Net als elk ander bedrijf moeten scholen en onderwijsinstellingen voldoen aan de updates van de Wet bescherming persoonsgegevens die in mei verschijnen.
We weten dat de wetgeving inzake gegevensbescherming, zoals we die nu kennen, aan het veranderen is. De Algemene Gegevensbeschermingsverordening (GDPR) wordt op 25 mei van dit jaar van kracht, en de overgrote meerderheid van de organisaties, ongeacht hun omvang, moet klaar zijn voor deze veranderingen.
Scholen verwerken de persoonsgegevens van leraren, leerlingen en hun gezinnen. In veel gevallen zullen zij marketing inzetten om de instroom te verbeteren of geld in te zamelen. Scholen hebben cameratoezicht en gebruiken cloudsoftware – allemaal gebieden waar de AVG mee te maken heeft. Laten we dus eens kijken naar enkele gebieden waarmee scholen rekening moeten houden als ze aan de nieuwe regelgeving voldoen, en hoe u aan de slag kunt gaan.
Het ecosysteem voor persoonlijke gegevens is een term die wordt gebruikt door de Vakgroep Onderwijs, om te beschrijven hoe gegevens worden opgeslagen en de onderlinge koppeling van de systemen waarin ze deze opslaan. Deze systemen omvatten:
Scholen zullen vaak verplicht worden die persoonlijke gegevens naar andere instanties te sturen, waaronder de gezondheidszorg en sociale zorg, lokale autoriteiten en het ministerie van Onderwijs zelf.
Door op deze manier naar de gegevens te kijken, kunt u eventuele wijzigingen plannen die u voor de AVG moet aanbrengen.
We hebben dus al eerder gezegd dat het niet alleen de persoonsgegevens van leerlingen zijn waarmee u als school te maken krijgt. Het kunnen ook gegevens zijn van de ouders of verzorgers en van iedereen die bij u in dienst is. Dit omvat huidige en voormalige werknemers, maar ook personen die bij uw organisatie hebben gesolliciteerd. Scholen moeten alle persoonlijke gegevens en gegevens van speciale categorieën die zij bewaren, identificeren.
Verwijs terug naar het ecosysteem van persoonlijke gegevens – Deelt u gegevens met andere organisaties?
Zoals de meeste aspecten van de GDPR, moet er beleid worden ingevoerd om te beschrijven hoe u met gegevens omgaat. Hier moet u naar het bewaringsbeleid voor uw systeemgegevens kijken en uzelf afvragen of dit in lijn is met uw beleid voor het bewaren van gegevens. Kunt u hiermee uw schooltaken vervullen en is dit opgenomen in contracten met leveranciers?
Als een individu vraagt om te zien welke gegevens u over hem bewaart, moet u deze informatie verstrekken. Dit wordt een Subject Access Requests of SAR genoemd. U moet erop kunnen vertrouwen dat u toegang heeft tot deze informatie en dat u deze binnen de gestelde termijn aan de Betrokkene kunt verstrekken.
Elk systeem waarin u de persoonlijke gegevens opslaat, moet veilig zijn. Er wordt van u verwacht dat u de stappen beschrijft die u heeft genomen om het te beschermen. Voldoet u aan erkende normen, zoals ISO 27001 voor managementsystemen voor informatiebeveiliging?
Een praktijkgerichte sessie op maat, afgestemd op uw wensen en doelstellingen
Heeft u er op 25 mei dit jaar vertrouwen in dat de leverancier die uw school van uw systemen voorziet, klaar zal zijn voor de wijzigingen in de Wet bescherming persoonsgegevens? Hebben ze hun stappen naar de AVG beschreven en gedemonstreerd?
Bij het aanstellen van een Functionaris Gegevensbescherming (DPO) raadt het Ministerie van Onderwijs u aan om niet te kiezen voor een Hoofd IT of de Hoofddocent. Ze suggereren een individu dat niet betrokken is bij het nemen van beslissingen rond technologie of verwerking.
Het is ook vermeldenswaard dat Data Protection Officers voor een aantal organisaties kunnen werken. Dit betekent dat u een DPO kunt delen met een andere school.
Het Information Commissioner's Office zal, samen met de DfE, de komende weken hun richtlijnen blijven bijwerken. ISMS.online houdt u op de hoogte.