Een half jaar na de invoering van de Algemene Verordening Gegevensbescherming

Wat merken we ervan in de praktijk?

De Algemene Verordening Gegevensbescherming (AVG) trad mei 2016 in werking. Tot 25 mei 2018 kregen bedrijven en instanties de kans om te voldoen aan de regelgeving, opgesteld om jouw en mijn persoonsgegevens beter te beschermen. Tot op heden zijn de megaboetes waarvoor gewaarschuwd werd nog niet uitgedeeld door de Autoriteit Persoonsgegevens. Wat is de stand van zaken? We vragen het aan Claartje Uitterhoeve, loopbaandecaan en Functionaris Gegevensbescherming op het Graafschap College (roc) in Doetinchem.

 Dit artikel is gepubliceerd in Bij de Les 5, januari 2019. Meer artikelen lezen? Wordt abonnee!

Merk je dat er na 25 mei 2018 anders wordt omgegaan met privacy-gevoelige informatie?

Mensen zijn zich er in ieder geval meer bewust van geworden. Ook de werknemers op school, en dan bedoel ik niet alleen de mensen voor de klas, maar ook begeleiders, administratief medewerkers en receptiemedewerkers, gaan bewuster om met persoonsgegevens. Het werkt door in de begeleiding en in de primaire processen. Onder de oude wetgeving waren scholen vrijgesteld van administratieve meldingen, maar onder deze wetgeving moet je als school – en als elke organisatie – kunnen aantonen hoe je omgaat met persoonsgegevens.

Welke vragen worden er binnen het Graafschap College zoal gesteld? Hoe beantwoord je die?

Mensen vragen bijvoorbeeld of ze  namen van studenten mogen noemen in het systeem dat we hanteren om incidenten te melden. Er is geen kant-en-klaar antwoord op die vraag, maar soms is het noemen van een naam gewoon heel praktisch. Anders weet je niet om wie het gaat. In de AVG staan zes grondslagen genoemd waarop je je handeling met persoonsgegevens kunt baseren (zie kader, red.). Om je handeling te verantwoorden, zoals het vermelden van een naam, moet je minimaal één van die zes grondslagen kunnen aanwijzen. De grondslag ‘wettelijke verplichting’ is duidelijk: je doet iets met persoonsgegevens omdat in de wet staat dat jij dat moet doen. Verzuim doorgeven aan de leerplichtambtenaar is daar een voorbeeld van. Dat kun je alleen maar doen met naam en toenaam.

‘Soms is het noemen van een naam gewoon heel praktisch’

Kun je een top drie maken van vragen die je sinds de invoering van de AVG  krijgt?

‘Wat mag ik nog opschrijven in het leerlingvolgsysteem?’ wordt het meest gesteld. Het antwoord op deze vraag is per geval anders, maar leidend is dat je een goede verklaring moet hebben voor hetgeen je opschrijft. Ik zeg altijd wat kort door de bocht: wat je van je eigen kind niet wil lezen in zo’n systeem, schrijf je ook niet op. De grondslagen uit de AVG moet je interpreteren. Soms komt het neer op boerenverstand, al klinkt dat niet zo chique. Op een goede tweede plek komt de vraag: ‘Hoe ga ik om met beeldmateriaal van leerlingen of studenten?’ Daarop is het antwoord : als de leerling jonger dan zestien jaar is, dan heb je schriftelijke toestemming van de ouders nodig. En anders heb je toestemming nodig van de leerling zelf. De derde vraag die ik vaak krijg is: ‘Wie mogen er allemaal toegang hebben tot de persoonsgegevens?’ De content aan persoonsgegevens die je hebt is één ding. Met wie je deze gaat delen, vraagt eenzelfde aandacht. Delen is ook verwerken en je moet kunnen verantwoorden waarom je deelt en met wie. Voorbeelden die regelmatig ter sprake komen zijn in hoeverre informatie over de thuissituatie van een student of de kenmerken van een student die geleid hebben tot een specifieke begeleidingsvraag, voor alle docenten beschikbaar moet zijn.

Wat als de Autoriteit Persoonsgegevens bij je aanklopt voor het schenden van de regels en ze zijn het niet eens met jouw interpretatie van de grondslagen?

Je krijgt dan in ieder geval niet meteen een boete opgelegd. Je krijgt eerst de kans om je dossiers op orde te brengen. Ik las dat de AP in 2014 een schending constateerde bij de politie. Die heeft vervolgens vier jaar lang de tijd gehad om orde op zaken te stellen. In 2018 was nog niet alles opgelost. Ze kregen toen een boete van € 40.000,-.

‘Men is bewuster gaan beoordelen of informatie ‘need to know’ of ‘nice to know’ is’

Wat zijn de kwesties waarmee jij als expert nog wel eens worstelt? Hoe ga je daarmee om?

Dilemma's doen zich vooral voor bij het vastleggen van gesprekken of van incidenten. Wat schrijf je op? En waarom schrijf je dat op? Welk doel dient het? Je moet je er bewust van zijn dat betrokkenen het recht van inzage hebben. Lees je tekst na door de ogen van de betrokkene. Kan je dan uitleggen waarom je die tekst in die bewoordingen hebt geschreven? Verder hoeft niet alle informatie voor iedereen beschikbaar te zijn. Zelf wil je waarschijnlijk ook liever niet dat je beoordelingsgesprekken met al je collega's gedeeld worden. Als je er met een kwestie echt niet uitkomt, dan kun je nog afstemmen met andere scholen, de AP benaderen of een collega jurist vragen.

Hebben de invoering en de uitvoering van de AVG een positieve bijdrage geleverd op de omgang met privacy-gevoelige gegevens? Of is het juist ingewikkelder geworden?

Er is zeker sprake van een positief effect: men is veel bewuster gaan beoordelen of informatie ‘need to know’ of ‘nice to know’ is. Voor 25 mei 2018 waren veel regels gelijk aan de situatie van na 25 mei 2018, maar de media hebben ze wel meer voor het voetlicht gebracht. Je kunt het bovendien als bijkomend voordeel zien dat administraties een grote schoonmaak ondergaan. Een nadeel is natuurlijk de onzekerheid die iedere verandering met zich meebrengt. Veel grenzen van de AVG moeten in de praktijk nog duidelijker worden. Vraag je echt altijd toestemming voor een foto? Doe je dat voor iedere gelegenheid apart? Of voor een heel schooljaar? Of voor de hele schoolloopbaan? Feit blijft: de AVG is er. Zie het als een hulpmiddel om goed met de gegevens van onze leerlingen en medewerkers om te gaan. Zorg er voor dat je kunt aantonen dat je over de gemaakte keuzes goed hebt nagedacht en blijf in gesprek met de betrokkenen. Het is een must om met je leerlingen en medewerkers de omgangsvormen aangaande privacy vorm te geven, in een tijd waarin van mensen gigaveel informatie beschikbaar is.

Claartje Uitterhoeve is per 1 augustus 2016 aangesteld als Functionaris Gegevensbescherming (FG) bij het Graafschap College, naar aanleiding van de AVG. Ze werkt twee dagen als loopbaandecaan en één dag als FG. Uitterhoeve is afgestudeerd in het privacyrecht.

De zes grondslagen voor het verwerken van persoonsgegevens

  1. Toestemming van de betrokken persoon.
  2. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
  3. De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
  4. De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
  5. De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
  6. De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

U bent zelf verantwoordelijk om te beoordelen of u zich voor een verwerking van persoonsgegevens kunt baseren op één van de zes grondslagen. (Bron: autoriteitpersoonsgegevens.nl)