Deelproject 2.8 Verantwoord uitwisselen van persoonsgegevens

Verantwoord omgaan met persoonsgegevens is een kerntaak voor scholen. Scholen verwerken tal van gegevens van leerlingen, ouders en verzorgers, medewerkers en andere partijen. Deze mogen niet zonder meer worden gedeeld met externe partijen. Zeker niet als de gegevens worden uitgewisseld met partijen buiten de Europese Economische Ruimte (EER). Richt daarom je organisatie zo in dat altijd wordt getoetst óf, met wie en onder welke voorwaarden persoonsgegevens mogen worden gedeeld.

Resultaat van dit deelproject

  • Er is een procedure of beslisboom om te bepalen welke AVG-rol partijen hebben.
  • Het is per rolverdeling duidelijk welk soort (verwerkers)overeenkomst nodig is.
  • Er is een toetsingskader om het delen van persoonsgegevens met externe partijen – ook buiten de EER – te toetsen aan de AVG.
  • Bij doorgifte buiten de EER is er een actueel overzicht van landen en verwerkingen en wordt er een jaarlijkse toets gedaan volgens een vaste werkwijze.

Afspraken maken met de verwerker

Op school zal het vaak voorkomen dat je persoonsgegevens worden verstrekt aan een externe partij die deze gegevens verwerkt namens de school. Bijvoorbeeld aan een leverancier van een leerlingvolgsysteem als Magister of Somtoday? In die gevallen is deze externe partij de verwerker. Maar als school blijf je wel altijd verantwoordelijk en moet je duidelijke afspraken maken met de verwerker, onder andere via een verwerkersovereenkomst. Met de beslisboom roltoewijzing AVG kun je makkelijk zelf je rol bepalen bij een gegevensuitwisseling.

Wie doet wat

  • Het schoolbestuur stelt het proces voor het verantwoord uitwisselen van persoonsgegevens formeel vast en ziet erop toe dat het wordt nageleefd.
  • De IBP’er ondersteunt, adviseert en coördineert de uitvoering en werkt samen met de verantwoordelijke medewerker(s) voor administratie, inkoop en juridische zaken aan het veilig en verantwoord uitwisselen van persoonsgegevens.
  • De proceseigenaar bewaakt veilige en verantwoorde gegevensuitwisseling binnen de eigen processen.
  • De functionaris gegevensbescherming houdt toezicht op het verantwoord uitwisselen van persoonsgegevens.

Aan de slag

Met het volgen van onderstaande stappen zorg je dat je een proces inricht voor het
veilig en verantwoord uitwisselen van persoonsgegevens.

1 Stel een proces op voor het veilig uitwisselen van persoonsgegevens

Leg in een procesbeschrijving vast hoe je binnen jouw school veilig en verantwoord persoonsgegevens uitwisselt. Je kunt hiervoor het voorbeelddocument Proces uitwisselen van persoonsgegevens (docx) gebruiken.

2 Beoordeel gegevensuitwisselingen aan derden en leg dit vast

Voordat persoonsgegevens aan derden worden verstrekt, moet altijd worden beoordeeld of dit gerechtvaardigd is volgens de AVG. Zo voorkom je dat gegevens onnodig of onrechtmatig worden gedeeld. Deze beoordeling moet zorgvuldig worden vastgelegd. Je kunt hiervoor het formulier Verstrekken van persoonsgegevens aan een andere partij (docx) gebruiken.

3 Breng AVG-rollen in kaart, leg verantwoordelijkheden vast en sluit overeenkomsten af

Scholen zijn verantwoordelijk voor de verwerking van persoonsgegevens. Om die verantwoordelijkheid goed te borgen, moeten de AVG-rollen van alle betrokken partijen duidelijk zijn en worden vastgelegd in overeenkomsten conform de AVG. Dit zorgt voor grip op gegevensverwerking. Maak onderscheid tussen verwerkers, gezamenlijke en zelfstandige verwerkingsverantwoordelijken. Met de beslisboom roltoewijzing AVG (pdf) kun je bepalen welke AVG-rol alle betrokken partijen spelen en welke overeenkomst de school moet afsluiten. Beleg het beheer van de afspraken bij de juiste medewerkers in de organisatie.

4 Train medewerkers

Leg aan medewerkers uit waarop ze moeten letten bij de uitwisseling van persoonsgegevens. Zorg dat zij de AVG-rolverdeling herkennen, begrijpen en het belang ervan inzien. Zorg er ook voor dat medewerkers weten bij wie ze terechtkunnen met vragen over gegevensuitwisseling en betrek ze actief bij het naleven van deze processen om bewustwording en zorgvuldigheid te bevorderen.

5 Toets of doorgifte buiten de EER is toegestaan

Bij het delen van persoonsgegevens buiten de EER gelden strengere eisen. De AVG vereist dat het beschermingsniveau in het ontvangende land gelijkwaardig is aan dat binnen de EU, omdat anders persoonsgegevens en de privacyrechten van betrokkenen risico lopen. Daarom is het belangrijk vooraf systematisch te toetsen of het bestemmingsland voldoende bescherming biedt, een actueel overzicht bij te houden van de betreffende landen en verwerkingen, en minimaal jaarlijks een toetsing uit te voeren en vast te leggen. Daarnaast is het essentieel om internationale ontwikkelingen, zoals besluiten van de Europese Commissie en uitspraken van het Europese Hof van Justitie (bijvoorbeeld over het Data Privacy Framework), actief te volgen.

Specifieke situaties

Hieronder vind je handreikingen en toelichtingen over het uitwisselen van persoonsgegevens in specifieke situaties.

Kinderopvang en BSO

Leerplichtambtenaar

Zorg- en ondersteuningsinstanties

Jeugdhulp, pedagogen en psychologen

Passend onderwijs

Bewegingsonderwijs

Aanmelden, inschrijven en doorstromen po en vo

Leermiddelen

Voorbeelddocumenten

Meer informatie

Afdrukken

Op deze pagina