Veel gestelde Vragen

Veel gestelde vragen

1. Wat zijn persoonsgegevens?

De wet definieert persoonsgegevens als "alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon". Denk aan NAW-gegevens, e-mailadressen, IP-adressen, locatiegegevens en smartphone-identifiers. Maar een ook een klantprofiel, aankoopgeschiedenis, een foto of klikgedrag dat bij een persoonsgegeven hoort. Het gaat immers om "alle informatie over...".

2. Wat wordt verstaan onder het verwerken van persoonsgegevens?

Verwerken is een breed begrip, zelfs 'opslaan' is al verwerken. Maar ook gebruiken, analyseren, combineren of verwijderen is verwerken. Je kunt er dus eigenlijk gewoon vanuit gaan dat je in de dagelijkse praktijk persoonsgegevens aan het verwerken bent. Denk aan het raadplegen/muteren in SomToday, It’s Learning, Zuludesk etc…

3. Wanneer mag CSW persoonlijke data gebruiken, oftewel persoonsgegevens verwerken?

Dat mag… als je je maar aan de wetgeving houdt. Voor de verwerking van persoonsgegevens is een rechtmatige 'grondslag' nodig.

  • Er sprake is van een wettelijke verplichting. CSW geeft invulling aan de uitvoering van de wet op het Voortgezet Onderwijs
  • Als de gegevens noodzakelijk zijn om een overeenkomst uit te voeren.Dit gaat echt alleen om noodzakelijke gegevens, en is dus een beperkte grondslag. Denk aan naw-gegevens voor het bezorgen van een pakketje.
  • Als het past binnen het gerechtvaardigd belang en de impact op de privacy beperkt is. Je kunt gegevens zonder toestemming verwerken, maar dan moet je wel de impact op de privacy van het individu verminderen. Bijvoorbeeld door gegevens te pseudonimiseren of anonimiseren.
  • Als je ondubbelzinnige toestemming hebt van het individu, bijvoorbeeld als iemand aantoonbaar heeft aangevinkt een nieuwsbrief te willen ontvangen.

4. Moet CSW altijd een verwerkersovereenkomst afsluiten?

Als men een verwerker inschakelt, moet CSW inderdaad een verwerkersovereenkomst afsluiten. Dit is niet nieuw, want dat moet vanaf 2016 al. De wet geeft een vast lijstje met onderwerpen dat CSW moet behandelen in de verwerkersovereenkomst.

5. Waar moet CSW ouders en leerlingen over informeren bij het verzamelen van persoonsgegevens?

Transparantie is een belangrijk onderdeel van de wet en als organisatie ben je verplicht personen te informeren over de verwerking van hun persoonsgegevens. Zo moet je informatie verstrekken over de doeleinden waarvoor je gegevens verwerkt, welke rechten personen hebben en hoe ze daar gebruik van kunnen maken. Dit doet CSW o.a. via een Privacyreglement.

6. Wat zijn de belangrijkste privacy-vuistregels binnen CSW?

  • Sla bestanden altijd veilig op:
  • Op het CSW netwerk (G:schijf)
  • In OneDrive of SharePoint (Office 365)
  • NIET op een USB stick of harde schijf
  • Mail bestanden niet onnodig rond, maar deel ze via OneDrive of SharePoint
  • "Lock" altijd je desk/laptop als je je werkplek verlaat
  • Inloggen op het netwerk gaat via de goedkeuring met de Authenticator

7. Waar kan ik informatie vinden over de AVG?

Op de website van CSW is een pagina ingericht waarop de specifieke informatie voor CSW is te vinden. Maar ook de website van de Autoriteit Persoonsgegevens (AP) Scholen & de AVG is een belangrijke bron. Daarnaast heeft ook Kennisnet een overzichtelijke website gemaakt. AVG-Kennisnet.

 

8. Wat moet ik doen bij een mogelijk datalek?

Een datalek is de inbreuk op de beveiliging van persoonsgegevens. Een persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke levende persoon. Persoonsgegevens kunnen direct of indirect identificeerbaar zijn.

Een datalek betreft alle beveiligingsincidenten waardoor de bescherming van persoonsgegevens op enig moment is doorbroken waardoor de persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking van persoonsgegevens. Het is daarbij niet van belang of de verantwoordelijke passende technische of organisatorische beschermingsmaatregelen had getroffen of niet.

