Privacy op school, wat zijn de regels?

Door Paulien Visser

Geplaatst
26 november 2024, 12:00

Laatst geüpdatet
26 november 2024, 12:41

Elke school heeft te maken met persoonsgegevens van medewerkers, ouders en (minderjarige) leerlingen. Bij het verwerken van deze persoonsgegevens zijn scholen aan strenge regels gebonden. Net als andere organisaties hebben scholen te maken met de algemene regels uit de Algemene Verordening gegevensbescherming (AVG). Wat zijn belangrijke aandachtspunten voor scholen?

Wat verstaan we onder privacy? Het recht op privacy is een belangrijk grondrecht. In artikel 10 van de Grondwet is opgenomen dat iedereen recht heeft op eerbiediging van zijn of haar persoonlijke levenssfeer. Dit betekent dat iemands persoonlijke vrijheid niet mag worden gehinderd en/of beïnvloed door externe factoren. Iemand moet zelf kunnen bepalen wie welke informatie over hem of haar verkrijgt. Dat is een uitdaging in de huidige maatschappij, waarbij mobiele camera’s bijna overal aanwezig zijn en iedereen dagelijks op heel veel manieren informatie uitwisselt.

Persoonsgegevens

Wat zijn persoonsgegevens? In de AVG staat als definitie voor persoonsgegevens: “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.” Dat houdt in dat het gaat om informatie die ofwel direct over een persoon gaat (directe persoonsgegevens) ofwel dat de informatie naar deze persoon te herleiden is (indirecte persoonsgegevens). Voorbeelden van directe persoonsgegevens zijn iemands naam, adres, telefoonnummer en pasfoto. Maar informatie over wat iemand op het internet koopt, of iemand allergieën heeft of beelden van een bewakingscamera waarop iemand herkenbaar staat, zijn ook aangemerkt als persoonsgegevens. Persoonsgegevens beschrijven bijvoorbeeld de fysieke, genetische, psychische, economische, culturele en/of sociale identiteit van een persoon.

Wat houdt verwerken van persoonsgegevens in? Onder het verwerken van persoonsgegevens vallen alle handelingen die gedaan worden met betrekking tot de persoonsgegevens. Denk aan het verzamelen, vastleggen, ordenen, structureren, bijwerken, opvragen, raadplegen, verstrekken door middel van doorzending, verspreiden, combineren, afschermen en vernietigen van gegevens.

Zorgvuldigheid

Scholen moeten zorgvuldig omgaan met gegevens van leerlingen, ouders en medewerkers. Zo mag een school alleen gegevens verzamelen met een specifiek doel. Het moet vooraf duidelijk zijn waarvoor de gegevens worden gebruikt en de school mag alleen gegevens opvragen die belangrijk zijn voor dat doel. Bijvoorbeeld: als de school een schoolreisje organiseert, mag wel worden gevraagd naar de allergieën van een leerling in verband met de lunch, maar niet naar het opleidingsniveau van de ouders.

De school heeft een reden nodig om gegevens te verwerken

Paulien Visser, juridisch adviseur CNV

De school heeft een reden nodig om gegevens te verwerken, een zogenoemde grondslag. Sommige gegevens heeft de school nodig om aan de wet te voldoen of om een overeenkomst of contract uit te voeren. Als een school gegevens over leerlingen bewaart, moeten deze gegevens relevant zijn. Dat houdt in dat de school taken niet kan uitvoeren zonder deze gegevens. Wanneer de gegevens niet meer nodig zijn, dient de school ze te verwijderen.

Verantwoordingsplicht

De school heeft een verantwoordingsplicht. Dat betekent dat je ouders en leerlingen moet informeren over hun rechten, welke gegevens worden verzameld, hoe de gegevens worden gebruikt en waarom de school de gegevens nodig heeft. Daarnaast dient de school de betrokken personen te informeren over de technische en organisatorische maatregelen die zijn genomen ter beveiliging van de gegevens.

Een school dient integer om te gaan met persoonsgegevens, waarbij van belang is dat de gegevens ook juist zijn. Wanneer onjuistheden worden geconstateerd, moeten deze direct worden aangepast of verwijderd.

Verwerkingsregister

Alle persoonsgegevens dienen goed te worden beschermd en beveiligd. Dat geldt zowel voor digitale als voor papieren gegevens. De gegevens mogen niet inzichtelijk zijn voor onbevoegden. Medewerkers van de school dienen verantwoord om te gaan met de gegevens conform duidelijke instructies.

De school dient een verwerkingsregister op te stellen. In dit register staat informatie over de persoonsgegevens, die worden verwerkt. Dit register wordt bijgewerkt wanneer de verwerkingen veranderen of wanneer nieuwe verwerkingen worden toegevoegd.

De school moet medewerkers, ouders en leerlingen in staat stellen om hun privacy rechten te kunnen uitoefenen. Bijvoorbeeld door het verlenen van inzage in een leerling of personeelsdossier.

Tot slot moet de school beschikken over een functionaris gegevensbescherming. Deze persoon houdt het overzicht op de naleving van de regels en is op de hoogte van alles rondom de privacy op school.

Meer informatie

Wil je meer informatie over de privacy op jouw school? Dan kun je die vinden op de website van de Autoriteit Persoonsgegevens, maar je kunt natuurlijk ook contact opnemen met de juridisch adviseurs van CNV. Zij kunnen je verder helpen bij vragen met betrekking tot de privacy van jouw medewerkers, leerlingen en ouders.