Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming van toepassing. Uiteraard zal de AVG ook gelden voor scholen, nu deze gegevens van leerlingen verwerken. Dat betekent dat scholen rekening zullen moeten houden met de beginselen van de AVG.
Beginselen inzake verwerking van persoonsgegevens
Volgens de AVG moeten persoonsgegevens:
- worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”);
- voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);
- toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);
- juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren („juistheid”);
- worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is; persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt, mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen („opslagbeperking”);
- door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging („integriteit en vertrouwelijkheid”).
Digitalisering op scholen
Steeds vaker maken scholen gebruik van digitale systemen, bijvoorbeeld bij digitale examineringen, leerlingvolgsystemen en educatieve apps. Als school bent u verantwoordelijk om conform bovenstaande beginselen om te gaan met de gegevens van de leerlingen. Scholen moeten aangeven, wat het doel van deze verwerking is en wat de rechtmatige grondslag is daarvoor. Daarnaast moeten scholen kunnen aantonen, welke passende technische en organisatorische maatregelen er zijn getroffen om de gegevens van leerlingen te beschermen. Indien de school gebruik maakt van een externe IT-aanbieder, dienen er duidelijke afspraken met deze verwerker te worden gemaakt over de verwerking en beveiliging van de gegevens van de leerlingen.
Toestemming
Een van de rechtmatige grondslagen voor verwerking van persoonsgegevens is toestemming. In bepaalde situaties moeten leerlingen of ouders toestemming verlenen voor de verwerking van bepaalde gegevens van leerlingen. Dit is bijvoorbeeld relevant wanneer scholen beeldmateriaal van leerlingen willen verwerken.
Eisen aan toestemming
Als we kijken naar de toestemming van betrokkene, moet er voldaan zijn aan de volgende vereisten:
- De toestemming moet worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring.
- Uit de verklaring blijkt dat de betrokkene:
- vrijelijk (freely given);
- specifiek;
- geïnformeerd en;
- ondubbelzinnig met de verwerking van de persoonsgegevens instemt.
De verordening noemt een aantal voorbeelden van een dergelijke verklaring:
- het klikken op een vakje bij een bezoek aan een website;
- het selecteren van technische instellingen voor diensten van de informatiemaatschappij.
Het gebruik van reeds vooraf aangekruiste aanvinkvakjes bij een verzoek om toestemming mag bijvoorbeeld niet als een dergelijke verklaring worden opgevat.
Eisen aan toestemming van kinderen
Indien toestemming is verkregen van een kind met betrekking tot aanbod van diensten van de informatiemaatschappij (zoals educatieve apps), is de verwerking van de persoonsgegevens van een kind rechtmatig als het kind ten minste 16 jaar is. Indien het kind jonger is, dan 16 jaar is de verwerking alleen rechtmatig, indien en voor zover de toestemming of machtiging tot toestemming in dit verband wordt verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt. De school moet in dergelijke gevallen kunnen aantonen of de persoon, die de ouderlijke verantwoordelijkheid heeft inderdaad toestemming heeft verleend.
Bent u verbonden aan een school, als bijvoorbeeld directeur of leraar, en wilt u meer weten over dit onderwerp, neem dan contact met ons op.