Een datalek is:

  • een kwijtgeraakte USB-stick waar zich persoonsgegevens op bevinden;
  • een gestolen werklaptop/tablet/mobiele telefoon;
  • een vastgestelde inbraak door een hacker;
  • verzending van e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden
  • een besmetting met ransomware als er geen bruikbare back-up teruggezet kan worden
  • het verstrekken van een wachtwoord aan een derde
  • papieren met persoonsgegevens belanden op straat
  • een kwetsbaarheid in een applicatie waardoor persoonsgegevens gelekt worden

Meldt dit per omgaande via meldpuntAVG@cswalcheren.nl. Het datalek moet immers binnen drie werkdagen gemeld zijn bij de Autoriteit Persoonsgegevens. Noteer wat voor gegevens kwijt zijn en vooral ook van wie. De personen op deze lijst moeten ingelicht worden door CSW.

9. Waar kan je terecht voor vragen en/of een melding?

 Voor vragen en/of een melding over privacy stuur je een mail naar meldpuntAVG@cswalcheren.nl.

10. Moet de school toestemming vragen voor het publiceren van beeldmateriaal van leerlingen?

Denk bijvoorbeeld aan Twitter, Instagram, Snapchat of een online fotoalbum.

Jazeker. Daar gelden zelfs heel uitgebreide regels over. Omdat het toestemming vragen flink wat beslommeringen voor de schooladministraties betekent is CSW zich nog aan het beraden hoe hier het beste mee om te gaan.

Voorlopig gaat CSW de toestemming regelen via het uitzetten van een enquête, een bericht via ELO of e-mail. Dit is nogal bewerkelijk en heeft niet de voorkeur. SomToday werkt aan een module waarbinnen het regelen van toestemming eenvoudig is te realiseren. SomToday heeft op hun website een item over de AVG SomToday&AVG.

Ook mag een school niet zomaar meer een online fotoalbum publiek toegankelijk maken. Beveiligd inloggen bij een fotoalbum is verplicht. Voor het publiceren van foto’s op bijvoorbeeld sociale media kunnen we het beste organiseren via vaste medewerkers die met kennis van zaken de publicatie op zich nemen.

11. Wat gaat CSW nog meer doen om voorbereid te zijn op de nieuwe privacywet?

CSW is goed op weg. Op de website is een aparte pagina ingericht met (beleids)informatie. CSW gaat verder nog een verwerkingsregister bijhouden, een privacyreglement invoeren, een informatiebeveiligingsplan en een toestemmingsbeleid beeldmateriaal opstellen.

12. Zijn er richtlijnen hoe om te gaan met Social Media?

Jazeker. Zie hiervoor het vastgestelde protocol. Klik hier voor het protocol Social Media.

13. Hoe zit het met de bewaartermijnen van persoonsgegevens van leerlingen?

Hiervoor zijn duidelijke richtlijnen. Er wordt gewerkt aan een totaaloverzicht in samenspraak met het ministerie van OCW. Wel mag je gegevens in een archief langer bewaren voor bepaalde doeleinden zoals historisch onderzoek of als basis voor statistieken en rapportages. Als de gegevens niet meer nodig zijn moeten ze vernietigd/gewist worden. Voorbeeld

14. Moet ik als zorgmedewerker (bijvoorbeeld psycholoog, orthopedagoog of Medewerker verzuim) toestemming vragen voor het noteren van bijzonder persoonsgegevens?

Om te beginnen noteer je enkel wat persé noodzakelijk is voor het schoolproces. Je mag bijvoorbeeld niet zomaar noteren welke ziekte een leerling heeft, maar wel wanneer de leerling er naar schatting weer zal zijn. Als het echt noodzakelijk en voordelig is voor het proces van de leerling kan het echter wel, mits de gegevens goed afgeschermd zijn. Voor andere soorten persoonsgegevens moet wel toestemming gevraagd worden.

15. Windows (Microsoft) zou niet netjes met persoonsgegevens omgaan. Hoe zit dat?

Op de beheerde werkplekken zijn de correcte privacy-instellingen geïnstalleerd.

