Sinds vorig jaar is de Algemene Verordening Gegevensbescherming (‘AVG’) van kracht. Deze wetgeving heeft gevolgen voor vrijwel alle bedrijven en sectoren. Dat geldt ook voor scholen (basis en voortgezet onderwijs). In deze blog bespreken wij onderwerpen die AVG gerelateerd zijn en op bijna iedere school spelen, zoals het gebruik van leerlingdossiers en het publiceren van beeldmateriaal van leerlingen.
Informatieplicht
Scholen hebben op grond van de AVG een informatieplicht (art. 13 en 14 AVG). Dit betekent dat zij verplicht zijn om leerlingen en/of diens ouders over de verwerking van persoonsgegevens te informeren, waaronder:
het doel waarvoor de persoonsgegevens worden verwerkt (bijvoorbeeld het aanmelden van een kind als leerling op de school en het aanleggen van een leerlingdossier);
de wettelijke grondslag waarop de verwerking wordt gebaseerd (bijvoorbeeld toestemming);
aan wie persoonsgegevens eventueel worden verstrekt (bijvoorbeeld de Dienst Uitvoering Onderwijs, de GGD/schoolarts en de Onderwijsinspectie);
wat de rechten van de leerlingen en/of diens ouders zijn (denk bijvoorbeeld aan het recht op inzage); en
hoe lang persoonsgegevens worden bewaard.
De informatie moet beknopt, eenvoudig, toegankelijk en begrijpelijk zijn (art. 12 AVG). Het moet voor leerlingen en/of diens ouders duidelijk zijn wat onder de verwerking van persoonsgegevens wordt verstaan. Scholen dienen de hiervoor genoemde informatie dan ook bij voorkeur via de website of per e-mail te verstrekken, bijvoorbeeld in de vorm van een privacyverklaring.
Leerlingdossiers
Scholen gebruiken leerlingdossiers om de ontwikkeling, gedrag en leerprestaties van hun leerlingen in kaart te brengen en te volgen.
Welke gegevens zitten in leerlingdossiers?
Voorbeelden van (persoons)gegevens in leerlingdossiers zijn:
NAW-gegevens;
gegevens over in- en uitschrijving;
gegevens over afwezigheid;
gegevens over gezondheid van de leerling, die nodig zijn voor speciale begeleiding of speciale voorzieningen;
gegevens over de resultaten van de leerling; en
verslagen van gesprekken met de ouders.
Welke regels uit de AVG zijn van belang?
Leerlingdossiers bevatten persoonsgegevens. De AVG is dus van toepassing. Bij verwerking van persoonsgegevens in leerlingdossiers is onder meer het volgende van belang:
Scholen mogen alleen gegevens in het leerlingdossier verwerken als dat noodzakelijk is voor het doel (art. 5 en 6 AVG).
Scholen moeten passende technische en organisatorische maatregelen treffen ter beveiliging en bescherming van de gegevens van leerlingen (art. 5, 24 en 25 AVG). Denk bijvoorbeeld aan de toegang tot leerlingdossiers gebaseerd op het ‘need to know’-principe.
Scholen kunnen verplicht zijn een data protection impact assessment (DPIA) uit te voeren voor het gebruik van leerlingdossiers (art. 35 AVG). Met een DPIA dienen scholen de privacyrisico’s van een gegevensverwerking in kaart te brengen. Op basis van een DPIA kunnen scholen maatregelen treffen om deze risico’s te verkleinen. Een DPIA is verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor bijvoorbeeld de leerlingen van wie de school persoonsgegevens verwerkt.
Scholen moeten de gegevensverwerking in leerlingdossiers opnemen in hun register van verwerkingsactiviteiten (art. 30 AVG).
Hoe lang mogen persoonsgegevens worden bewaard?
Persoonsgegevens mogen op grond van de AVG niet langer worden bewaard dan gezien het doel waarvoor zij worden verwerkt (art. 5 AVG). Dit betekent dat scholen moeten beschikken over een bewaartermijnenbeleid. Het hebben van een bewaartermijnenbeleid betekent niet alleen dat inzichtelijk moet zijn welke bewaartermijnen binnen de school gelden, maar ook dat actief uitvoering wordt gegeven aan de bewaartermijnen.
