Op 25 mei 2018 gaat in heel Europa de nieuwe privacywet in: de AVG (Algemene verordening gegevensbescherming). Daarover is al veel geschreven. Onder de nieuwe wet moeten persoonsgegevens beter worden beschermd. Bij overtreding kunnen toezichthouders forse geldboetes opleggen, al zal de eerste maanden vooral worden ingezet op voorlichting en bijsturing. Want nog lang niet iedereen is er klaar voor. Bij OHM is Dolf Dubois belast met het ondersteunen van de schoolbesturen bij de implementatie van de AVG. Inmiddels is een aantal scholen bezig met de inventarisatiefase en met de eerste onderdelen van het plan van aanpak.
Anders omgaan met persoonsgegevens
De nieuwe Privacywet regelt de manier waarop organisaties omgaan met persoonsgegevens. Iedere organisatie die persoonsgegevens registreert moet in kaart brengen (1) wat zij precies doen, (2) waarom zij dat doen en (3) waarom dit noodzakelijk is. En anders dan wat men vaak denkt, beperkt deze nieuwe wetgeving zich niet tot de ICT; het gaat om de werkwijzen en de zorgvuldigheid binnen de totale organisatie.
Nieuw: verwerkings- en datalekregister en PIA
De AVG zegt: documenteer wat u doet en leg daarover verantwoording af. Met de invoering van de AVG zijn organisaties daarom verplicht verwerkingsregisters en datalekregisters bij te houden. Deze registers maken deel uit van die verantwoordingsplicht. In het verwerkingsregister moet het gebruik van persoonsgegevens zijn uitgewerkt (welke gegevens worden bewaard, waarom, hoe lang, hoe veilig). Het datalekregister moet inzicht bieden in dingen die misgingen en hoe dat verbeterd gaat worden. Nieuw is verder de ´privacy impact assessment´ (PIA): een risicoanalyse van potentieel gevaarlijke verwerkingen, inclusief stappenplan om de risico’s te minimaliseren.
Functionaris Gegevensbescherming (FG)
Organisaties zijn verplicht om een functionaris voor de gegevensbescherming te benoemen: iemand binnen de organisatie die toezicht houdt op de naleving van de AVG. Voor kleinere organisaties kan dat een deeltijdfunctie zijn. Ook kunnen scholen besluiten om de FG extern op uurbasis in te huren, bijvoorbeeld bij OHM.
OHM helpt
De afgelopen periode heeft OHM met de schoolleiding van diverse VO- en PO-scholen een overeenkomst afgesloten om te ondersteunen bij de implementatie van de AVG binnen hun organisatie. Denk daarbij aan
• | het uitvoeren van een risicoanalyse, |
• | het opstellen van een Plan van Aanpak, |
• | het ondersteunen rondom de uitvoering van dat Plan van Aanpak en |
• | de inzet van een Functionaris Gegevensbescherming (FG). |
OHM zal samen met aangesloten schoolleidingen blijven werken aan een organisatie waar persoonsgegevens in vertrouwde handen zijn.
Meer informatie
Voor meer informatie over de implementatie van de AVG op scholen:
Dolf Dubois, 06-14729330 of
dolfdubois@ohm.nl
Nieuwe verwerkingsovereenkomst
Aangezien OHM de persoonsgegevens van de medewerkers van de scholen verwerkt, moeten schoolbesturen onder de AVG ook een nieuwe verwerkersovereenkomst met OHM afsluiten.
Volgende week krijgen alle klanten van OHM de nieuwe verwerkersovereenkomst toegestuurd. De nieuwe overeenkomst is gebaseerd op het model dat door de PO-raad en VO-raad is opgesteld. Op dit moment wordt de laatste hand gelegd aan de bijlage, waarin wordt opgesomd welke data door OHM worden bijgehouden en verwerkt.