17 mei 2018

Nieuwe privacywet: ‘Vrees het niet, maar wees er wel bewust van’

Mag ik straks nog foto’s maken van mijn leerlingen? Hoe stuur ik veilig e-mails? En als ik me niet aan de nieuwe regels houd, krijg ik dan een boete? Op 25 mei gaat de nieuwe Europese privacywet (AVG) officieel in. Veel schoolbesturen zijn al een tijdje bezig met nieuw beleid, maar bij leraren heerst nog aardig wat onrust en onkunde. Privacy-deskundige Job Vos van Kennisnet beantwoordt de vragen van Schooljournaal én van leraren rondom de nieuwe wet.

 

Zijn telefoon staat de laatste weken roodgloeiend, de vragen blijven binnenstromen bij Job Vos, jurist bij Kennisnet en expert op het gebied van privacy en informatiebeveiliging in het onderwijs. Vos adviseert de po-, vo- en mbo-sector en overlegt met de raden van de sectoren over de Algemene verordening gegevensbescherming (AVG), in de volksmond de nieuwe privacywet genoemd. Op 25 mei is hij officieel van kracht. Eigenlijk is deze Europese wet in 2016 al ingegaan, maar lidstaten kregen twee jaar de tijd om er aan te voldoen. Het is dan ook een flinke lijst met regels… maar veel hiervan stonden feitelijk al in de bestaande Wet bescherming persoonsgegevens (Wbp) uit 2000.

Nieuw in de AVG

Wat moesten scholen volgens de Wbp al aan bescherming doen?
‘Foto’s en video’s van leerlingen mochten al niet gepubliceerd worden tenzij er toestemming was van de ouders (of van de leerling zelf, vanaf zestien jaar). Er moesten al afspraken gemaakt worden met ketenpartners van de school rond gegevensverstrekking, bijvoorbeeld met leveranciers van digitale leermiddelen. En alle bestanden – hardcopy of digitaal – moesten al goed beveiligd zijn.’

Wat is er wel nieuw aan de AVG?
‘Schoolbesturen moeten nu ook kunnen áantonen dat ze de privacywet naleven, door privacyadministratie bij te houden. Denk aan een dataregister waarin afspraken staan over de verwerking van persoonsgegeven en wie daar toegang tot hoort te hebben. Ook zijn de boetes flink verhoogd die de toezichthouders voor privacy kunnen opleggen bij overtreding van de wet. En schoolbesturen zijn verplicht om een functionaris voor gegevensbescherming (FG) in te stellen, die binnen de scholengemeenschap expert en aanspreekpunt is op het gebied van privacy. Deze FG mag en kan gewoon een interne medewerker zijn, want de verwachting is dat hij of zij er zo’n drie tot vijf dagen per maand mee bezig is.’

Ledenvraag: Privacy is belangrijk, maar slaan we niet een beetje door met al die regels en boetes?
‘Sinds de digitalisering en de komst van het internet zijn we een spel gaan spelen waarvan we de spelregels eigenlijk nog niet kenden. Maar er komen steeds meer spelers bij en misbruik en cybercriminaliteit liggen op de loer. We moeten goed nadenken wat we doen met alle gegevens over leerlingen. Scholen moeten bewust zijn van de privacygevoelige informatie die zij bezitten. En bedenk daarbij: het recht op privacy is gewoon een fundamenteel mensenrecht.’

Veilig mailen

Maar wat kan er dan gebeuren als je minder precies omgaat met informatie?
‘Persoonlijke gegevens van mensen kunnen op de verkeerde plek komen. Een zorgdossier van een leerling bijvoorbeeld. En stel, je stuurt een nieuwsbrief naar ouders met al hun emailadressen zichtbaar in de adresbalk, en je komt er daarna erachter dat een van de ouders is gehackt. Dan heeft die hacker meteen alle mailadressen van die ouders in zijn bezit. De nieuwe wet en vooral het dataregister geeft goed inzicht in waar alle persoonsgegevens van leerlingen en hun ouders van jouw school staan. En je wordt dus geprikkeld om na te denken over het veilig delen van informatie.’

Ledenvraag: Hoe kun je wel veilig mailen?
‘Ik adviseer steeds vaker om niet te mailen, maar om te delen. Dat kan op veel scholen al vanuit de office omgeving. Dan stuur je een collega bijvoorbeeld een linkje naar een bestand, beschermd met een wachtwoord dat alleen die collega kent. En als die de informatie heeft gelezen, kun je het delen weer uitschakelen. Dat kost niet echt extra werk, maar is een grote verandering in bewustzijn.’

