Deelproject 4.2 Persoonsgegevens: afhandelen verzoeken, informeren en toestemming vragen
In dit deelproject richt je je op drie belangrijke onderdelen van de AVG: het afhandelen van verzoeken van betrokkenen, het informeren van leerlingen, ouders en medewerkers over hoe jouw school omgaat met persoonsgegevens en het op de juiste manier vragen van toestemming. Deze onderwerpen spelen een rol in veel dagelijkse situaties. Bijvoorbeeld wanneer ouders een inzageverzoek doen, wanneer een leerling wordt aangemeld of wanneer je foto’s wilt gebruiken op de website. Door deze drie onderdelen goed te regelen, werkt de school transparant, zorgvuldig en versterk je het vertrouwen van iedereen die met de school te maken heeft.
Resultaat van dit deelproject
- Er is een vastgestelde procedure voor het afhandelen van AVG-verzoeken.
- Applicaties en systemen ondersteunen de uitvoering van AVG-rechten, zoals inzage, correctie en verwijdering.
- Er is een centraal register van alle ingediende en afgehandelde verzoeken.
- In het IBP-beleid is vastgesteld hoe en wanneer betrokkenenDe personen van wie persoonsgegevens worden verwerkt. worden geïnformeerd over de verwerking van hun gegevens en hoe ze hun rechten kunnen uitoefenen.
- De organisatie heeft een interne en externe privacyverklaring in duidelijke taal.
- De school weet voor welke verwerkingen toestemming nodig is en communiceert hier transparant over.
Rechten van betrokkenen
Leerlingen, oudersWaar ouders staat worden de wettelijke vertegenwoordigers bedoeld: personen die de ouderlijke verantwoordelijkheid dragen voor het kind. Dit kunnen ook verzorgenden zijn. en medewerkers hebben verschillende rechten met betrekking tot hun gegevens op grond van de AVG. Zo hebben zij onder andere het recht op inzage, correctie, verwijdering, beperking van verwerking en het maken van bezwaar. Je moet als school leerlingen, ouders en medewerkers informeren over hun rechten en hoe ze deze kunnen uitoefenen. Dit kun je doen via een privacyverklaring. Daarnaast moet je ervoor zorgen dat verzoeken die voortkomen uit die rechten goed en tijdig worden afgehandeld. Daar kun je een procedure voor opstellen. Hierin staat onder andere:
- Hoe iemand een verzoek kan indienen (digitaal of op papier).
- Hoe de school controleert of de verzoeker echt is wie hij zegt dat hij is.
- Wie verantwoordelijk is voor de afhandeling.
- Binnen welke termijn de school moet reageren.
- De criteria voor het toe- en afwijzen van verzoeken.
- Hoe andere organisaties aan wie de gegevens van dezelfde persoon zijn verstrekt, worden geïnformeerd over wijzigingen.
Informatieplicht
De AVG verplicht scholen om alle betrokkenen (leerlingen, ouders en medewerkers) vooraf duidelijk te informeren over hoe hun persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. worden verwerkt. Zij hebben het recht te weten welke gegevens worden verzameld, waarom dat gebeurt, hoe lang ze worden bewaard, met wie gegevens worden gedeeld en welke rechten ze hebben. De AVG maakt daarbij een belangrijk onderscheid tussen de manier waarop de gegevens zijn verkregen:
- Komen gegevens rechtstreeks van de betrokkene? Bijvoorbeeld bij een inschrijving of aanmeldformulier. Dan moet de betrokkene direct worden geïnformeerd.
- Komen gegevens niet direct van de betrokkene? Bijvoorbeeld wanneer de school gegevens ontvangt van een andere school of organisatie. Dan moet de school de betrokkene uiterlijk bij het eerste contact informeren of in ieder geval binnen een maand na verkrijging van de gegevens.
Ook moet de school betrokkenen vooraf informeren wanneer er iets verandert in de verwerking van de gegevens. Bijvoorbeeld als een nieuw doel wordt bepaald of er nieuwe ontvangers zijn. Soms zijn er uitzonderingen. Bijvoorbeeld wanneer de informatie al eerder is gegeven of wanneer de school wettelijk verplicht is om gegevens te verwerkenAlles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming..
