Proces aan je broek met privacywet?

De Nederlandse Wet bescherming persoonsgegevens maakt per mei 2018 plaats voor de Europese privacyverordening. Wat is het gevolg daarvan voor jouw dagelijkse werk op school? Mag je die leuke foto van de PWS-presentatie of de sportwedstrijd zomaar posten?

Privacywetgeving helpt om geen vreemde ogen toe te laten in je systemen en in je privéleven.

In de Europese ‘Algemene Verordening Gegevensbescherming’ (AVG) staan de aangescherpte privacyrechten die gaan over de opslag en bewerkingen van persoonlijke gegevens van alle burgers in de Europese Unie. Daarmee is deze wet ook van kracht voor alle mensen in schoolorganisaties: om hen te beschermen tegen pottenkijkers én om hen te begrenzen in de onbewuste verspreiding van gegevens. Kees Verhaart is als jurist bij Verus gespecialiseerd in dit werkgebied. “Iedereen die ergens geregistreerd is, heeft recht op privacy. Dat is het uitgangspunt dat je voortdurend voor ogen moet houden als je bewust met privacy bezig wilt zijn”, legt hij uit. “Zou jij het leuk vinden als elke willekeurige ander toegang heeft tot jouw informatie of beelden? Privacywetgeving helpt om geen vreemde ogen toe te laten in je systemen en in je privéleven.”

Beeldgebruik
Een wervingsfolder zonder foto’s van leerlingen: de nachtmerrie van elke PR-medewerker. Zo ver hoeft het gelukkig niet te komen. Verhaart: “Als leerlingen vrij anoniem en niet direct herkenbaar in beeld zijn in je foldermateriaal, op de sociale media van je school en op je schoolsite, dan is dat oké. Als derden een naam aan de gefotografeerde leerling kunnen geven, dan heb je een probleem. En dan maakt het nog verschil of het een foto is op het intranet of op de Facebookpagina. Je mag leerlingen daarom alleen afbeelden als je expliciet om toestemming hebt gevraagd aan de leerling en/of zijn ouders, als deze leerling jonger is dan 16 jaar. Om dat eenvoudig te kunnen vragen en vastleggen, werken we nu aan een format voor scholen. Je moet trouwens ieder jaar opnieuw om toestemming vragen en het antwoord vastleggen. De overheid kan controleren of je daar registers van hebt. Met ‘wie zwijgt, stemt toe’ kom je dus echt niet meer weg.”

Schoolplein
Wat doe je met al die foto’s die leerlingen zelf op school van elkaar maken? Hoe speelt daar dat privacyrecht en wat heb je als medewerker te doen als je leerlingen dat ziet doen? Een school kan in een leerlingenprotocol eisen dat er geen foto’s van leerlingen in schoolsituaties worden geplaatst. Buiten schoolsituaties heeft de school niets te vertellen.

Beveiligingscamera’s
Via beveiligingscamera’s wordt ook beeldmateriaal vastgelegd. “Die beelden mogen een beperkte tijd worden bewaard en worden gebruikt om leerlingen te controleren, zoals bij incidenten. Een beperkt aantal medewerkers is maar geautoriseerd om deze beelden te bekijken”, aldus Verhaart. “Het is overigens niet toegestaan om het doen en laten van medewerkers via deze beelden te controleren.”

Administratief
Gegevens van leerlingen en medewerkers staan in allerlei bestanden en systemen, denk aan de personeelsadministratie en Magister. “Maak een risico-inventarisatie”, adviseert Verhaart. “Je bent verplicht om met een private impact assessment al je bestanden uit je leerlingen-, personeels-, verzuim- en cijferadministratie tegen het licht te houden. Beschrijf in een privacyprotocol hoe je de bescherming organiseert en communiceer dat.” Er hoeft op zich niet veel te veranderen, is de verwachting van de jurist. “Er is op dit gebied al veel geregeld en die processen zijn gelukkig ook te automatiseren.” De grote verandering is dat je een up-to-date overzicht van alle registraties en toegangsbevoegdheden (autorisaties) binnen je organisatie voorhanden moet hebben, en een overzicht van wanneer een register is geraadpleegd. Op de site van Verus staat meer informatie over de regelgeving. Deze vereniging biedt vanaf januari 2018 scholing aan voor het middenkader en leraren om zaken zo eenvoudig mogelijk te kunnen invoeren.

 

Wat, wanneer, door wie en met welk doel?
Een privacyprotocol om processen van de schoolorganisatie in te richten op de nieuwe wetgeving is een verantwoordelijkheid van het management. Maar elke medewerker heeft ermee te maken en heeft eigen verantwoordelijkheden en bevoegdheden. Gegevens verstrekken mag alleen als het een bepaald doel dient: een mentor wil iets weten van zijn leerlingen en kan kijken in Magister. In de nieuwe situatie moet hij even noteren dat hij in het systeem is geweest. De bevoegdheid om een bepaald register te raadplegen en met welk doel moet vastliggen in een protocol. Een leraar mag dat niet zomaar doen, dat moet via de mentor. Verhaart: “Het is een manier van werken waarbij bewustwording en doelgerichtheid belangrijke sleutelwoorden zijn. Het gaat daarnaast om autorisatie en herleidbaarheid: de leerling en ouder moeten worden geïnformeerd over wat er met zijn of haar persoonsgegevens gebeurt. Je moet als school transparant zijn over wie wat wanneer mag bekijken en met welk doel.”