Nieuwe privacywetgeving (AVG) voor scholen in Europa

05 februari 2018

Vanaf 25 mei gelden er nieuwe Europese privacyregels die ook voor scholen in het buitenland gelden wanneer zij gevestigd zijn binnen de EU. De regels in de wet (Algemene verordening gegevensbescherming) geven leerlingen en ouders meer controle over hun persoonsgegevens.

UPDATE: inmiddels is het advies over de nieuwe privacywetgeving beschikbaar voor NOB-scholen (na inloggen).


NOB is zich ervan bewust dat scholen zich hier op moeten voorbereiden en is bezig met een advies met richtlijnen. De richtlijnen die we opstellen zorgen ervoor dat naleving van de wet niet al te ingewikkeld wordt.   


Wat betekent de wetgeving voor onze school?
Uitgangspunt van de wet is 'dataminimalisatie': je mag niet meer gegevens vragen dan strikt noodzakelijk. Idee van de wet is dat na beëindiging van het gebruik van persoonsgegevens, burgers in de EU het recht hebben ‘te worden vergeten'. Voor een school in het buitenland die gevestigd is in de EU betekent de nieuwe wetgeving voor zover wij nu overzien in elk geval de volgende drie (en voor dagscholen vier) dingen;

  1. Dat ouders je als school straks makkelijker kunnen vragen om gegevens te verwijderen.

  2. Dat je sneller en vaker toestemming moet vragen voor het gebruik van leerlinggegevens, bijvoorbeeld bij het gebruik van foto's. Je mag niet meer uitgaan van die toestemming. Er is een duidelijke, actieve handeling van leerlingen en ouders nodig (bijvoorbeeld een handtekening). Ook moet je leerlingen en ouders duidelijk informeren over waar zij precies mee instemmen. Daarnaast moet je straks kunnen bewijzen dat je toestemming hebt gekregen. Begin op tijd met het vastleggen van toestemming! Want als je producten wilt gebruiken waar toestemming van ouders voor nodig is, kunnen leveranciers - bijvoorbeeld van digitale leermiddelen - straks óók vragen om bewijs van die toestemming. NOB werkt aan een format/model dat je als school kunt hanteren. Dat model moet uiteraard aan alle eisen voldoen, dus dat vergt nog wat tijd.

  3. Dat digitale diensten alleen gebruikt mogen worden door kinderen onder 16 jaar met expliciete toestemming. We gaan momenteel na tot hoever deze toestemmingplicht rijkt. Bij welke gegevens moet dit? Geldt dit voor bijvoorbeeld het gebruik van Nieuwsbegrip? Hier verwachten wij binnenkort antwoord op.

  4. Voor een deel van de scholen geldt wellicht de plicht een functionaris voor de gegevensbescherming aan te stellen (FG). Zo'n FG houdt intern toezicht op de verwerking van persoonsgegevens en heeft een wettelijk beschermde taak. Deze verplichting geldt voor organisaties 'die persoonsgegevens gebruiken van personen waarop "regelmatig en stelselmatig toezicht moet worden gehouden". Veel scholen in Nederland vallen onder deze verplichting, want zij leggen steeds meer leerlinggegevens vast; evenals bijzondere persoonsgegevens. Dan gaat het bijvoorbeeld om de gezondheid of andere kindkenmerken (dyslexie, gedragsproblemen). Dat geldt niet of in elk geval minder voor NTC-scholen in het buitenland. In hoeverre dit wel  geldt voor NTC-scholen gaan we op dit moment na. Zodra we een uniform antwoord hebben wordt dit met de scholen gedeeld.

In maart deelt NOB een advies voor de scholen in het buitenland over dit onderwerp. Let op: deze regelgeving geldt dus alleen voor scholen en instellingen die zijn gevestigd in de EU. 

Voor wie vast meer wil weten, Kennisnet geeft op hun site advies. Let wel, dit advies is gericht op dagscholen in Nederland. Bekijk ook de tool 'aanpak informatiebeveiliging en privacy'.