Begrijpelijk en duidelijk informeren
Als school moet je duidelijk, kort en begrijpelijk informeren. Overweeg daarom een gelaagde aanpak. Geef de belangrijkste informatie op het moment dat de betrokkenen gegevens delen. Bijvoorbeeld als korte toelichting in het inschrijfformulier. Verwijs daarin voor uitgebreide informatie naar een privacyverklaring. Zo voorkom je dat betrokkenen worden overspoeld met informatie, terwijl je wel volledig voldoet aan de AVG.
Toestemming
Scholen verwerken persoonsgegevens meestal op basis van andere wettelijke grondslagen, zoals een taak van algemeen belang of een wettelijke plicht. In die gevallen is toestemming niet nodig. Toch zijn er situaties waarin dat wél nodig is. Denk bijvoorbeeld aan het gebruik van foto’s of video’s op de website of sociale media, deelname aan extra activiteiten of communicatie vanuit de oudervereniging. Toestemming is alleen geldig als deze vrijwillig, specifiek, geïnformeerd en ondubbelzinnig is gegeven. Dit betekent onder andere dat:
- De betrokkene precies weet waarvoor hij toestemming geeft.
- De toestemming wordt gegeven via een actieve handeling (opt-inDe mogelijkheid om ervoor te kiezen je persoonsgegevens te delen.).
- Per doel apart toestemming wordt gevraagd.
- De toestemming altijd eenvoudig kan worden ingetrokken.
- De school kan aantonen dat toestemming is gegeven en wat er precies is uitgelegd.
Houd waar het gaat om toestemming rekening met het volgende:
- Extra bescherming voor minderjarigen. Voor leerlingen jonger dan 16 jaar moet toestemming worden gevraagd aan ouders of wettelijke vertegenwoordigers.
- Let op de gezagsverhouding. In de relatie tussen school en leerling of tussen werkgever en medewerker bestaat een ongelijkwaardige verhouding. Daardoor kan toestemming niet altijd als “vrij” worden gezien. Gebruik toestemming daarom alleen wanneer er geen andere passende grondslagDe (wettelijke) basis waarop je persoonsgegevens verwerkt. Er zijn 6 mogelijke grondslagen: toestemming, overeenkomst, de wet, publiekrechtelijke taak, vitaal belang van de betrokkene, of gerechtvaardigd belang. bestaat. Denk aan foto’s voor sociale media of promotieactiviteiten — niet voor onderwijsprocessen of wettelijke verplichtingen.
- Toestemming is meestal niet nodig. Toestemming is alleen nodig voor verwerkingen die niet tot de kerntaken van de school behoren. Je vraagt dus geen toestemming voor zaken die verplicht of noodzakelijk zijn voor het onderwijs, zoals de leerlingadministratie, overdracht bij een schoolwissel of toetsregistratie.
Wie doet wat?
- Het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. is eindverantwoordelijk voor een correcte uitvoering van de AVG-rechten, heldere privacyinformatie en een rechtsgeldige toestemmingsprocedure.
- De IBP’er of privacy officerIn het VO meestal betrokken bij de uitvoering van IBP. Deze rol kan ook afhankelijk van het soort onderwijs (PO of VO) en van de grootte van de organisatie, ook vervuld worden door een manager IBP, verantwoordelijke IBP, informatiemanager, security officer, functioneel beheerder, ICT-beheerder, ICT-coördinator of kwaliteitsmedewerker. ondersteunt bij het opstellen van procedures en privacyverklaringen en helpt bij het beoordelen van verzoeken en uitzonderingen.
- Medewerkers handelen volgens de afgesproken procedures.
Aan de slag
1 Stel een procedure vast
Maak een procedure voor de afhandeling van rechten van betrokkenen.
2 Maak een privacyreglement en privacyverklaringen
Leg in een privacyreglement vast welke gegevens de school verwerkt, waarom en hoe lang en wat de rechten en plichten van betrokkenen en het schoolbestuur zijn. Maak daarnaast een interne en externe privacyverklaring in begrijpelijke taal. Licht in formulieren en applicaties toe wat je met de verzamelde gegevens doet en verwijs daarbij naar de privacyverklaring.
