Home > Nieuws

Informatiebeveiliging en Privacy

16 November 2023

De bescherming van gevoelige informatie en het waarborgen van privacy is cruciaal. Met de toenemende hoeveelheid data die scholen verzamelen en verwerken, groeit ook het belang van een goed IBP-beleid. Daarom duiken we in deze blog dieper in de AVG regels rondom beveiliging en privacy bij scholen.

Wat is AVG?

AVG staat voor de Algemene Verordening Gegevensbescherming, ook bekend onder de Engelse naam General Data Protection Regulation (GDPR). Vanaf 25 mei 2018 is deze regelgeving van toepassing in alle lidstaten van de Europese Unie. De regelgeving heeft als doel de gegevens van individuen beter te beschermen en organisaties meer verantwoordelijkheid te geven in hoe zij hiermee omgaan. Scholen verwerken dagelijks een grote hoeveelheid persoonsgegevens van leerlingen, ouders en personeel. Om zorgvuldig om te gaan met die informatie, moeten zij de normen strikt naleven.

Belangrijkste regels

De AVG stelt dat veranderingen niet zomaar mogen plaatsvinden; ze moeten voldoen aan strikte voorwaarden om de privacy van alle betrokkenen te beschermen. De meest belangrijke richtlijnen waar organisaties zich aan moeten houden staan hieronder opgesteld:

Toestemming: Voor veel vormen van gegevensverwerking is er toestemming nodig van betrokkenen. Deze toestemming moet specifiek en geïnformeerd zijn. Ook hebben betrokkenen het recht om hun toestemming op elk moment in te trekken.

Beveiliging van gegevens: Organisaties moeten maatregelen nemen om persoonsgegevens te beveiligen tegen verlies of lekken van persoonsgegevens. Dit kan bijvoorbeeld encryptie, regelmatige veiligheidsaudits en een sterke wachtwoordbeleid omvatten.

Data Protection Impact Assessment (DPIA): Wanneer een verwerking waarschijnlijk een hoog risico heeft voor de rechten en vrijheden van klanten. Moeten organisaties vooraf een beoordeling uitvoeren over de impact van de verwerkingsactiviteiten op de bescherming van persoonsgegevens.

Verwerkingsregister: Organisaties moeten een register bijhouden van de verwerkingen die onder hun verantwoordelijkheid plaatsvinden. Dit is vooral van belang voor organisaties die vanwege hun kernactiviteiten regelmatig op grote schaal gegevens ontvangen.

Rechten van betrokkenen: Organisaties moeten de rechten van betrokkenen respecteren. Daaronder worden onder andere het recht op toegang, correctie en verwijdering van hun gegevens bedoeld.

Wat als je niet voldoet?

Een van de meest in het oog springende gevolgen zijn de substantiële boetes. Deze kunnen oplopen tot maar liefst 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet van een organisatie -afhankelijk van welk bedrag hoger is. Deze boetes worden opgelegd om organisaties aan te moedigen de privacy van individuen serieus te nemen en om een afschrikkend effect te hebben op potentiële overtreders.

Maar de financiële impact is slechts één aspect. Niet voldoen aan de AVG kan ook leiden tot reputatieschade. In een tijdperk waarin mensen steeds meer waarde hechten aan privacy en gegevensbescherming, kan een schending van de AVG het vertrouwen ernstig ondermijnen.

Bovendien kunnen er juridische gevolgen zijn, zoals rechtszaken van individuen wiens gegevens zijn geschonden. Deze rechtszaken kunnen resulteren in aanvullende boetes en compensatie-eisen.

Daarnaast kan het niet voldoen aan de AVG operationele gevolgen hebben. Autoriteiten kunnen eisen dat bepaalde verwerkingsactiviteiten worden gestopt totdat volledige compliance is bereikt.

Wat moet je als school regelen?

Om jullie AVG goed te regelen kan je rekening houden met deze zaken:

  1. AVG-Training voor Personeel: Zorg ervoor dat al het personeel, inclusief leerkrachten en administratief medewerkers, getraind zijn in de basisprincipes van de AVG.
  2. Benoeming van een Functionaris Gegevensbescherming (FG): Stel een ‘FG’ aan. Deze functionaris kan toezicht houden op de naleving van de AVG binnen de school.
  3. DPIA Uitvoeren: Voer regelmatig een Data Protection Impact Assessment (DPIA) uit. Vooral als je nieuwe technologieën of verwerkingsactiviteiten invoert, die risico’s kunnen opleveren voor de persoonsgegevens.
  4. Ouders en Leerlingen Informeren: Informeer ouders en leerlingen over de verwerking van hun gegevens. Dit omvat informatie over het doel van de gegevensverwerking, de bewaartermijn, en hun rechten onder de AVG.
  5. Toestemmingsbeheer: Implementeer een systeem voor het verkrijgen en beheren van toestemming, vooral voor activiteiten zoals het maken van foto’s of het publiceren van werk van leerlingen.
  6. Beveiligingsmaatregelen Versterken: Implementeer sterke beveiligingsmaatregelen om persoonsgegevens te beschermen tegen ongeautoriseerde toegang, verlies of beschadiging. Dit kan encryptie, firewalls, en regelmatige beveiligingsaudits omvatten.
  7. Verwerkingsregister Bijhouden: Houd een register bij van alle verwerkingsactiviteiten, inclusief details zoals de aard van de gegevens, doel van verwerking, en met wie de gegevens worden gedeeld.
  8. Rechten van Betrokkenen Respecteren: Zorg voor procedures om te voldoen aan de rechten van betrokkenen, zoals het recht op toegang, correctie, verwijdering en bezwaar tegen verwerking.
  9. Meldplicht Datalekken: Zorg voor een protocol voor het melden van datalekken, conform de AVG-richtlijnen. Medewerkers moeten weten hoe ze een datalek moeten herkennen en melden.
  10. Regelmatige Evaluatie en Bijwerking: Voer regelmatig evaluaties uit om te verzekeren dat de school nog steeds voldoet aan de AVG en werk procedures bij indien nodig.
  11. Gebruik van Externe Audits en Compliance Tools: Overweeg externe audits en gespecialiseerde compliance tools te gebruiken om een onafhankelijke beoordeling van de AVG-compliance te krijgen.
Meer weten over Informatie, beveiliging en privacy?
Kijk eens naar onze IBP scan