AVG in tien stappen scholen

1. Bewustwording

2. Rechten van betrokkenen

3. Overzicht verwerkingen

4. DPIA

5. Privacy

6. Functionaris gegevensbescherming (FG)

7. Meldplicht datalekken

8. Bewerkersovereenkomst

9. Toezichthouder

10. Toestemming

1.        Bewustwording.

Zorg ervoor dat alle medewerkers in uw school op de hoogte zijn van de nieuwe privacyregels. Zij moeten weten en kunnen inschatten wat de impact van de AVG is op hun handelen met persoonsgegevens van leerlingen, hoe ze daar AVG-proof mee omgaan en welke aanpassingen nodig zijn om aan de AVG te voldoen.

2.        Rechten van betrokkenen

Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.

3.        Overzicht verwerkingen

Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt, met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt.

4.        DPIA

Onder de AVG kunt u verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.
In principe hoeven basisscholen geen DPIA uit te (laten) voeren.

5.        Privacy

Privacy by designhoudt in dat u bij het opzetten/ ontwerpen van handelingen (producten/ hulpverlening/ zorg) er al voor zorgt dat persoonsgegevens goed worden beschermd. Maar dit betekent bijvoorbeeld ook dat u niet meer gegevens verzamelt dan noodzakelijk zijn voor het doel van de verwerking en dat u de gegevens niet langer bewaart dan nodig is.

Privacy by defaulthoudt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Bijvoorbeeld:

    • op uw website het vakje ‘Ja, ik wil de nieuwsbrief ontvangen’ niet vooraf aanvinken;
    • als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens vragen dan nodig is.

6.        FG

Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen. Scholen zijn verplicht om een FG aan te stellen.

7.        Meldplicht datalekken

De AVG stelt strengere eisen aan de registratie van datalekken die zich in uw organisatie hebben voorgedaan. U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan. Een protocol datalekken en een registratieformulier zijn verplicht.

8.        Bewerkersovereenkomst

Heeft u uw gegevensverwerking uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn.

9.        Leidend Toezichthouder

Geldt niet voor basisonderwijs.

10.   Toestemming

Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven

 

 

Terug naar het overzicht