Privacy, een bestuurlijke verantwoordelijkheid

E-mailadres Afdrukken


Ook het onderwijs zal in mei 2018 moeten voldoen aan de Algemene Verordening Gegevensbescherming en hiervoor gekwalificeerd personeel in huis moeten hebben. Zo niet dan kan het bestuur een boete krijgen of persoonlijk aansprakelijk worden gesteld. Het gaat om de privacy van personeel, leerlingen, ouders en alle andere relaties. Wat te doen?


Privacyregels zijn niet nieuw. Al dertig jaar kent Nederland regels om de privacy van mensen te beschermen. Deze regels vervallen als in mei 2018 de Algemene Verordening Gegevensbescherming (AVG) in werking treedt. Bedrijven en organisaties hebben dan twee jaar lang de tijd gehad om aan de AVG te voldoen. Het gaat iedereen binnen de organisatie aan, maar het schoolbestuur is verantwoordelijk.

Serieuze zaak in digitale tijdperk
Grofweg 80% van de AVG zijn regels die we in de afgelopen 30 jaar al kennen. En, als het gaat om de overige 20% heeft Nederland daarop een voorschot genomen door middel van de Wet op de datalekken. Ook deze vervalt in mei 2018 als de AVG van kracht wordt. Maar, er volgt meer. Ook de Europese richtlijn op de Cybersecurity komt eraan.

Privacy is een serieuze zaak, zeker in de digitale tijdperk. Het is hoe dan ook voor iedere organisatie verstandig te werken volgens  de gedachte van AVG. Niet iedere organisatie is hiertoe verplicht, maar het onderwijs vanwege haar publieke taak wel.

Bestuurlijke verantwoordelijkheid
De verantwoordelijkheid is nadrukkelijk op bestuursniveau neergelegd. Er moet verplicht een Data Protection Officer (DPO) zijn die, onafhankelijk ten opzichte van het bestuur kan opereren en wettelijke bescherming geniet. Deze persoon is belast met het eerstelijnstoezicht op het bestuur. De Autoriteit Persoonsgegevens (AP) is verantwoordelijk voor het tweedelijnstoezicht. Een DPO is goed en breed opgeleid (techniek, ethiek, wetgeving, organisatiekunde, etc.) en moet gecertificeerd zijn. Meerdere besturen mogen dezelfde DPO delen. De DPO zelf geeft hierbij een grens aan van wat verantwoord is.

Niet onbeperkt verzamelen
Je mag niet onbeperkt gegevens van mensen verzamelen. Er moet hiervoor altijd een grondslag aanwezig zijn. Dit wil zeggen, het moet aannemelijk zijn, dat het gerechtvaardigd is dat jij als bestuur dit ene gegeven verzameld, vastlegt, beheert en gebruikt en ook aangeeft waarom dat wordt gebruikt. Binnen het onderwijs kan het zijn, dat deze grondslag in een wet of regeling is vastgelegd. Zo niet, dan zal er een bestuursbesluit aanwezig moeten zijn over waarom welke gegevens worden verzameld en de inhoud van dat besluit moet ook bij een ieder bekend zijn, inclusief de DPO en de AP.

Datalek meestal door nalatig gedrag
Bovenal is het belangrijk dat de persoonsgegevens goed worden beheert binnen een fysieke en digitale veilige omgeving en deze gegevens niet in vreemde handen kunnen komen. Zo niet, dan kan het bestuur te maken krijgen met een bestuurlijke boete en kan de bestuurder persoonlijk aansprakelijk worden gesteld. Dat raakt de interne verhoudingen binnen het onderwijs. En data-lek (ook in papiervorm) wordt vaker veroorzaakt door (nalatig) gedrag dan door (falende) techniek.

Meer informatie
Voor vragen en meer informatie kunt u o.a. terecht bij www.athdataprotection.nl telefoon 06-40323123.

Deel dit artikel op:

 

Trefwoorden

Advertentie

Agenda

Geen evenementen

maart uitgave

Partners