Deelproject 2.8 Verantwoord uitwisselen van persoonsgegevens
Verantwoord omgaan met persoonsgegevens is een kerntaak voor scholen. Scholen verwerken tal van gegevens van leerlingen, ouders en verzorgers, medewerkers en andere partijen. Deze mogen niet zonder meer worden gedeeld met externe partijen. Zeker niet als de gegevens worden uitgewisseld met partijen buiten de Europese Economische Ruimte (EER). Richt daarom je organisatie zo in dat altijd wordt getoetst óf, met wie en onder welke voorwaarden persoonsgegevens mogen worden gedeeld.
Resultaat van dit deelproject
- Er is een procedure of beslisboom om te bepalen welke AVG-rolBinnen de AVG worden 5 rollen gedefinieerd: de verwerkingsverantwoordelijke, de functionaris gegevensbescherming, de verwerker, de betrokkene en de Autoriteit Persoonsgegevens als toezichthouder. Elke rol heeft eigen rechten, plichten en verantwoordelijkheden met betrekking tot de verwerking van persoonsgegevens. partijen hebben.
- Het is per rolverdeling duidelijk welk soort (verwerkers)overeenkomst nodig is.
- Er is een toetsingskader om het delen van persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. met externe partijen – ook buiten de EER – te toetsen aan de AVG.
- Bij doorgifte buiten de EER is er een actueel overzicht van landen en verwerkingen en wordt er een jaarlijkse toets gedaan volgens een vaste werkwijze.
Afspraken maken met de verwerker
Op school zal het vaak voorkomen dat je persoonsgegevens worden verstrekt aan een externe partij die deze gegevens verwerkt namens de school. Bijvoorbeeld aan een leverancier van een leerlingvolgsysteem als Magister of Somtoday? In die gevallen is deze externe partij de verwerkerDegene of de organisatie die handelt in opdracht van de verwerkingsverantwoordelijke, zoals de leverancier van het leerlingadministratiesysteem. Deze mag alleen verwerkingen doen waarvoor hij uitdrukkelijk opdracht krijgt.. Maar als school blijf je wel altijd verantwoordelijk en moet je duidelijke afspraken maken met de verwerker, onder andere via een verwerkersovereenkomst. Met de beslisboom roltoewijzing AVG kun je makkelijk zelf je rol bepalen bij een gegevensuitwisseling.
Wie doet wat
- Het schoolbestuur stelt het proces voor het verantwoord uitwisselen van persoonsgegevens formeel vast en ziet erop toe dat het wordt nageleefd.
- De IBP’er ondersteunt, adviseert en coördineert de uitvoering en werkt samen met de verantwoordelijke medewerker(s) voor administratie, inkoop en juridische zaken aan het veilig en verantwoord uitwisselen van persoonsgegevens.
- De proceseigenaar bewaakt veilige en verantwoorde gegevensuitwisseling binnen de eigen processen.
- De functionaris gegevensbescherming houdt toezicht op het verantwoord uitwisselen van persoonsgegevens.
Aan de slag
Met het volgen van onderstaande stappen zorg je dat je een proces inricht voor het
veilig en verantwoord uitwisselen van persoonsgegevens.
1 Stel een proces op voor het veilig uitwisselen van persoonsgegevens
Leg in een procesbeschrijving vast hoe je binnen jouw school veilig en verantwoord persoonsgegevens uitwisselt. Je kunt hiervoor het voorbeelddocument Proces uitwisselen van persoonsgegevens (docx) gebruiken.
2 Beoordeel gegevensuitwisselingen aan derden en leg dit vast
Voordat persoonsgegevens aan derden worden verstrekt, moet altijd worden beoordeeld of dit gerechtvaardigd is volgens de AVG. Zo voorkom je dat gegevens onnodig of onrechtmatig worden gedeeld. Deze beoordeling moet zorgvuldig worden vastgelegd. Je kunt hiervoor het formulier Verstrekken van persoonsgegevens aan een andere partij (docx) gebruiken.
3 Breng AVG-rollen in kaart, leg verantwoordelijkheden vast en sluit overeenkomsten af
Scholen zijn verantwoordelijk voor de verwerking van persoonsgegevens. Om die verantwoordelijkheid goed te borgen, moeten de AVG-rollen van alle betrokken partijen duidelijk zijn en worden vastgelegd in overeenkomsten conform de AVG. Dit zorgt voor grip op gegevensverwerking. Maak onderscheid tussen verwerkers, gezamenlijke en zelfstandige verwerkingsverantwoordelijken. Met de beslisboom roltoewijzing AVG (pdf) kun je bepalen welke AVG-rol alle betrokken partijen spelen en welke overeenkomst de school moet afsluiten. Beleg het beheer van de afspraken bij de juiste medewerkers in de organisatie.
