Privacy en onderwijs

In het onderwijs worden steeds meer persoonsgegevens digitaal verwerkt. Soms worden onbewust persoonsgegevens beschikbaar gesteld aan derden. Lees hieronder wat je als school moet regelen om te voldoen aan privacy wetgeving.

De wet Bescherming Persoonsgegevens (WBP) hanteert voor de verwerking van persoonsgegevens een aantal uitgangspunten. Hieronder worden deze kort toegelicht.

Doelbinding. Persoonsgegevens mogen alleen verwerkt wordt voor het doel dat vooraf is bepaald en vastgelegd. Een school mag dus niet het e-mailadres van ouders – dat verkregen is voor het versturen van de nieuwsbrief – gebruiken voor andere doeleinden, zonder voorafgaande toestemming.

Grondslag. Persoonsgegevens mogen alleen verwerkt worden als hiervoor een grondslag aanwezig is. Dit kan de wet zijn, maar ook verleende toestemming of een gerechtvaardigd belang. Een school mag persoonsgegevens bijvoorbeeld aan een uitgever doorgeven voor het gebruik van digitaal leermateriaal dat in het onderwijs wordt gebruikt.  Een uitgever mag deze gegevens echter niet voor andere doeleinden gebruiken.

Dataminimalisatie. Er mogen niet meer persoonsgegevens verwerkt worden dan nodig is. Gevoelige gegevens, zoals godsdienst, ras, politieke overtuiging, etc. mogen niet verwerkt worden. Medische gegevens over een leerling mogen ook niet zonder toestemming uitgewisseld worden. Er mogen niet meer persoonsgegevens met een uitgever uitgewisseld worden, dan strikt noodzakelijk.

Informatiebeveiliging. Persoonsgegevens die worden geregistreerd mogen niet toegankelijk zijn voor derden. De digitale uitwisseling van gegevens vindt plaats via een beveiligde internetverbinding. Uitwisseling via de e-mail is vaak niet beveiligd.

Transparantie. Voor de betrokkenen is duidelijk welke persoonsgegevens worden verwerkt en met wel doel. Ouders en leerlingen moeten weten welke gegevens door de school verwerkt worden en hoe de school de privacy beschermt. De school is ook verantwoordelijk voor de gegevensverwerking bij de leverancier die namens de school gegevens verwerkt.

Wat moet je als school geregeld hebben?

  1. Zorg voor toestemming voor de verwerking van persoonsgegevens waarvoor geen doelbinding bestaat. Bijvoorbeeld het gebruiken van leerlingenfoto’s op de website van de school, of het doorgeven van e-mailadressen van ouders aan leveranciers.
  2. Sluit een bewerkersovereenkomst met leveranciers die namens de school persoonsgegevens verwerken. Als school ben je een verantwoordelijk voor verwerking van persoonsgegevens. Maak daarom goede afspraken met leveranciers. Kijk voor een model bewerkersovereenkomst op www.privacyconvenant.nl.
  3. Zorg voor een toegangsbeleid waarin is vastgelegd welke personen of rollen bepaalde type gegevens binnen de school mogen verwerken. Maak hierover afspraken en zorg dat iemand verantwoordelijk is voor het verlenen van de juiste rechten en de periodieke controle hierop.
  4. Stel een privacyreglement op dat ook aan ouders en andere betrokkenen beschikbaar gesteld wordt. Hierin wordt duidelijk omschreven welke gegevens van de leerlingen worden verwerkt en de manieren waarop de school deze gegevens beschermt. In het reglement wordt ook omschreven hoe de school omgaat met het gebruik van sociale media en het gebruik van foto’s op de schoolwebsite.
  5. Stel een gedragscode op voor medewerkers waarin aangegeven wordt hoe ze om dienen te gaan met bijvoorbeeld de verwerking van persoonsgegevens en publicatie van foto’s. De gedragscode is vooral een middel om de bewustwording onder het personeel te vergroten op het gebied van het verwerken van persoonsgegevens, maar ook de omgang met e-mail en sociale media.

 

Be the first to comment

Leave a Reply

Uw e-mailadres wordt niet gepubliceerd.


*