alle artikelen

Over de AVG: “De focus ligt nog te veel op laaghangend fruit”

De Algemene Verordening Gegevensbescherming (AVG) ging in 2018 van kracht. Sommige scholen kwamen direct in actie om hun informatiebeveiligings- en privacybeleid te verbeteren, andere hadden een iets langere opstarttijd nodig. Hoe is het nu, bijna drie jaar na dato, gesteld met de AVG op scholen? Clemens Geenen, oprichter van bureau PEP Onderwijsadvies (PEP staat voor kracht, energie en spirit): “Veel scholen zijn goed bezig maar hier en daar zie ik scholen die het vooral op papier hebben geregeld. De uitdaging is juist om iedereen in je school zover te krijgen om zorgvuldig om te gaan met andermans persoonsgegevens. Zo voorkom je dat AVG een papieren tijger wordt!” 

Clemens Geenen is van origine docent. Via de Business School in Rotterdam maakte hij de overstap naar het bedrijfsleven. “Maar het lijntje met het onderwijs is altijd gebleven”, vertelt Clemens. In 2001 ging hij werken voor een adviesbureau voor het (basis)onderwijs en in 2017 richtte hij PEP Onderwijsadvies op. Dit bureau richt zich op beleidsontwikkeling, goed bestuur, medezeggenschap, bedrijfsvoering en AVG. “De kennis en ervaring die ik in het bedrijfsleven heb opgedaan, wil ik delen met scholen. Een directeur of bestuurder is vaak onderwijsinhoudelijk gedreven, maar scholen moeten tegenwoordig ook bedrijfsmatiger werken.” En daar helpt Clemens de scholen graag bij, want zeker op het gebied van AVG valt er volgens hem nog veel winst te behalen, in het bijzonder voor kleine en middelgrote schoolbesturen.

Best practice

“Doordat ik in de rol van AVG-adviseur of Functionaris Gegevensbescherming voor veel verschillende besturen werk, kom ik geregeld oplossingen tegen die ook bruikbaar zijn voor andere scholen.” Dat is precies waar de kansen liggen volgens Clemens. “In het onderwijs zijn we vaak bezig het wiel opnieuw uit te vinden en dat is zonde van alle tijd en energie.”

Hij helpt scholen om modellen toe te spitsen op hun eigen situatie. “Via een AVG-scan check ik hoe het gesteld is met de privacy en informatiebeveiliging binnen de school. Uit deze scan vloeien punten voort waar de school aan moet werken. In die waslijst brengen we prioriteit aan waar we vervolgens een stappenplan op afstemmen. Dit is precies hoe de Autoriteit Persoonsgegevens (AP) het graag ziet: dat je wéét wat je nog niet op orde hebt en dat je wéét hoe je dit wilt gaan aanpakken.”

Een prachtig plan van aanpak brengt je echter niet direct naar de finishlijn. “Ik kan als adviseur natuurlijk wel allemaal ideeën spuien, maar er moet ook draagvlak voor zijn binnen de organisatie. Het is het team op de school dat de plannen uiteindelijk moet uitvoeren.” Sinds 2018 ziet Clemens gelukkig dat er steeds meer bewustzijn komt. “Veel leerkrachten zijn zich goed bewust van het belang van een goede privacybescherming van persoonsgegevens van leerlingen én van collega’s.”

Resterende uitdagingen

Maar we zijn er nog niet, stelt Clemens. Hij ziet nog enkele belangrijke AVG-uitdagingen voor scholen. “De focus ligt momenteel te veel op laaghangend fruit. Scholen beginnen bijvoorbeeld met het in kaart brengen van de benodigde verwerkersovereenkomsten. Vervolgens hebben veel scholen wel de overeenkomsten, maar geen verwerkingsregister (hierin staat informatie over de persoonsgegevens die je verwerkt). In de praktijk blijkt dat gemiddeld tachtig procent van de overeenkomsten alweer na twee jaar op één of meer punten verouderd is. Dat betekent dat je regelmatig moet controleren of deze overeenkomsten nog up-to-date zijn.”

Een andere uitdaging is het klakkeloos overnemen van bestaande modellen. “Hier wordt ‘leren van elkaar’ mooi in de praktijk gebracht, maar je moet niet vergeten dat dit generieke modellen zijn. Je kunt wel een-op-een een procedure datalekken overnemen, maar als vervolgens niemand weet hoe ze moeten handelen als die situatie zich daadwerkelijk voordoet, heb je als school een groot probleem. Je moet die documenten vertalen naar je eigen organisatie. Anders heb je slechts een soort schijnveiligheid.”

Een laatste punt dat Clemens scholen op het hart wil drukken is: schoon je archieven op! “Welke gegevens heb je in het leerlingvolgsysteem en wat ben je verplicht na twee, drie of vijf jaar nadat een leerling de school heeft verlaten, te verwijderen? Ook hebben scholen, vaak onnodig, nog een dossierkast met papieren. Scholen zijn bang belangrijke gegevens kwijt te raken, toch moet je ook deze kasten opruimen en alleen digitaliseren wat écht nodig is.”

Gezond verstand

De laatste uitdaging is dat er volgens Clemens ook de nodige onwaarheden circuleren over de AVG: “Door de AVG zou er nog maar heel weinig mogen en moet je voor bijna alles toestemming of een verwerkersovereenkomst hebben. Ik adviseer scholen om hun gezond verstand te gebruiken en niet alles klakkeloos aan te nemen. Een voorbeeld is de ‘Handreiking privacy en registratie corona’ van de PO-Raad van begin maart die veel vragen oproept. Volgens deze Handreiking mag een school bijvoorbeeld met toestemming van de ouders registreren of een leerling positief is getest. De PO-Raad verwijst hierbij naar het overleg dat zij met de AP heeft gehad. De AP raadt echter op zijn website scholen af om op basis van toestemming corona te registreren. Dus hoe zit het echt? Een Functionaris Gegevensbescherming kan de school helpen om hier antwoorden op te vinden. Ook dat hoort bij zijn taak!”