Algemene Verordening Gegevensbescherming
Op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming van kracht. Allerlei instellingen in de Europese Unie, waaronder scholen, moeten dan nog zorgvuldiger omgaan met gegevens van leerlingen, ouders en medewerkers dan nu al het geval is onder de Wet bescherming persoonsgegevens. Hieronder vertellen we hoe we dat aan de Passie doen.
Volgens de nieuwe privacywetgeving
Aan de Passie vinden we het van groot belang om goed om te gaan met de privacy en persoonsgegevens van leerlingen, ouders en medewerkers. We verwerken en beveiligen die dan ook zorgvuldig en volgens de eisen van de privacywetgeving. Dat betekent dat we
- duidelijk kunnen maken voor welke doelen we de persoonsgegevens verwerken;
- het verzamelen van de persoonsgegevens beperken tot de doelen waarvoor we ze verwerken;
- wanneer dat vereist is, eerst vragen om toestemming om de persoonsgegevens te verwerken;
- de gegevens niet doorgeven aan derde partijen, tenzij dat nodig is om een gevraagde dienst te kunnen leveren of wanneer we daartoe wettelijk verplicht zijn;
- wanneer we de gegevens delen met derde partijen, afspraken met hen maken om er o.a. voor te zorgen dat deze niet voor andere doelen gebruikt worden;
- passende beveiligingsmaatregelen nemen om de persoonsgegevens te beschermen en dat ook eisen van partijen die in opdracht van ons de persoonsgegevens verwerken;
- het recht van leerlingen, ouders en medewerkers respecteren om de eigen persoonsgegevens in te zien, te laten corrigeren of te laten verwijderen.
Wat hebben we al gedaan?
Aan de Passie hebben we afspraken op papier gezet over
- hoe we aan de Passie aan informatiebescherming en privacy werken (beleidsplan);
- hoe we omgaan met incidenten op het gebied van informatiebescherming en privacy en met datalekken (protocol);
- hoe we omgaan met persoonsgegevens van onze leerlingen, ouders en medewerkers (privacyreglementen);
- hoe derde partijen omgaan met persoonsgegevens van onze leerlingen, ouders en medewerkers (bewerkersovereenkomsten).
Er bestonden aan de Passie al afspraken over hoe medewerkers electronische informatie- en communicatiemiddelen van de Passie dienen te gebruiken (protocol) en hoe ze zich op social media over de Passie kunnen uitlaten (protocol).
Verder hebben we gewerkt aan de veiligheid van onze informatiesystemen, in het bijzonder van Magister. We hebben een gegevensbeschermingseffectbeoordeling gemaakt waaruit blijkt dat (sommige) persoonsgegevens in Magister zeer privacygevoelig zijn maar technisch afdoende beschermd zijn. Ook hebben we de rechten van (groepen) gebruikers herzien, waarmee we de inzage van medewerkers in persoonsgegevens van leerlingen en ouders beperkt hebben. Voor gebruikers met veel rechten hebben we de inlogprocedure veiliger gemaakt.
Ten slotte werken we aan het vullen van dataregisters waarmee we verantwoorden welke persoonsgegevens van leerlingen, ouders en medewerkers hoe en door wie binnen of buiten de Passie verwerkt worden.
Op de uitvoering van de nieuwe privacywetgeving wordt onder verantwoordelijkheid van het bestuur toegezien door een interne Functionaris voor de Gegevensbescherming.
Praktische gevolgen
De nieuwe privacywetgeving heeft belangrijke praktische gevolgen. Hieronder noemen we de enkele veel voorkomende.
Contactgegevens
Als school mogen en willen we geen contactgegevens verspreiden van leerlingen, ouders of medewerkers. We kunnen dus bijvoorbeeld geen klassenlijsten of medewerkerslijsten beschikbaar stellen die meer informatie bevatten dan namen, functies en schoolmailadressen. Ook mogen we niet zomaar contact opnemen met oud-leerlingen. Daarom vragen we examenkandidaten om toestemming of we na hun Passie-tijd contact met hen mogen onderhouden.
Actieve toestemming
Voor het gebruik van persoonsgegevens waarvoor toestemming vereist is, mag de school er niet vanuit gaan dat ouders of medewerkers stilzwijgend toestemmen als ze niets van zich laten horen. Pas als iemand de toestemming actief kenbaar gemaakt heeft, bijvoorbeeld door een e-mail of een antwoordstrookje, geldt de toestemming als gegeven.
Gebruik van beeldmateriaal
Bij de inschrijving van leerlingen vragen we de ouders toestemming voor het gebruik van beeldmateriaal waarop hun kinderen als leerlingen van de Passie voorkomen. Deze toestemming kunnen ouders – of leerlingen zelf als ze 16 jaar of ouder zijn – zonder opgaaf van redenen weigeren of op elk moment weer intrekken.
Gegevensbescherming door medewerkers, leerlingen en ouders
Het kan zijn dat medewerkers, leerlingen en ouders persoonsgegevens verwerken of beeldmaterialen vervaardigen en publiceren die betrekking hebben op de Passie. Als daarbij ongewenst of twijfelachtig gedrag ter kennis van de Passie komt, zullen we actie ondernemen in de geest van de Algemene Verordening Gegevensbescherming.
Reacties, vragen of klachten
Met reacties en vragen over hoe de Passie omgaat met gegevensbescherming en privacy kunt u zich wenden tot de Functionaris voor de Gegevensbescherming van de Passie, mevrouw Janneke Witteman (jwitteman@passie.net). Eventuele klachten handelen we af volgens de algemene klachtenprocedure van de Passie.