Race tegen de klok om op tijd AVG-proof te zijn

Laatste update 04 juli 2022

De nieuwe privacywet heeft de nodige gevolgen voor organisaties die persoonsgegevens verwerken. Wat moet er op scholen gebeuren, zodat zij in mei helemaal klaar zijn voor de Algemene Verordening Gegevensbescherming (AVG).

“Iedereen moet zich goed realiseren: er is geen overgangstermijn voor de AVG. Op 25 mei moet je er gewoon aan voldoen en alle zaken op orde hebben.” Voor scholen die nog geen aandacht hebben besteed aan de AVG, zal deze boodschap van Alexander Singewald van Singewald Consultants Group wellicht wat alarmerend overkomen. Als adviseur helpt Singewald tal van organisaties met het op orde brengen van de genoemde zaken. De AVG heeft gevolgen op juridisch, organisatorisch en technisch niveau. Om onder meer onderwijsorganisaties wegwijs te maken in vraagstukken zoals de AVG, heeft Singewald de website privacy.nl ingericht. Hierop is onder meer een vijftienstappenplan te vinden naar de AVG.

Einde van het smoelenboek?

“Verzamel niet meer persoonsgegevens dan nodig en wees duidelijk over waarom je data verzamelt en wat je ermee doet”, zo vat Gerrit-Jan Zwenne, hoogleraar Recht en de Informatiemaatschappij aan de Universiteit Leiden, de AVG samen. Een extra advies daarbij luidt: pas op met bijzondere gegevens. Dit zijn persoonsgegevens zoals levensovertuiging, politieke voorkeur, etniciteit, strafbare gegevens, maar ook gezondheid en het BSN-nummer. Hiervoor geldt dat organisaties deze alleen bij hoge uitzondering mogen verwerken. Vaak gaat het dan om overheidsorganisaties. Overigens is ook een paspoort een etniciteitsgegeven, dus dat is opletten voor bijvoorbeeld scholen die een ‘smoelenboek’ bijhouden met foto’s van docenten. Een werkgever moet toestemming vragen aan een werknemer, maar dat kan niet gemakkelijk in een arbeidsrelatie, omdat daar sprake is van een gezagsverhouding. Het enige advies van Zwenne hier is dat, mocht je een smoelenboek hebben als organisatie, laat werknemers dan in ieder geval hun eigen foto uploaden. “En maak er vooral geen punt van als zij dit niet doen.”

Voor de duidelijkheid: de ‘smoelenboek-discussie’ die in veel organisaties ontstaat als gevolg van de komst van de AVG, is maar een klein aspect van de nieuwe regelgeving. “Het is een samenspel van technische en organisatorische maatregelen”, zegt Singewald. “De privacyverklaring moet op orde zijn, evenals alle andere formulieren. Iedere keer wanneer je informatie verzamelt, zal duidelijk moeten zijn waarvoor je deze data verzamelt en wat er met deze data gebeurt.” Technische maatregelen hebben vooral betrekking op het goed beveiligen van informatie en het hebben van een goede audit trail voor latere bewijsvoering tegenover de AP. Organisatorisch wordt het ingewikkelder. Zaken als bewaartermijnen van data en het bijhouden van rechten vragen om speciale aandacht. Een term die Singewald laat vallen is de ‘CRUD-matrix’ (Create, Remove, Update, Delete). “Dit heeft impact op de schooladministratie als organisatie. Onderwijsorganisaties moeten nadenken over wie toegang krijgt tot welke data en wat daarmee mag gebeuren.”

Is iedereen op tijd klaar?

Een punt dat ook scholen zeker niet over het hoofd moeten zien, is dat de kans groot is dat zij zelf een functionaris moeten aanwijzen die optreedt als er zaken gebeuren die in strijd zijn met de AVG. Deze data protection officer is het aanspreekpunt voor de AP, maar ook voor scholieren en hun ouders. De data protection officer legt de processen met persoonsgegevens vast en geniet dezelfde (ontslag)bescherming als de voorzitter van de ondernemingsraad, anders kan de data protection officer niet onafhankelijk functioneren. “In het onderwijs heb ik tot op dit moment nog geen data protection officer ontmoet”, zegt Singewald. Denkt hij dat elke school in Nederland op 25 mei AVG-proof is? “Niet alles zal op tijd geregeld zijn, overal kan een kink in de kabel ontstaan. Bijvoorbeeld bij een softwareleverancier. Zorg dan in ieder geval voor dossiervorming, zodat je kunt laten zien wat je doet. Want daar gaat het om: databescherming, maar ook transparant zijn en je accountability op orde hebben.”

Zelf aan de slag met de AVG?

Tijdens de speciaal voor het onderwijs ontwikkelde workshop Privacy goed geregeld krijgt u de handvatten aangereikt om zelf snel stappen te zetten.