3 Informeer betrokkenen op het juiste moment
Ga na of de wijze waarop betrokkenen worden geïnformeerd goed is geregeld in je IBP-beleid. In dit beleid moet het onderstaande verwerkt zijn:
- Informeer direct wanneer gegevens rechtstreeks bij iemand worden verzameld.
- Informeer bij het eerste contact of uiterlijk binnen één maand na het verkrijgen van de gegevens.
- Informeer betrokkenen vooraf wanneer een verwerking wijzigt (nieuw doel, andere ontvangers).
- Zorg dat informatie altijd duidelijk, begrijpelijk en toegankelijk is. Bij voorkeur gelaagd.
4 Vraag toestemming op de juiste manier
Controleer of de voorwaarden voor het gebruik van toestemming als grondslag goed zijn vastgelegd in je IBP-beleid:
- Vraag bij kinderen onder de 16 jaar toestemming aan ouders en controleer wie toestemming geeft.
- Vraag om toestemming op een begrijpelijke, toegankelijke manier.
- Maak het intrekken van toestemming net zo eenvoudig als het geven ervan. Informeer betrokkenen vooraf dat en hoe zij toestemming op elk moment kunnen intrekken.
- Registreer en bewaar toestemming zorgvuldig. Zowel digitaal als op papier.
Regel daarnaast het volgende:
- Inventariseer aan de hand van het verwerkingsregister voor welke verwerkingen toestemming nodig is. Bijvoorbeeld foto’s, video’s, promotie.
- Gebruik een duidelijk toestemmingsformulier met aparte keuzes per doel.
- Evalueer toestemmingen periodiek en vernieuw ze als dat nodig is. Bijvoorbeeld als leerlingen de leeftijd van 16 jaar bereiken of bij gewijzigde omstandigheden.
Let op: toestemming vragen
Vraag alleen toestemming als er geen andere wettelijke grondslag mogelijk is. Toestemming mag nooit een voorwaarde zijn om onderwijs te volgen.5 Controleer applicaties en systemen
Controleer of systemen functies hebben om AVG-rechten uit te voeren (inzage, correctie, verwijdering, logging, registraties). Dit regel je in deelproject 4.4 Privacy by design en privacy by default. Leg daarnaast vast waar deze mogelijkheden ontbreken en neem eisen voor AVG-rechten mee bij de aanschaf van nieuwe applicaties of software.
6 Houd een centraal register bij
Houd een centraal register bij van alle verzoeken van betrokkenen:
- Registreer alle ingediende en afgehandelde verzoeken van betrokkenen.
- Vermeld daarin relevante informatie, zoals datum, type verzoek, beslissing en follow-up.
- Bewaar bewijs van gegeven toestemming en informatie die aan betrokkenen is verstrekt.
- Gebruik het register actief om verzoeken gelijk en zorgvuldig te behandelen.
Cookiebeleid
Vrijwel elke school heeft een website en websites gebruiken in de meeste gevallen cookies. Cookies zijn kleine bestanden die worden gebruikt om een website goed te laten werken en om statistieken over hoe de website wordt gebruikt bij te houden. Sommige cookies hebben weinig tot geen gevolgen voor de privacy van websitebezoekers en mogen zonder toestemming geplaatst worden. Andere cookies hebben wel privacygevolgen. Bijvoorbeeld tracking cookies die bijhouden wat een bezoeker doet op een website en daarbij soms veel gegevens opslaat. Voor het gebruik van deze cookies moet je wel toestemming vragen. Bezoekers moeten altijd kunnen kiezen of ze het gebruik van cookies wel of niet toestaan. Dat is een van de redenen dat het belangrijk is een cookiebeleid op te stellen en waar nodig gebruik te maken van een cookiebanner. Je leest meer over het opstellen van een cookiebeleid en cookiebanners op de website van de Autoriteit Persoonsgegevens.
Meer informatie
- Hoe voldoe je aan de AVG? En waar moet je rekening mee houden? Het antwoord op deze vragen lees je in het artikel De gouden privacyregels voor scholen: zo voldoe je aan de AVG op kennisnet.nl.