Privacy & Persoonlijke gegevens: vijf vuistregels

Zomaar een aantal koppen uit het nieuws van de afgelopen weken. Privacy is een hot item, maar wat is dat eigenlijk, privacy? Waarom is het nodig dat de wetgeving hierover juist nu wordt aangepast? En wat betekent dit voor ons onderwijs?

Privacy is een fundamenteel mensenrecht. Het staat in onze grondwet. We hebben er dus met z’n allen recht op en we vinden het belangrijk. Of toch niet? Als ik de zoekterm privacy intik op Google krijg ik 4 miljard resultaten. Er is dus een hoop over geschreven, maar in essentie gaat privacy over de afscherming van onze persoonlijk levenssfeer. Volgens de wet gaat privacy ook over het recht om te weten wat er met jouw persoonlijke gegevens gebeurt en over het recht om vergeten te worden. Deze laatste twee zaken blijken bijzonder lastig te zijn geworden in het als maar uitbreidende doolhof van onze digitale wereld.

Niets te verbergen?

Maurits Martijn en Dimitri Tokmetzis, twee onderzoeksjournalisten van De Correspondent, deden onderzoek naar wat er op het wereldwijde web met onze gegevens gebeurt en schreven hierover het boek: “Je hebt wel iets te verbergen.” Zij beschrijven hierin hun onderzoek naar welke gegevens er over ons verzameld worden nadat we weer eens, zonder met onze ogen te knipperen, de algemene voorwaarden hebben geaccepteerd van dat appje dat we graag willen gebruiken én over hoe die gegevens vervolgens worden verhandeld en gebruikt. Maar het zijn niet alleen de commerciële bedrijven die gretig gebruik maken van het enorme dataspoor dat wij achterlaten in ruil voor gebruikersgemak of entertainment, ook onze eigen overheid weet er wel raad mee. Volgens Martijn en Tokmetzis worden onze gegevens geveild en verkocht aan de hoogste bieder, sneller dan we het woord privacy uit kunnen spreken. Partijen waar wij nog nooit van gehoord hebben gaan aan de haal met onze zoekgeschiedenis, contacten, en locatiegegevens en we hebben geen idee wat zij er volgens mee doen. Daar zou verandering in moeten komen. We willen weten wat er over ons verzameld wordt en wat daar mee gebeurt.

Bescherming

Hoogste tijd voor aangescherpte wetgeving hierover: op 25 mei gaat de Algemene Verordening Gegevensbescherming, of kortweg de AVG, van kracht. Een wet voor heel Europa om onze privacy beter te beschermen. In Nederland kennen we sinds 2001 de Wet Bescherming Persoonsgegevens. Deze wet is gebaseerd op de Europese privacyrichtlijn die dateert uit 1995. De technologische ontwikkelingen zijn sinds die tijd in een stroomversnelling geraakt. Als je bedenkt dat de eerste iPhone in 2007 op de markt kwam, de App-store in 2008 gelanceerd werd en de iPad pas in 2010 het levenslicht zag dan lijkt herziene wetgeving geen slecht plan.

Duiden, verduidelijken en doen!

De AVG is dus goed nieuws, maar welke gevolgen heeft dit voor ons onderwijs? We willen ons graag bezig houden met lesgeven en houden niet van regels en restricties vanuit de wet. Gelukkig heeft Kennisnet voor ons uitgezocht wat de AVG voor het onderwijs betekent. Het komt er grofweg op neer dat we bij het verzamelen van persoonlijke gegevens over medewerkers, leerlingen, hun ouders en andere betrokkenen deze vijf vuistregels in acht moeten nemen:

  1. Doel en doelbinding - verzamel gegevens alleen met een vooraf vastgesteld doel en gebruik de verzamelde gegevens alleen voor dit doel.
  2. Grondslag - Verzamel gegevens alleen als je er een grondslag voor hebt. Er zijn verschillende grondslagen om gegevens te verzamelen, zoals een wettelijke grondslag (het staat in de wet), een gerechtvaardigd belang (je hebt bepaalde gegevens nodig om goed onderwijs te kunnen bieden) of ondubbelzinnige toestemming (bijv. om foto's van leerlingen te publiceren op je website).
  3. Transparantie - beschrijf op begrijpelijke wijze welke gegevens je verzamelt, met welk doel, waar je deze gegevens bewaart, wie er toegang toe heeft en met wie je ze uitwisselt.
  4. Dataminimalisatie - dit betekent dat je niet meer gegevens mag verzamelen dan strikt noodzakelijk.
  5. Data-integriteit - zorg ervoor dat de gegevens die je verzamelt juist zijn.

Daarnaast stelt de AVG dat organisaties, dus ook scholen, verplicht zijn om een aantal aanvullende zaken te regelen zoals overeenkomsten met leveranciers die namens ons persoonsgegevensverwerken (denk aan ParnaSys of Esis), een procedure datalekken (wat doen we als het mis gaat?), een risico-analyse (wat zijn onze zwakste schakels?) en een functionaris gegevensbescherming (iemand die controleert of we ons privacybeleid goed uitvoeren). Een hoop werk aan de winkel dus, maar gelukkig kunnen deze zaken vaak bovenschools worden geregeld. 

Met het vaststellen van je beleid ben je er alleen nog niet. Want waar gaat het mis (en dat is bij privacy niet anders dan bij de meeste andere ongelukken)? Juist, bij ons: het menselijk handelen. Wie laat zijn computer wel eens onbeheerd achter? Heeft wel eens een mailtje naar de verkeerde ontvanger gestuurd? Of heeft gevoelige informatie bij de printer laten liggen? Ik denk, wij allemaal wel. Is dit te voorkomen? Nee, niet helemaal, maar er is wel wat aan te doen: bewustwording. Als we ons met zijn allen bewust zijn van de risico's die ons gedrag met zich meebrengt dan zullen we zorgvuldiger met de privacy van anderen en misschien ook wel die van onszelf omgaan. Toch maar eens die algemene voorwaarden doorlezen voor we op accepteren klikken?

Heeft u behoefte aan een gespek, begeleiding, advies of de praktische vertaalslag voor uw organisatie? Neem contact met ons op voor passende mogelijkheden.