Hoe pakte de VO-raad zelf de nieuwe privacywet op?
03 juli 2018
"Ik heb er een dagtaak aan", zegt André Poot van de scholenkoepel CVO-AV in het NOS-journaal. Hij is daarnaast ook parttime beleidsadviseur informatiebeveiliging en privacy (IBP) bij de VO-raad. "Op onze scholen moesten we al onze privacyreglementen herschrijven en al onze databases in kaart brengen." Dat doet hij niet voor niets: "De privacywaakhond heeft duidelijk gemaakt dat het speelkwartier voor scholen vanaf nu over is en dat we strenger aangepakt gaan worden."
Het opstellen van stukken is een, maar om er met alle medewerkers adequaat mee om te gaan is een tweede.
Bureau VO-raad
De vertaling naar de bureau-organisatie van de VO-raad begon later pas. De focus lag in eerste instantie op het attenderen van de leden op de nieuwe wetgeving. In december 2017 werd in het MT vastgesteld dat het bureau van de VO-raad nog niet klaar was voor de AVG. Directeur Joop Vlaanderen "Het was snel duidelijk dat we hier serieus mee aan de slag moesten gaan. De hoeveelheid werk die het opleverde heeft me verrast. En dan daaropvolgend: het opstellen van stukken is een, maar om er met alle medewerkers adequaat mee om te gaan is een tweede."
Het uitzoeken van de noodzakelijke acties werd belegd bij de directiesecretaris Jasper Aalbers: "Ik had een redelijk besef van privacy. Ik begon me verder in te lezen in de materie en voerde gesprekken met de beleidsadviseur informatiemanagement en de manager ICT van het bureau. Toen begon de scope duidelijk te worden: dit gaat iedereen aan."
In februari was het in kaart brengen van de benodigde acties voltooid en kon een interdisciplinaire projectgroep aan de slag voor de VO-raad maar ook de PO-Raad waarmee we stafafdelingen delen en met Schoolinfo. In de projectgroep zaten beleids- en communicatieadviseurs, de controller en de manager ict.
In mei werden themalunches georganiseerd voor alle collega’s, waarin de werkgroep de AVG introduceerde en het gesprek voerde over de impact op het dagelijks werk. Dit was de hoofdmoot van het project: bewustwording creëren. Daarnaast werd in mei het plan van aanpak en alle relevante documenten makkelijk toegankelijk gemaakt voor collega’s.
De VO-raad heeft een database met contactinformatie van scholen, bestuurders en schoolleiders. We sturen regelmatig nieuwsbrieven naar verzendlijsten van leden. Ook organiseren we activiteiten en bijeenkomsten en hebben we netwerken en overlegstructuren waar we gegevens over bijhouden. Dat zijn gegevens die we centraal in een crm (customer relationsip management) systeem opslaan. Deze gegevens zijn alleen voor intern gebruik. Ook heeft onze website het aantal cookies tot een minimum beperkt.
Privacy zal op de agenda blijven staan
Projectleider Aalbers: "We waren niet helemaal klaar op 25 mei. Wel hebben we een strakke planning voor wat we wanneer af willen hebben. Het werk aan de AVG houdt ook niet op na het afronden van het plan van aanpak. We blijven aan de slag om te zorgen dat alle documenten en websites up-to-date worden en blijven. Dat alle afspraken met leveranciers kloppen (verwerkingsovereenkomsten en dergelijke) en dat het onderwerp AVG op de agenda blijft staan."
In de loop van de zomer wijzen VO-raad, PO-Raad, Schoolinfo en VO-Content (dat inmiddels is aangehaakt bij het project) samen een Functionaris Gegevensbescherming aan. Dat moet de kroon op het werk worden.
Meer weten over hoe de VO-raad AVG-proof is geworden? E-mail dan projectleider AVG Jasper Aalbers.