Algemene Verordening Gegevensbescherming: ‘Wat betekent dat voor uw onderwijsinstelling’?

In het digitale tijdperk zijn gegevens over organisaties, burgers en overheid voor iedereen beschikbaar. Dit geldt ook voor gegevens van uw onderwijsinstelling en uzelf. Dit gebeurt via websites, social media als ook grote databasesystemen. Al jaren bestaat er een discussie over de wijze hoe er moet worden omgegaan met de verwerking van persoonsgegevens in het kader van de privacy.  Waar op dit moment alle lidstaten binnen de Europese Unie nationale privacywet- en regelgeving hebben, is straks de Algemene Verordening Gegevensbescherming[1] (hierna: AVG) van toepassing als vervanger van onze Wet Bescherming Persoonsgegevens. Wat betekent dat voor uw onderwijsinstelling.

Invoering
Vanaf 24 mei 2016 is de AVG in werking getreden en zal na een periode van twee (2) jaar op 25 mei 2018 van toepassing zijn binnen de hele Europese Unie. Aangezien de AVG een verordening betreft en geen richtlijn is deze op 25 mei 2018 integraal van toepassing zonder separate implementatie in nationale wetgeving (behoudens specifieke uitzonderingen die op nationaal niveau door de lidstaten kunnen worden geformuleerd).

Doelstellingen van de AVG
Door invoering van deze verordening beoogt men de volgende doelstellingen te realiseren:

  • Europa brede regels en voorschriften voor privacy;
  • Actualisering, versterking en uitbreiding privacyrechten;
  • Uniforme bevoegdheden toezichthouders;
  • Meer verantwoordelijkheden voor organisaties.

Wat betekent dit voor uw organisatie?
De AVG is van toepassing op alle organisaties die persoonsgegevens verwerken. Uw onderwijsinstelling verwerkt op verschillende manieren persoonsgegevens van medewerkers, leerlingen, enzovoort. Wat zijn de grootste veranderingen ten opzichte van de oude privacywet- en regelgeving:

  • Aanstellen functionaris gegevensbescherming (FG):
  • Verantwoordingsplicht;
  • Hogere boetes bij overtreding;
  • Meldplicht datalekken en hacken op Europees niveau;
  • Meldingsplicht verwerking persoonsgegevens geen vereiste meer, tenzij uw organisatie:
  • Op grote schaal bijzonder gevoelige persoonsgegevens, zoals levensovertuiging, strafrechtelijk gegevens, worden verwerkt;
  • Persoonsgegevens systematisch worden verwerkt;
  • Vermoedt dat verwerking van de persoonsgegevens een grote invloed heeft op de betrokkenen, bijvoorbeeld medische gegevens.

Tips en aanbevelingen
Onderstaand een aantal tips en aanbevelingen:

  • Raadpleeg voor actuele informatie dossier AVG op www.autoriteitpersoonsgegevens.nl;
  • Lees de artikelen in de verordening;
  • Raadpleeg subonderwerp[2] ‘Scholen & de AVG’;
  • Doe een zorgvuldige analyse om de impact van de AVG op uw organisatie te meten;
  • Zorg dat uw onderwijsinstelling ruim voor 25 mei 2018 klaar bent is met alle voorbereidingen;
  • Zoek naar samenwerkingen.

Wat te doen bij inkoop en aanbestedingen?
Bij inkoop en aanbesteden is het van belang dat u waar nodig aandacht besteedt aan de verwerking van persoonsgegevens.
Onderstaand een aantal tips en aanbevelingen:

  • Neem een standaardbepaling op in de algemene inkoopvoorwaarden of aanbestedingstemplates van uw onderwijsorganisatie;
  • Maak gebruik van een standaard verwerkingsovereenkomst en verklaar deze onverkort van toepassing in geval persoonsgegevens worden verwerkt binnen de overheidsopdracht;

[1] General Data Protection Regulation (GDPR).
[2] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/scholen-de-avg

Recente Publicaties
Bekijk alle Publicaties