG, de algemene verordening gegevensbescherming. “Dit is een goed moment om te kijken naar de persoonsgegevens die de school nu al opslaat”, zegt AOb-trainer medezeggenschap Annemarie van Luik, die zich heeft verdiept in de AVG. “De formele afspraken over omgang met persoonsgegevens vallen onder het instemmingsrecht van de diverse geledingen van de mr, maar het gaat bij dit onderwerp vooral om cultuur en gedrag.”

Achterdeurtjes

Wat de precieze rol van de mr is bij de omgang met persoonsgegevens, moet de komende maanden duidelijker worden. Dat de belangen van de achterban meespelen in dit dossier, staat buiten discussie. Persoonsgegevens zijn op vele gebieden binnen de school relevant en dat maakt het niet eenvoudig om het overzicht te houden. En de digitalisering maakt veel gegevens toegankelijk die in het verleden vanzelf beschermd waren. Papieren dossiers lagen vaak achter slot en grendel, maar het gemak van online administratie is onweerstaanbaar. Leerlingvolgsystemen zijn gemakkelijk op de computer in te vullen, ouders kunnen de voortgang van hun kind bijhouden, leerlingen hebben zicht op hun actuele toetsresultaten en hun gemiddelden. “Je kunt geen school zijn zonder persoonsgegevens op te slaan en te bewerken. Maar dat moet je wel heel zorgvuldig doen, zodat er geen ongewilde achterdeurtjes in het systeem sluipen”, waarschuwt Van Luik.

Aanstellen dus zo’n FG, herhaalt specialist privacyrecht Gevers. Ermee beginnen is niet moeilijk, legt hij uit: ”Er gelden geen bijzondere opleidingseisen en het is vaak mogelijk intern een kandidaat te vinden. Het aanstellen is dan ook meestal een kleine moeite. Maar als een school geen functionaris voor de gegevensbescherming heeft, kan dat grote gevolgen hebben wanneer blijkt dat het toch noodzakelijk was geweest iemand aan te stellen. Daarom adviseer ik mr-en altijd om aan te dringen op het aanstellen van een FG. Gebeurt dat toch niet, dan zal de mr een kritische houding aan moeten nemen bij alle voorstellen die een raakvlak hebben met de bescherming van persoonlijke gegevens.”

Fietsenhok

Van Luik noemt drie vragen die elke mr nu kan stellen aan de overlegpartner: “Zijn de nieuwe regels bekend, hoe doen we het nu, is er aanleiding voor verandering?” En er blijven altijd heel wat agendapunten waarbij het privacy-aspect relevant is voor de mr, vindt de AOb-trainer. Soms is dat heel duidelijk: “Stel dat je cameratoezicht in wilt stellen, dan is het niet de bedoeling om het hele team de beelden van het fietsenhok te laten bekijken.” Op andere terreinen is het risico van privacyproblemen wat meer verscholen. Thuis inloggen op het systeem van de school om toetsresultaten in te voeren, is bijvoorbeeld gemakkelijk en tijdbesparend voor leerkrachten. “Technisch is het ook mogelijk gegevens in de openbare bibliotheek te verwerken via de openbare Wifi. maar daarmee creëer je een risico op een datalek en maak je dus extra beschermingsmaatregelen nodig. Niet iedereen is zich daarvan al bewust. De nieuwe wetgeving maakt het nog belangrijker om dit op orde te hebben en om de opslag te beperken tot wat echt nodig is. Er zijn nog meer belangrijke vragen die elke school zich moet stellen: Wie moet er iets met de gegevens, hoe sla je ze op, hoe vernietig je data die niet meer van belang zijn?”

De Autoriteit Persoonsgegevens houdt toezicht op de naleving van deze privacywetgeving, niet alleen voor het onderwijs maar ook bij overheid en bedrijfsleven. De toezichthouder kan de functionaris voor de gegevensbescherming om tekst en uitleg vragen, en heeft de bevoegdheid om boetes op te leggen bij overtredingen, bijvoorbeeld als er foto’s van leerlingen op de schoolwebsite staan zonder de vereiste toestemming. AOb-trainer Van Luik: “Scholen moeten zich natuurlijk aan de wet houden. Dat is een verantwoordelijkheid van het bevoegd gezag, net als in arbokwesties. En als we daar verder bij aansluiten: ook als het om privacy en persoonsgegevens gaat, kan de medezeggenschap een rol spelen in de bewustwording. Technisch is er van alles mooi te regelen, maar het blijft mensenwerk. En daarom hoort een functionaris voor de gegevensbescherming er voortaan gewoon bij.”