Wat is de AVG?

Per 25 mei 2018 is in heel Europa ‘the General Data Protection Regulation (GDPR)’ van toepassing. In Nederland is dit de 'Algemene Verordening Gegevensbescherming' (AVG). Per die datum moeten alle organisaties die actief zijn in de Europese Unie voldoen aan de nieuwe privacywetgeving. Deze nieuwe wet- en regelgeving zorgt voor administratieve lasten en dwingt tot zowel beleidswijzigingen als tot het nemen van de juiste organisatorische en technische maatregelen. 
Wat is de GDPR?

The General Data Protection Regulation (GDPR) is de nieuwe Europese privacyverordening ter bescherming van persoonsgegevens en de privacy van de burger. Door organisaties te dwingen voorzichtig om te gaan met data, wil de Europese Unie haar burgers beschermen tegen verlies en diefstal van persoonsgegevens. Per 25 mei 2018 geldt dezelfde privacywetgeving in heel Europa en moeten alle organisaties die actief zijn in de EU voldoen aan de GDPR, in Nederland dus de Algemene Verordening Gegevensbescherming (AVG).

Algemene verordening gegevensbescherming (AVG)

De AVG is in mei 2016 in werking getreden. Er zit 2 jaar tussen de inwerkingtreding van de AVG en het moment dat deze daadwerkelijk van toepassing is. De huidige Wet bescherming persoonsgegevens is gebaseerd op Europese privacyrichtlijnen uit 1995. Deze richtlijnen sluiten niet meer aan op de huidige digitale wereld en zijn daarom de afgelopen jaren herzien. Per 25 mei 2018 vervangt de AVG definitief de Wbp. Per die datum zijn alle organisaties in Nederland verplicht aan de AVG te voldoen.

Wat doet Dotcomschool?

Dotcomschool is aangesloten bij de VDOD en het Privacy Convenant Onderwijs. Via o.a. deze kanalen zijn en blijven wij op de hoogte van alle ontwikkelingen op het gebied van wet- en regelgeving. Dotcomschool voert altijd alle nodige wijzigingen in onze applicaties door om te voldoen aan deze wet- en regelgeving. Alle specifieke maatregelen worden per applicatie beschreven in bijlagen van de Verwerkersoverkomst. Samen met de Algemene voorwaarden en de SLA, vormt deze Samenwerkingsovereenkomst de Product en diensten overeenkomst.

Hoe om te gaan met persoonsgegevens?

Bij het verwerken van persoonsgegevens moeten een aantal principes gehanteerd worden. Dit gaat om de volgende basisprincipes:

Transparantie
De persoon van wie de gegevens verwerkt worden, weet hiervan en er is een grondslag om de gegevens te verwerken. De persoon heeft bijvoorbeeld toestemming gegeven voor het verwerken van de gegevens of er is een wettelijke grondslag.

Doelbinding
De persoonsgegevens worden voor een specifiek doel verzameld en worden niet voor andere doeleinden gebruikt.

Dataminimalisatie
Gegevens worden alleen voor het beoogde doel verwerkt en alleen de gegevens die hiervoor noodzakelijk zijn worden bijgehouden.

Integriteit
De persoonsgegevens moeten correct zijn en blijven.

Bewaartermijn
De persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel.

Vertrouwelijkheid
De persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden en tegen verlies of vernietiging.

Verantwoordingsplicht
De Verwerkingsverantwoordelijke moet kunnen aantonen aan de regels te voldoen.

Wat is belangrijk voor op school?

Bewustzijn is een van de belangrijkste onderdelen van de AVG. Zorg ervoor dat iedereen op school op de hoogte is van de regels en beseft welke gegevens zij allemaal bijhouden en hoe hier mee om te gaan. Laat bijvoorbeeld nooit een computer(scherm) onbeveiligd aan staan wanneer je de klas uitloopt. Wees op de hoogte van de privacy procedures binnen uw organisatie. Let op, welke gegevens allemaal (onbeveiligd) via e-mail verstuurd en ontvangen worden.

1. De school moet in 2018 voldoen aan Europese privacyregels
2. Gebruik van leerlinggegevens moet goed onderbouwd zijn

De school is verplicht om goed te onderbouwen waarom persoonsgegevens van leerlingen verzameld en verwerkt worden en hoe lang die gegevens bewaard blijven. Uitgangspunt daarbij is 'dataminimalisatie': er mogen niet meer gegevens gevraagd worden dan strikt noodzakelijk. Na beëindiging van het gebruik van persoonsgegevens, hebben burgers in de EU het 'recht te worden vergeten'. Voor de school betekent dit dat ouders de school straks makkelijker kunnen vragen om gegevens te verwijderen.

