Privacy

Privacy is ook binnen het middelbaar beroepsonderwijs een belangrijk thema. Ondanks het bestaan van privacywetgeving sinds 2001, ontwikkelt bewustwording zich vooral de laatste tien jaar door digitalisering, privacy-incidenten en een actievere rol van de Autoriteit Persoonsgegevens. Met de invoering van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 is privacybescherming voor scholen een essentieel aandachtspunt geworden.

Dagelijks verwerkt een mbo-school van vele studenten en medewerkers gegevens die herleidbaar zijn tot een specifieke persoon. Op de mbo-school rust als verantwoordelijke de verplichting zorgvuldig om te gaan met deze persoonsgegevens en daar ook transparant over te zijn naar de betrokkenen.

Algemene Verordening Persoonsgegevens

De AVG is in 2018 in alle EU-lidstaten ingevoerd en is in 2021 aangescherpt. Voor mbo-scholen betekent dit dat ze hun privacy goed moeten regelen en aantoonbaar moeten maken. Simpelweg een privacybeleid of -reglement hebben is niet genoeg. De school moet bewijzen dat het beleid wordt gevolgd, geëvalueerd en aangepast indien nodig. De AVG versterkt ook de rechten van betrokkenen en de bevoegdheden van toezichthoudende autoriteiten. Het bepaalt regels voor het omgaan met persoonsgegevens, inclusief verzamelen, gebruiken, bewaren en vernietigen. Belangrijkste punten:

  1. Gegevens worden verwerkt voor een vastgesteld doel en enkel wanneer nodig voor dat doel.
  2. Verwerking gebeurt op basis van AVG-grondslagen (bijv. toestemming student of voor onderwijsovereenkomst).
  3. Zorg voor gepaste beveiliging van persoonsgegevens.

Privacy raakt informatiebeveiliging. Als gegevensverwerking wordt uitbesteed, zoals in een leerlingvolgsysteem, moet een verwerkersovereenkomst worden opgesteld om afspraken te maken over gegevensverwerking en beveiliging.

Handvatten voor delen van persoonsgegevens

Samen met Ingrado en Jeugdzorg Nederland heeft de MBO Raad in september 2020 een document opgesteld over het delen van persoonsgegevens. Wat mag wel en wat mag niet en hoe kom je tot een goede afweging om wel of geen persoonsgegevens te delen met een professional van een andere organisatie? Er mag meer dan jij of anderen misschien denken!

In het uitgebreide servicedocument staan de uitgangspunten voor het delen van persoonsgegevens, een stappenplan en een groot aantal praktijkvoorbeelden.

Daarnaast is er een handzame korte versie met het stappenplan informatiedelen. Het servicedocument is inmiddels uitgebreid. In deze uitbreiding staat het delen van gegevens met afdelingen Participatie, Werk en Inkomen en met werkgevers centraal.

Wet meldplicht datalekken

Sinds 1 januari 2016 is de Wet meldplicht datalekken van kracht. Mbo-scholen moeten datalekken (beveiligingsinbreuken met persoonsgegevens) melden aan de Autoriteit Persoonsgegevens, als dit ernstig negatieve gevolgen heeft of een aanzienlijke kans daarop. Als het datalek ook de privacy van betrokkenen schendt, moet de school hen ook informeren. Niet melden kan tot boetes leiden. De boetebevoegdheid van de Autoriteit Persoonsgegevens is met de wet versterkt.