Onderwijs en voldoen aan de AVG (compliance en governance)

Met de komst van de Algemene verordening gegevensbescherming (AVG) moeten onderwijsorganisaties strenge maatregelen en de verantwoordelijkheid nemen om de persoonsgegevens van de leerlingen/studenten èn medewerkers goed te beschermen. Onder de AVG moet goed worden nagedacht over de systemen waarmee de organisatie werkt (privacy by design) en hoe deze is ingericht (privacy by default). Tevens moeten altijd zo min mogelijk persoonsgegevens worden opgeslagen en gebruikt (dataminimalisatie) en moet de organisatie een functionaris gegevensbescherming (FG) aanstellen. Wij helpen met het implementeren van een gedegen en praktisch beleid met betrekking tot alle aspecten van gegevensverwerking en opslag. Onder de AVG zullen dienen in dit beleid een aantal verplichte zaken geregeld te worden, onder meer het beheren van verschillende registers en het houden van zogenaamde gegevensbescherming effectbeoordelingen (GEB).

 Wij helpen uw functionaris gegevensbescherming (meestal als rol vanuit het taakbeleid binnen uw organisatie aangesteld) versneld op weg.

 Wij adviseren u over alle technische, procesmatige èn organisatorische aanpassingen die moeten worden gedaan om aan de AVG te voldoen.

Awareness medewerkers, techniek- en informatiebeveiliging

‘Het grootste datalek zit tussen de stoel en het toetsenbord’. Awareness bij de medewerkers over de gevaren en risico’s met betrekking tot privacy is noodzakelijk als een onderwijsorganisatie ècht werk wil maken van het beschermen van persoonsgegevens van leerlingen en medewerkers. Wij helpen met informatieve (en leuke) trainingen om de awareness bij de medewerkers te vergroten. Tevens geven wij advies en helpen met de implementatie en acceptatie van de noodzakelijke technische aanpassingen van uw omgeving om datalekken en hack-pogingen te voorkomen. In juni 2016 heeft de onderwijssector een privacy convenant opgesteld. In het convenant is afgesproken dat leveranciers van (digitale) leermiddelen en toetsen uitsluitend gebruik zullen gaan maken van niet-herleidbare unieke codes in plaats van het persoonsgebonden nummer of de naam van de leerling uit de onderwijsadministratie (pseudonimisering). Vanaf 2018 zullen de leveranciers hun aangepaste software gaan uitleveren. Om op deze techniek aan te kunnen sluiten moet ook aan de kant van de onderwijsorganisatie de juiste technische- en organisatorische maatregelen worden genomen.

 Wij adviseren hoe deze noodzakelijke stappen efficiënt en doelmatig genomen kunnen worden zodat de werkdruk binnen de onderwijsorganisatie hier niet onnodig door wordt vergroot.

Transparantie, verantwoordingsplicht en toestemming

Nieuw onder de AVG is ook de verantwoordingsplicht. De verantwoordingsplicht houdt onder meer in dat u aan moet kunnen tonen welke technische en organisatorische maatregelen u heeft genomen om de persoonsgegevens van uw leerlingen en medewerkers te beschermen. Ook moet een onderwijsorganisatie goed kunnen onderbouwen welke persoonsgegevens worden verwerkt. Dit moet in zogenaamde registers, waarin u exact bijhoudt welke gegevens over leerlingen en medewerkers zowel intern als extern worden gedeeld, op basis van welke grondslag en met welk doel. Denk bijvoorbeeld ook aan de (maximale) bewaartermijnen en het recht van burgers onder de AVG om hun gegevens in te zien, over te dragen of zelfs te laten verwijderen. In een aantal gevallen heeft u nog meer dan vroeger nadrukkelijk toestemming nodig van leerlingen of hun ouders om persoonsgegevens te verwerken.

 Wij adviseren en helpen u om deze processen en procedures voor uw organisatie te stroomlijnen en optimaal en efficiënt te laten werken.