4 Train medewerkers
Leg aan medewerkers uit waarop ze moeten letten bij de uitwisseling van persoonsgegevens. Zorg dat zij de AVG-rolverdeling herkennen, begrijpen en het belang ervan inzien. Zorg er ook voor dat medewerkers weten bij wie ze terechtkunnen met vragen over gegevensuitwisseling en betrek ze actief bij het naleven van deze processen om bewustwording en zorgvuldigheid te bevorderen.
5 Toets of doorgifte buiten de EER is toegestaan
Bij het delen van persoonsgegevens buiten de EER gelden strengere eisen. De AVG vereist dat het beschermingsniveau in het ontvangende land gelijkwaardig is aan dat binnen de EU, omdat anders persoonsgegevens en de privacyrechten van betrokkenenDe personen van wie persoonsgegevens worden verwerkt. risico lopen. Daarom is het belangrijk vooraf systematisch te toetsen of het bestemmingsland voldoende bescherming biedt, een actueel overzicht bij te houden van de betreffende landen en verwerkingen, en minimaal jaarlijks een toetsing uit te voeren en vast te leggen. Daarnaast is het essentieel om internationale ontwikkelingen, zoals besluiten van de Europese Commissie en uitspraken van het Europese Hof van Justitie (bijvoorbeeld over het Data Privacy Framework), actief te volgen.
Specifieke situaties
Hieronder vind je handreikingen en toelichtingen over het uitwisselen van persoonsgegevens in specifieke situaties.
Kinderopvang en BSO
-
Handreiking AVG en informatieoverdracht en -uitwisseling tussen kinderopvang en basisonderwijs
Kennisnet
-
Brede school en IKC-ontwikkeling
Landelijk Steunpunt Brede Scholen
Leerplichtambtenaar
Zorg- en ondersteuningsinstanties
-
Handreiking gegevensuitwisseling tussen scholen en externe partners (pdf)
Nederlands Jeugdinstituut
-
Servicedocument Delen van persoonsgegevens tussen onderwijs en zorg (pdf)
MBO Raad, Jeugdzorg Nederland en Ingrado
-
Servicedocument Delen van persoonsgegevens tussen onderwijs en zorg met arbeid
MBO Raad, Jeugdzorg Nederland en Ingrado
Jeugdhulp, pedagogen en psychologen
-
Handreiking Zorgvuldig verstrekken van persoonsgegevens aan gemeenten bij jeugdhulp (pdf)
Nederlandse Vereniging van Pedagogen en Onderwijskundigen (NVO) en Samenwerkende Beroepsverenigingen Jeugd
-
Handreiking voor pedagogen in het onderwijs
Nederlandse Vereniging van Pedagogen en Onderwijskundigen
-
Handreiking voor psychologen werkzaam in het onderwijs
Nederlands Instituut van Psychologen
Passend onderwijs
-
Privacytool passend onderwijs
Steunpunt passend onderwijs
Bewegingsonderwijs
-
Handreiking Gegevensuitwisseling bij bewegingsonderwijs
Vereniging Sport en Gemeenten en PO-Raad
Aanmelden, inschrijven en doorstromen po en vo
- Formulier po school inschrijven – voorbeelddocument (pdf)
Kennisnet
- Formulier po school aanmelden – voorbeelddocument (pdf)
Kennisnet
- Formulier Aanmelden met pgn van po naar po of van po naar vo – voorbeelddocument (pdf)
-
Handreiking Privacy bij doorstroom po-vo
ZOUT en Samenwerkingsverband VO Zuidoost-Utrecht
-
Uitwisselen persoonsgebonden nummer (PGN)
Rijksoverheid
-
Identificeren bij inschrijving
Autoriteit Persoonsgegevens
Leermiddelen
Voorbeelddocumenten
Meer informatie
- Via de Dienst Verwerkersovereenkomsten kunnen schoolbesturen samen met hun leveranciers verwerkersovereenkomsten afsluiten en beheren.
- Maak gebruik van de model verwerkersovereenkomsten van het privacy convenant onderwijs.