Door de Algemene Verordening Gegevensbescherming (AVG) moeten scholen en samenwerkingsverbanden vanaf eind mei kunnen aantonen dat ze verantwoordelijk met persoonsgegevens omgaan. Een belangrijke wijziging is dat organisaties intern hun privacy(beleid) beter moeten organiseren. Een maatregel om dat te bereiken is het verplicht aanwijzen van een interne privacy-toezichthouder. Die persoon wordt functionaris voor gegevensbescherming (FG) genoemd.

Wat is een Functionaris voor Gegevensbescherming?

Een Functionaris voor Gegevensbescherming (FG) is een interne toezichthouder op de verwerking van persoonsgegevens binnen een organisatie. Deze functionaris heeft geen formele sanctiebevoegdheden, maar wel controlebevoegdheden. Hij adviseert het schoolbestuur (bevoegd gezag) over privacy en houdt toezicht daarop, handelt vragen en klachten over privacy af, ontwikkelt (interne) regelingen rondom privacy en geeft advies over technologie en beveiliging (privacy by design). De FG moet voldoende kennis hebben van de organisatie en van privacywetgeving, betrouwbaar zijn en moet in onafhankelijkheid zijn werkzaamheden kunnen verrichten. De FG heeft de zelfde ontslagbescherming als leden van de (G)MR.

Download de handreiking Functionaris Gegevensbescherming

Moet elke school een Functionaris voor Gegevensbescherming aanstellen of kan dat per bestuur?

Niet elke school hoeft een FG aan te stellen, dit kan per schoolbestuur. Als schoolbestuur heb je verschillende mogelijkheden om een FG te organiseren:

  1. Je benoemt iemand binnen de eigen organisatie als FG
  2. In samenwerking met andere schoolbesturen een FG benoemen
  3. Je huurt een externe FG in.

Moet ik op 25 mei 2018 een Functionaris voor Gegevensbescherming hebben aangesteld

De FG is een van de zaken die nieuw is voor schoolbesturen om te regelen. Het belangrijkste is dat schoolbesturen eerst de basis voor privacy en informatiebeveiliging hebben gelegd binnen hun organisatie. Denk hierbij aan het opstellen van privacy en informatiebeveiligingsbeleid en het opstellen van protocollen rondom datalekken en het gebruik van beeldmateriaal. Het advies is aan schoolbesturen om de documenteren waarom er (nog) geen FG aanwezig is en wat de planning is om dat wel te gaan doen. Het is namelijk verdedigbaar dat een schoolbestuur eerst andere verplichtingen uit de AVG op orde wil hebben gebracht voordat een FG daarop intern toezicht gaat houden.

Hoeveel tijd is een Functionaris voor Gegevensbescherming gemiddeld kwijt?

De omvang van de taken van een FG zijn sterk afhankelijk van de organisatie van het schoolbestuur. Voor een (middelgroot) schoolbestuur met een goed georganiseerde staf en/of gespecialiseerde it-medewerkers is het eenvoudiger voor een FG om de organisatie te leren kennen. Een schoolbestuur waarbij Informatiebeveiliging en Privacy (IBP) nog in de kinderschoenen staat, zal zelf nog meer tijd nodig hebben om IBP goed te regelen. De FG zal dan ook meer tijd nodig hebben voor het begeleiden van de medewerkers die IBP gaan organiseren.

Na het aanwijzen van een (interne of externe) FG, zal de FG in het begin tijd kwijt zijn om de organisatie te leren kennen en om afspraken te maken met het bestuur en de medewerkers die betrokken zijn bij IBP. Bij een gemiddeld schoolbestuur dat start met het regelen van IBP, is de verwachting dat het eerste half jaar de inzet nodig is van medewerkers voor 1 tot 2 dagen per week (bij grote organisaties kan dit oplopen tot 3 dagen) om IBP te gaan organiseren. Hierbij wordt er van uitgegaan dat gebruik wordt gemaakt van de Aanpak IBP. De tijd kan verdeeld worden over één of meerdere medewerkers. Hiernaast is betrokkenheid nodig van het bestuur (circa 1 dag per maand) en de medewerkers personeelszaken (circa 2 tot 4 dagen per maand), en de ictmedewerkers (4 tot 8 dagen per maand). Daarnaast wordt er voorlichting gegeven aan alle medewerkers. Na dat half jaar, als IBP in de steigers staat, kan er worden volstaan met minder tijd (eenvoudig gesteld kan de tijd gehalveerd worden).

Waar kan ik formats, handleidingen en andere informatie vinden over wat ik moet regelen om de AVG op orde te brengen?

De VO-raad heeft samen met de PO-Raad en Kennisnet de Aanpak Informatiebeveiliging en Privacy (IBP) ontwikkeld In deze aanpak kunnen scholen aan de hand van de stappen: organiseren, realiseren en communiceren zelf aan de slag met privacy en informatiebeveiliging.

afbeelding website Aanpak IBP

Op deze website staat ook een overzicht van wat scholen al hadden moeten regelen onder de Wet bescherming persoonsgegevens (Wbp) en wat nieuw is voor scholen met de komst van de AVG. De website wordt up tot date gehouden en aangevuld met nieuwe formats en handreiking. Zo wordt op dit moment gewerkt aan het model Dataregister en een format voor de Gegevensbeschermingseffectbeoordeling.