Home - Themas - Privacy

Privacy

Laatst gewijzigd: 23-11-2021

Privacy is ook voor het middelbaar beroepsonderwijs een belangrijk thema. Hoewel de privacywetgeving al sinds 2001 bestaat, is er door allerlei ontwikkelingen (digitalisering, privacy-incidenten en een actievere rol van de Autoriteit Persoonsgegevens) een bewustwording op gang gekomen ten aanzien van de noodzaak tot het beschermen van de privacy van studenten en medewerkers. Met de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 is het belang van privacy voor scholen alleen maar groter geworden.

Dagelijks verwerkt een mbo-school van vele studenten en medewerkers gegevens die herleidbaar zijn tot een specifieke persoon. Op de mbo-school rust als verantwoordelijke de verplichting zorgvuldig om te gaan met deze persoonsgegevens en daar ook transparant over te zijn naar de betrokkenen.

Privacy - Afbeelding van G4ll4Is, Flickr.com, CC-licentie
Privacy - Afbeelding van G4ll4Is, Flickr.com, CC-licentie

Algemene Verordening Persoonsgegevens

De AVG werkt rechtstreeks door in alle EU-lidstaten en wordt naar verwachting in 2018 in Nederland ingevoerd. Voor mbo-scholen betekent dit dat zij hun privacy aantoonbaar op orde moeten hebben. Dus het enkele feit dat de mbo-school privacybeleid of een -reglement heeft is niet voldoende. De mbo-school moet ook kunnen aantonen dat dit beleid wordt nageleefd, geëvalueerd en bijgesteld waar nodig. Verder scherpt de AVG de rechten van betrokkenen aan, net als de (boete)bevoegdheden van de toezichthoudende autoriteiten. De AVG bepaalt de spelregels waaraan de mbo-school zich moet houden bij de verwerking van persoonsgegevens. Verwerken is een verzamelbegrip voor alle handelingen die met persoonsgegevens plaats kunnen vinden: van verzamelen, gebruiken, bewaren tot vernietigen.  

De belangrijkste uitgangspunten waarmee de mbo-school in haar bedrijfsvoering rekening mee moet houden:

1. Het verwerken van persoonsgegevens gebeurt op basis van een vooraf bepaald doel en alleen voor zover noodzakelijk voor de realisatie van dat doel.

2. De verwerking kent één van de grondslagen zoals opgesomd in de AVG (bijvoorbeeld: toestemming van de student of ter uitvoering van de onderwijsovereenkomst).

3. De mbo-school moet zorg dragen voor een adequate beveiliging van de persoonsgegevens.

Bij dit laatste punt raakt het thema privacy duidelijk aan het thema informatiebeveiliging. Besteedt een mbo-school de verwerking van persoonsgegevens uit, bijvoorbeeld doordat studentgegevens in een administratie- of leerlingvolgsysteem staan? In dat geval rust op de mbo-school ook de verplichting om via een zogenoemde verwerkersovereenkomst juridische afspraken te maken met degene die de verwerking doet. Op deze wijze wordt vastgelegd wat de verwerker van de mbo-school wel en niet mag met de persoonsgegevens en kan de mbo-school verlangen dat de verwerker dezelfde beveiliging van de gegevens garandeert.

Handvatten voor het delen van persoonsgegevens met andere professionals

Samen met Ingrado en Jeugdzorg Nederland heeft de MBO Raad in september 2020 een document opgesteld over het delen van persoonsgegevens. Wat mag wel en wat mag niet en hoe kom je tot een goede afweging om wel of geen persoonsgegevens te delen met een professional van een andere organisatie? Er mag meer dan jij of anderen misschien denken!

In het uitgebreide servicedocument staan de uitgangspunten voor het delen van persoonsgegevens, een stappenplan en een groot aantal praktijkvoorbeelden.

Daarnaast is er een handzame korte versie met het stappenplan informatiedelen. Het servicedocument is inmiddels uitgebreid. In deze uitbreiding staat het delen van gegevens met afdelingen Participatie, Werk en Inkomen en met werkgevers centraal.

Wet meldplicht datalekken

Sinds 1 januari 2016 is de Wet meldplicht datalekken ingevoerd. Dit betekent dat mbo-scholen een datalek (een inbreuk op de beveiliging van persoonsgegevens) moeten melden aan de Autoriteit Persoonsgegevens, indien dit leidt tot ernstig nadelige gevolgen voor de bescherming van persoonsgegevens of er een aanzienlijke kans bestaat dat dit gebeurt. Als een datalek ook ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene heeft, moet de mbo-school het datalek ook aan deze betrokkene melden. Niet melden kan worden bestraft met een boete.

Met de invoering van de meldplicht datalekken is ook de boetebevoegdheid van de autoriteit persoonsgegevens uitgebreid. Op het niet naleven van de verplichtingen uit de Wet bescherming persoonsgegevens staan sinds 1 januari 2016 aanzienlijke boetes. De Autoriteit Persoonsgegevens is bevoegd deze boetes uit te delen.

Afbeelding van Peter Vermeijs

Peter Vermeijs

Beleidsadviseur privacy
Naar themaoverzicht
Gerelateerde documenten: 
Relevante links
  • AutoriteitPersoonsgegevens.nl

    De Autoriteit Persoonsgegevens kan organisaties een boete opleggen als zij de AVG overtreden. Daarnaast moeten alle bedrijven en overheden die persoonsgegevens verwerken op grond van de AVG een ernstig datalek direct melden aan de Autoriteit Persoonsgegevens.

  • saMBO-ICT.nl

    Sambo-ict en Kennisnet hebben in een Taskforce Informatiebeveiliging en privacy (IBP) een aantal documenten hebben ontwikkeld ter ondersteuning van de mbo-scholen bij de implementatie van informatiebeveiliging en privacy. Het volledige framework en onderliggende modellen staat op de website van saMBO-ICT.

  • overheid.nl

    Bekijk hier de Wet bescherming persoonsgegevens.

  • kennisnet.nl

    Samen met saMBO-ICT heeft Kennisnet een magazine over privacy in het mbo ontwikkeld.

  • privacyconvenant.nl

    Uitgangspunten voor vervanging van bewerkersovereenkomsten.

  • privacyconvenant.nl/verwerkersovereenkomst

    De nieuwe modelverwerkersovereenkomst 3.0 komt in de plaats van eerdere modelverwerkersovereenkomsten. De uitgangspunten van deze modelverwerkersovereenkomst sluiten aan bij de bepalingen in het privacy-convenant, geven invulling aan verplichtingen op grond van de AVG.