Ledenvraag: Moet je je papieren logboekmap ook steeds achter slot en grendel bewaren?
‘Dat ligt eraan. Je moet het niet op je bureau laten liggen als daarna de overblijfjuf in je klaslokaal moet zijn. En het is sowieso slim om je lokaal op slot te doen als je gaat lunchen bijvoorbeeld. Je portemonnee laat je toch ook niet op het puntje van je bureau liggen als je weggaat?’

Musicalfoto’s groep 8?

Ledenvraag: Hoe zit het met het gebruik van foto’s en video’s van leerlingen? Omdat ik nog bezig ben met mijn opleiding moet ik soms een les opnemen en meenemen naar de hogeschool of inleveren bij mijn begeleidster. Ik geef les op een mbo, maar hoe moet ik dit oppakken? Alle leerlingen laten aftekenen voordat ik ga filmen? Ik mis dan direct de opening van de les op film.’
‘Het is niet zo dat je voor iedere foto of elk filmpje dat je maakt steeds apart toestemming moet vragen. Het is voldoende om één keer per jaar een formulier te laten tekenen waarin voor elke uiting (schoolwebsite, facebook, intranet, folders etc.) toestemming wordt gevraagd om foto’s te plaatsen.’ Ik denk zelf dat het anders omgaan met foto’s van leerlingen ook te maken heeft met verwachtingsmanagement bij ouders: waarom zou je bijvoorbeeld als school 2400 foto’s van de vwo-Praagreis online willen zetten op de schoolsite als je ook met tien foto’s een goede impressie kunt geven van de reis?’

Kunnen ouders op elk moment hun toestemming ook weer intrekken?
‘Ja, dat kan. Dat betekent overigens niet meteen dat alle oude foto’s van die leerling die al online staan meteen verwijderd moeten worden. Dat zou weer een apart verzoek moeten zijn. Het recht op verwijdering, heet dat. Houd wel in de gaten dat voor foto’s in beschermde online omgevingen ook toestemming nodig is. Dus als je foto’s van de groep 8 musical achter een wachtwoord zet op de schoolwebsite en alleen ouders toegang geeft om ze te bekijken, dan geldt daar nog steeds dat kinderen zonder toestemming niet op die foto’s te zien mogen zijn.’

Ledenvraag: Als ik steeds in de gaten moet houden welke kinderen wel en welke niet op de foto mogen, kost dit enorm veel tijd. Wat moet ik daarmee?
‘Net als dat sommige kinderen allergisch zijn voor bepaalde dingen en de andere niet, wordt dit ook iets dat je bij moet gaan houden. Ik denk dat het een kwestie is van vooraf goed organiseren.’

Strenger met boetes

Ledenvraag: Als mijn school op 25 mei nog niet voldoet aan alle nieuwe regels, krijgen we dan meteen een boete?
‘Waarschijnlijk niet. Als je tenminste aan de Autoriteit Persoonsgegevens kunt laten zien dat je al goed op weg bent met je privacyadministratie. Maar als een bestuurder die hele nieuwe privacywet onzin en teveel werk vindt en wil wachten tot het weer overwaait… ja dan kun je pech hebben. Zeker als gegevens op straat komen en je dan niet kunt aantonen dat je je best hebt gedaan om het te voorkomen. Ik denk wel dat over een jaar strenger wordt omgegaan met boetes. Dan hebben we er wel genoeg tijd voor gehad.’

Maar het moet te doen zijn voor scholen?
‘Ik denk dat scholen grotendeels gaan voldoen aan de nieuwe privacywet op 25 mei. Maar wat wij steeds zeggen bij Kennisnet: ga je niet blindstaren op die datum. Sommige schoolbesturen roepen nu dat ze leraren twee weken voor de klas vandaan moeten halen om alles af te kunnen vinken voor de nieuwe wet. Dat is drastisch en onnodig. Want ja, je moet op 25 mei officieel aan de wet voldoen, maar het belangrijkste is dat scholen bewuster worden en aan de slag gaan met privacy.

Praktisch stappenplan

Hier vind je het praktische stappenplan ‘Aanpak IBP‘ (po en vo) en de ‘Aanpak IBP mbo‘ die  Kennisnet maakte om scholen te helpen aan de privacywet te voldoen.