De AVG geeft geen concrete bewaartermijnen. De Autoriteit Persoonsgegevens hanteert voor leerlingdossiers in beginsel een bewaartermijn van 2 jaar nadat de leerling van school is gegaan. Voor sommige gegevens gelden wettelijke bewaartermijnen. Scholen (of andere onderwijsinstellingen) zijn in dat geval verplicht om deze termijn na te leven. Een voorbeeld hiervan zijn de gegevens over het programma van de voorschoolse educatie die een kind heeft gevolgd. Deze gegevens moeten 2 jaar worden bewaard nadat het kind het kindercentrum of peuterspeelzaal heeft verlaten (art. 167 Wet op het primair onderwijs).
Publiceren beeldmateriaal
Scholen kunnen beeldmateriaal van hun leerlingen publiceren. Bijvoorbeeld online of in een (papieren) schoolkrant. De AVG stelt aan publicatie van beeldmateriaal regels. De Autoriteit Persoonsgegevens (‘AP’) riep scholen overigens al eerder op zorgvuldig met beeldmateriaal (lees: foto’s en video’s waarop leerlingen herkenbaar in beeld zijn) om te gaan. Hieronder worden een paar aandachtspunten genoemd:
Toestemming
Als een school beeldmateriaal van leerlingen wil publiceren, moet de school toestemming vragen. Leerlingen van 16 jaar en ouder dienen zelf toestemming te geven. Bij jongere leerlingen heeft de school toestemming van de ouders nodig (art. 5 UAVG). Om te kunnen spreken van geldige toestemming moet aan de volgende voorwaarden zijn voldaan (art. 7 AVG):
De toestemming moet vrij en niet onder druk gegeven zijn. De leerling of ouders mag/mogen bijvoorbeeld niet benadeeld worden als hij of zij geen toestemming geeft/geven.
De toestemming moet ondubbelzinnig Het moet volstrekt helder zijn dat er toestemming is verleend. De school mag niet uitgaan van het principe ‘wie zwijgt, stemt toe’.
De school moet toestemming vragen voor een specifieke verwerking en een specifiek doel. Bijvoorbeeld het plaatsen van foto’s en video’s via de website om aan de ouders verslag te doen van een schoolkamp.
Het moet voor leerlingen en ouders net zo makkelijk zijn om de toestemming weer in te trekken als om de toestemming te geven.
De toestemming kan bij de inschrijving van de leerling worden geregeld, bijvoorbeeld via een toestemmingsformulier. Echter, bij wijzingen of aanpassingen van de gegevensverwerking moet de school opnieuw om toestemming vragen (en moet dus ook weer aan bovengenoemde voorwaarden voor geldige toestemming worden voldaan). De school dient overigens te kunnen aantonen zij geldige toestemming van leerlingen of diens ouders heeft. Leg toestemming voor publicatie van beeldmateriaal daarom schriftelijk vast.
Beveiliging
De school moet passende technische en organisatorische maatregelen nemen om beeldmateriaal te beveiligen tegen misbruik, verlies, etc. Een voorbeeld van een passende maatregel is het beperken van de toegang tot het beeldmateriaal. Denk aan een portal op een website waarop uitsluitend leerlingen en ouders kunnen inloggen om het beeldmateriaal te bekijken.
Tot slot
Met de komst van de AVG raden wij scholen aan om (nogmaals) kritisch naar hun privacybeleid te kijken. Zoals hierboven toegelicht, speelt de AVG op meerdere vlakken een rol. Bovendien dienen leerlingen als een kwetsbare groep te worden beschouwd. Scholen moeten daarom te allen tijde zorgvuldig met de gegevensverwerking van deze groep omgaan. Daarbij is noodzakelijk dat scholen hun medewerkers instrueren over de AVG en de praktische opvolging daarvan. Het ontbreken van privacy awareness binnen een organisatie is een compliance risico. Daardoor bestaat een hoger risico op sancties wanneer er bijvoorbeeld een datalek niet op de juiste wijze wordt verwerkt en eventueel gemeld.
Dit artikel is ook te vinden in de dossiers AVG en Jeugd en onderwijs