Een half jaar AVG: onze eerste ervaringen in het onderwijs

Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. In de praktijk merken we dat er sindsdien veel aandacht is voor de nieuwe privacywetgeving. Schoolbesturen vragen ons regelmatig of een bepaalde gegevensverwerking is toegestaan of in hoeverre zij persoonsgegevens met andere organisaties mogen delen. Hieronder vindt u een aantal van de vragen uit onze praktijk, met de bijbehorende antwoorden. Staat uw vraag er niet bij? Neemt u dan gerust contact met ons op! We helpen u graag op weg. Ons eerste advies (telefonisch en op locatie) is bovendien gratis.

Moet een school een FG aanstellen?
Ja, organisaties zijn (onder andere) verplicht om een FG aan te stellen als zij regelmatig en stelselmatig betrokkenen observeren. Dat geldt ook voor scholen, omdat scholen vaak leerlingvolgsystemen gebruiken. Daarnaast verwerken scholen vaak op grote schaal bijzondere categorieën van persoonsgegevens, zoals gegevens over de gezondheid van leerlingen. Schoolbesturen zijn daarom verplicht om een FG aan te wijzen (voor de scholengemeenschap als geheel).

Wat is het verschil tussen een FG en een privacy officer?
Een FG is een interne toezichthouder op de verwerking van persoonsgegevens binnen de school. Hij of zij controleert de naleving van de AVG, handelt vragen en klachten over privacy af en adviseert het schoolbestuur over bijvoorbeeld interne regelingen en gedragscodes rondom privacy. Het komt voor dat naast de FG ook een privacy officer bij het schoolbestuur werkzaam is. Meestal is de privacy officer dan betrokken bij de voorbereiding en de uitvoering van bijvoorbeeld projecten en implementatie van wetgeving. Betrokkenheid van de FG bij zulke projecten is niet gewenst, omdat de FG vanwege zijn toezichthoudende rol niet de eigen werkzaamheden mag controleren. Overigens is het aanstellen van een privacy officer niet verplicht, maar kan dat vooral voor de grote schoolbesturen wel verstandig zijn.

Wat is de rol van de (G)MR bij de invoering van de AVG?
Bij de invoering van de AVG heeft de (G)MR verschillende rechten. In de eerste plaats heeft de (G)MR recht op informatie over de uitwerking van de AVG op stichtings- en schoolniveau. Het personeelsdeel van de (G)MR heeft verder instemmingsrecht op de vaststelling of wijziging van een regeling over het verwerken van en de bescherming van persoonsgegevens van het personeel. In het primair onderwijs heeft de oudergeleding dezelfde bevoegdheid ten aanzien van persoonsgegevens die de ouders en leerlingen betreffen. In het voortgezet onderwijs moet zowel de oudergeleding als het leerlingendeel instemmen met wijzigingen rondom het verwerken van en de bescherming van hun persoonsgegevens. Ook heeft de (G)MR instemmingrecht op de keuzes rondom het aanwijzen van een FG, zoals de bevoegdheden die aan de functie worden toegekend en de plaats die de functie in de organisatie inneemt.

Hoe lang mag de school het leerlingendossier bewaren?
In het algemeen mogen leerlingendossiers gedurende twee jaar nadat de leerling van school is gegaan worden bewaard. Gegevens over de in- en uitschrijving en gegevens over verzuim en afwezigheid van de leerling dient de school echter gedurende vijf jaar te bewaren. Gaat het om een leerling die naar een school voor speciaal onderwijs is doorverwezen, dan geldt een bewaartermijn van drie jaar.

Is toestemming nodig om een klassenlijst met (andere) ouders en leerlingen te delen?
Ja, want er is geen wettelijke grondslag om zomaar contactgegevens van leerlingen (en hun ouders), adresgegevens en verjaardagen met (andere) ouders en leerlingen te delen. Dit mag alleen als de leerling (ouder dan 16 jaar) of de ouders (van een leerling jonger dan 16 jaar) daarvoor toestemming hebben gegeven.

Mag de school persoonsgegevens delen met de schoolfotograaf?
Om de juiste foto’s bij de juiste leerlingen (en hun ouders) terecht te laten komen, heeft de schoolfotograaf gegevens nodig van de leerlingen. De grondslag voor deze gegevensverwerking is  ‘gerechtvaardigd belang’. Het maken van schoolfoto’s hoort bij het onderwijs en de school gebruikt de pasfoto’s en klassenfoto’s vaak zelf ook voor eigen doelen. Wel dient de school in een verwerkersovereenkomst goede afspraken met de schoolfotograaf te maken over wat de fotograaf wel en niet met de persoonsgegevens mag doen.

Mag de school bestanden met persoonsgegevens per e-mail versturen?
Nee, want e-mail kent zelf geen (standaard) beveiliging en is daarom geen geschikt middel om persoonsgegevens mee te versturen. Er zijn veiligere ICT-oplossingen beschikbaar, bijvoorbeeld het delen van gegevens via een apart systeem of het versleutelen van bestanden.