Hoe bereid ik me voor op de nieuwe wet voor gegevensbescherming (AVG)?

30 juni 2017

Een toenemend aantal scholen bereidt zich voor op de ‘Algemene Verordening Gegevensbescherming' (AVG) die vanaf 25 mei 2018 geldt. Wat moet je als school nu precies geregeld hebben om aan de nieuwe, strengere wetgeving rondom privacy en informatiebeveiliging te voldoen? De aanpak IBP biedt scholen handvatten om de privacy en informatiebeveiliging op school goed te regelen.

Scholen worden steeds afhankelijker van informatie en ict. Nieuwe ontwikkelingen, zoals gepersonaliseerd leren, zorgen voor nieuwe bedreigingen en risico's. Denk bijvoorbeeld aan een toets of een les die niet door kan gaan omdat een systeem niet beschikbaar is. Informatiebeveiliging helpt scholen om passende maatregelen te treffen zodat het onderwijs altijd door kan blijven gaan. Vanaf 28 mei 2018 geldt voor scholen aangescherpte wetgeving rondom informatiebeveiliging en privacy. Vooral rondom persoonsgegevens moeten scholen aan strakke wetgeving voldoen.

De VO-raad ontwikkelde samen met de PO-Raad en Kennisnet de Aanpak IBP om scholen te ondersteunen bij het goed organiseren van informatiebeveiliging en privacy. Deze geeft antwoord op vragen als hoe je omgaat met leerlinggegevens, hoe je zelf een risicoanalyse uitvoert en welke afspraken scholen moeten maken met leveranciers van digitaal leermateriaal. De aanpak bevat onder andere een voorbeeld-privacyreglement, een model-bewerkersovereenkomt voor leveranciers, en een stappenplan in het geval van een incident zoals een datalek.

Voor de zomervakantie wordt nog een overzicht gepubliceerd met aandachtspunten waar scholen en samenwerkingsverbanden met de komst van de AVG op moeten letten. In dit overzicht staat ook aangegeven welke beschikbare en nog te ontwikkelen producten vanuit de Aanpak IBP per aandachtspunt gebruikt kunnen worden.

Bewaartermijnen gegevens

Ook brengt de VO-raad in kaart welke bewaartermijnen gelden binnen het voortgezet onderwijs. Een compleet overzicht ontbreekt op dit moment, maar scholen hebben dit wel nodig om de juiste vragen te kunnen stellen aan leveranciers rondom het bewaren en vernietigen van gegevens.

Aanstellen interne of externe Functionaris Gegevensbescherming

Per 25 mei 2018 is ieder schoolbestuur verplicht om een Functionaris voor Gegevensbescherming (FG) aan te stellen. Hierbij kan worden besloten om iemand intern, extern of in samenwerking met een ander schoolbestuur aan te stellen. In het herfst publiceert de VO-raad een functiebeschrijving voor het aanstellen van een FG.

Voor vragen over IBP kunt u terecht bij de IBP helpdesk: ibp@kennisnet.nl.