Verantwoord omgaan met persoonsgegevens moest iedere organisatie al. Maar met de invoering van de AVG, nu vijf jaar geleden, zijn de verantwoordelijkheden flink toegenomen. Elke rechtspersoon in Nederland en de rest van Europa is sindsdien gebonden aan strenge regels over het verwerken van persoonsgegevens, zoals het opvragen, opslaan en delen ervan.
Onderwijsinstellingen hebben de AVG-handschoen zeer voortvarend opgepakt, vinden Nicole Niessen, partner bij Boels Zanders en gespecialiseerd in onderwijsrecht en Sharinne Ibrahim, binnen Boels Zanders specialist in privacyrecht. De instellingen werden daarbij ondersteund door juridisch specialisten en de sectorraden. Nicole: “Het onderwijs is in rap tempo volwassen geworden op het gebied van privacy. Niet alleen door de AVG, maar bijvoorbeeld ook door de coronacrisis. Die zorgde voor een snelle opkomst van digitaal en online onderwijs, en zaken als proctoring (de online monitoring van testafname, red.).”
Maar de sector is ook geschrokken van wat er allemaal bij privacy komt kijken. “Instellingen zijn soms zelfs te voorzichtig geworden.” Door die voorzichtigheid maken organisaties het voor hun medewerkers soms ingewikkelder dan nodig, vindt Sharinne. Daarom raadt ze onderwijsorganisaties aan om altijd hun rechten, plichten en positie duidelijk voor ogen te houden, al dan niet met gespecialiseerde juridische hulp. Met de volgende vier adviezen maken Nicole en Sharinne het concreet:
“Onderwijsinstellingen vragen over het algemeen graag toestemming voor het verzamelen, opslaan en delen van persoonsgegevens. Dat is begrijpelijk, want ze werken op basis van wederzijds vertrouwen met leerlingen, studenten, ouders en andere belanghebbenden. Maar verlies niet uit het oog dat toestemming het laatste station is. Want als die niet gegeven of weer ingetrokken wordt, is er niets meer om op terug te vallen.”
Bekijk daarom aan de voorkant goed waarom u als onderwijsinstelling die gegevens nodig heeft. Móét u ze wel opvragen? Check ook of de wet u tot het opvragen van de gegevens verplicht. Want als dat zo is, hoeft u geen toestemming te vragen. Probeer dus af te stappen van de basisinstelling dat toestemming altijd nodig is. Maar leg wel altijd duidelijk uit wat u doet en waarom.
“Partijen kunnen soms op een vrij dwingende manier eisen dat onderwijsinstellingen informatie delen of juist niet delen. Neem ouders die in een vechtscheiding zitten. Het is belangrijk om in een dergelijke situatie zuiver te zijn in de informatieverstrekking en de juridische positie van betrokkenen zorgvuldig te checken. Want als beide ouders het gezag hebben, moeten ze gelijkelijk worden geïnformeerd over de schoolontwikkeling van hun kind.”
Ook een instantie als de politie kan op een dwingende toon om persoonsgegevens vragen. Daarvoor moeten ze een concreet en rechtsgeldig verzoek doen. Als onderwijsinstelling kan het lastig zijn om hierbij de regie te houden, omdat u hier niet dagelijks mee te maken heeft. Maar u staat als onderwijsinstelling meestal sterker dan u denkt. Probeer, als het kan, de rust in het proces te bewaren en neem de tijd om te kijken wat uw rechten en plichten zijn.
“Onderwijsinstellingen werken vaak samen met ketenpartners. Daarbij leggen ze al snel de verantwoordelijkheid voor de verwerking van persoonsgegevens bij zichzelf. We zien regelmatig dat ze een verwerkersovereenkomst afsluiten met de partner, terwijl er eigenlijk een samenwerkingsovereenkomst gemaakt zou moeten worden. Daarin hebben partners veel meer een gezamenlijke verantwoordelijkheid om de privacy te borgen.” Blijf dus ook bij samenwerkingen scherp op uw eigen rol en positie, en de rechten en plichten die deze met zich meebrengen.
Onderwijsinstellingen zijn sinds de invoering van de AVG door ‘een enorme wasstraat’ gegaan, in de woorden van Sharinne. “De hoeveelheid nieuwe regels en processen, informatie en gesprekken over privacy was enorm. En dat is ze nog steeds.” Privacy en gegevensbescherming vormen volgens haar een continu proces dat u moet blijven bewaken.
“Zeker met ontwikkelingen als online examineren en surveilleren, hybride leren en immersive technologies op basis van virtual reality. Kijk ook naar het gebruik van tools als Zoom en producten van Microsoft, die onlangs nog onder vuur lagen. Scherp zijn en scherp blijven is van groot belang, want privacy blijft ook in het onderwijs een belangrijk onderwerp van gesprek.”