3. De toestemming voor gebruik van leerlinggegevens moet goed geregeld zijn

Voor het gebruik van leerlinggegevens is soms toestemming nodig van leerlingen en ouders; bijvoorbeeld bij het gebruik van foto's. De school mag er niet vanuit gaan dat er al toestemming is gegeven. Er is een duidelijke, actieve handeling van leerlingen en ouders nodig (bijvoorbeeld een handtekening).

4. De school moet bewust omgaan met leerlinggegevens

De AVG stimuleert tot bewustere omgang met privacy; onder meer met de verplichting om risicoanalyses uit te voeren. Sowieso moeten betrokkenen goed voorgelicht zijn over de privacybescherming op school, over de rechten en plichten van leerlingen, ouders en medewerkers én over wat er gedaan wordt om privacyrisico's te beperken. Bewust omgaan met gegevens betekent ook dat er nagedacht wordt over informatiebeveiliging. Mocht er onverhoopt toch data zijn 'gelekt', moet dit binnen 72 uur gemeld worden.

6. Het bestuur moet een functionaris gegevensbescherming hebben aangesteld

In de publieke sector is het aanstellen van een functionaris voor de gegevensbescherming (FG) wettelijk verplicht. Zo'n FG houdt intern toezicht op de verwerking van persoonsgegevens en heeft een wettelijk beschermde taak. Deze verplichting geldt ook voor organisaties 'die persoonsgegevens gebruiken van personen waarop regelmatig en stelselmatig toezicht moet worden gehouden'. Veel scholen vallen onder deze verplichting, want scholen leggen steeds meer leerlinggegevens vast; evenals bijzondere persoonsgegevens, zoals gegevens over de gezondheid (dyslexie, gedragsproblemen).

Voor uitgebreidere informatie over deze punten zie de website van Kennisnet.

Datalekken

In het geval van een Datalek moet er verplicht een melding worden gedaan bij de Autoriteit Persoonsgegevens. Dit moet gemeld worden wanneer het gaat om persoonsgegevens van gevoelige aard of wanneer er sprake is van een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens.

Wanneer deze gelekte gegevens niet zijn versleuteld of er een grote kans bestaat dat dit invloed heeft of gaat hebben op de betrokkenen in de persoonlijke levenssfeer, is er ook een verplichting richting de betrokkenen om hen op de hoogte te stellen.

Indien een concrete situatie zich daartoe leent, kan Dotcomschool een (eerste) melding van een Datalek doen aan de Autoriteit Persoonsgegevens. De Onderwijsinstelling wordt hierover geïnformeerd en blijft ook in dit geval eindverantwoordelijk voor de melding.

Databeveiliging

Dotcomschool hanteert het intern privacy- en ICT-beleid Dotcomgroup. Dit interne ICT- en privacybeleid fungeert als leidraad hoe binnen onze organisaties wordt omgegaan met privacy gerelateerde gegevens, zogeheten persoonsgegevens.

Gegevens worden opgeslagen bij een professioneel gecertificeerd datacenter om een hoge mate van betrouwbaarheid te garanderen. Dotcomschool treft voorzieningen voor adequate toegangsbeveiliging zodat toegang tot persoonsgegevens alleen voorbehouden is aan geautoriseerd personeel.

Dotcomschool heeft het Certificeringsschema met BIV-classificatie als toetsingskader en voor het creëren van een solide basisniveau van informatiebeveiliging en privacy voor haar producten en diensten. Afhankelijk van de product of de dienst wordt er een BIV-classificering afgegeven. Deze wordt per applicatie in kaart gebracht en is te vinden in de beveiligingsbijlage (bijlage 2) van de Verwerkersovereenkomst 3.0. Deze product en diensten overeenkomst met bijbehorende bijlagen kunt u terug vinden in de applicatie bij de Support informatie.



Onze producten

Benieuwd naar onze producten? Bekijk wat wij u en uw school allemaal kunnen bieden!

Klik hier voor onze producten

Meer informatie

Meer weten over de AVG? Op de website van Autoriteit Persoonsgegevens vindt u meer informatie.

Bezoek autoriteit persoonsgegevens

Contact

Heeft u een vraag over onze programma's? Wilt u weten hoe dotcomschool uw school kan ondersteunen m.b.t. de AVG?

Neem contact met ons op