16. Mogen journalisten zomaar een foto publiceren zonder toestemming?

Voor journalistieke doeleinden gelden binnen de AVG uitzonderingen. Zie deze pagina

17. Moeten Google, Apple en Microsoft voldoen aan de AVG?

Ja, omdat ze persoonsgegevens van Europeanen verwerken. Microsoft heeft zich gecommitteerd aan de AVG. Google bijvoorbeeld nog niet. Veel bedrijven buiten de EU negeren de AVG. Amerikaanse bedrijven verschuilen zich vaak achter de Privacy Shield en de Cloud Act. Dat is niet voldoende en met de producten of diensten van deze bedrijven werkt CSW niet. Dropbox is hiervan een voorbeeld.

18. Moeten ouders toestemming geven om een OSO dossier te versturen?

Nee, er is GEEN toestemming nodig voor de uitwisseling van het OKR bij een overdracht vanaf een basisschool. Net als bij het papieren OKR moet de basisschool voor de uitwisseling van het digitale overstapdossier ouders/verzorgers wel inzage geven in het dossier.

Ouders/verzorgers kunnen het OKR op de huidige school doornemen, waarna de school aangeeft dat er inzage is geweest. Wanneer de ouders/verzorgers het niet eens zijn met de inhoud van het dossier (akkoord nee) kan de school eventuele opmerkingen van de ouders/verzorgers aan het dossier toevoegen. Vervolgens kan de huidige school het dossier klaarzetten voor de nieuwe school. Zodra een leerling is aangemeld, kan de nieuwe school het overstapdossier opvragen bij de huidige school.

Voor de overdracht van het OKR vanaf een middelbare school is WEL toestemming nodig van de ouders/verzorgers (of van de leerling bij 16 jaar of ouder). In het overstapdossier moet worden aangevinkt dat de ouders/verzorgers toestemming hebben gegeven.

Wat is inzage?
De basisschool heeft een informatieplicht richting de ouders, stelt de Autoriteit Persoonsgegevens (AP). Dat betekent dat de school uit zichzelf (actief) inzage geeft aan de ouders. De ouder moet het dossier ontvangen, of inzage krijgen op school. Ook moet de school ervoor zorgen dat de naleving van deze informatieplicht uit het leerlingdossier blijkt. Bij het klaarzetten van het overstapdossier voor OSO moet een vinkje worden gezet bij ‘inzage’ – een veld in het overstapdossier.

19. Is er toestemming van ouders/verzorgers nodig om privacygevoelige bijlagen toe te voegen aan het overstapdossier?

Bij privacygevoelige bijlagen moet je denken aan bijvoorbeeld een ontwikkelperspectief (OPP), handelingsplan, dyslexie- of dyscalculieverklaring, sociaal emotioneel functioneren of psychologisch onderzoeksverslag.

Uitwisseling van bijzondere persoonsgegevens (zoals medische gegevens) is alleen toegestaan als dat volgens de huidige school nodig is in het kader van het leren en begeleiden van de leerling op de nieuwe school.

Het standaard uitwisselen van bijzondere persoonsgegevens is dus niet toegestaan. Ook niet als dat handig is en de ouders daarvoor toestemming hebben gegeven.

Op grond van het Besluit uitwisseling leer- en begeleidingsgegevens art. 5 en 6  mogen gegevens zoals die in het OPP zijn opgenomen, worden uitgewisseld.

Dat wil overigens niet zeggen dat alle eventuele bijlages, zoals medische rapportages en behandelplannen van professionele hulpverleners, bij het OPP ook zomaar mogen worden uitgewisseld.

Een volledig psychologisch rapport mag, als dat helemaal relevant is, worden uitgewisseld, maar daarbij moet per geval een afweging gemaakt worden. Soms zal er dus voor gekozen moeten worden om dit te doen tijdens de warme overdracht, in andere gevallen zal er voor gekozen moeten kunnen worden om een (deel van het) psychologisch rapport uit te wisselen.

Let op: sommige hulpverleners verbieden het uitwisselen van hun rapport, of er moet voor uitwisseling toestemming worden gevraagd aan de hulpverlener.

20. Wat mag een leerplicht-/RMC-ambtenaar nu eigenlijk opvragen?

Belangrijk uitgangspunt bij het delen van informatie is:

  • Wat regelt de wet (grondslag)
  • Dataminimalisatie.
  1. Leerplichtambtenaren hebben vanuit de Leerplichtwet een wettelijk recht op informatie, waarbij het vooral gaat om verzuiminformatie.
  2. Een leerplichtambtenaar heeft alleen recht op die informatie die hij/zij strikt noodzakelijk nodig heeft voor de uitoefening van het werk. Een leerplichtambtenaar hoeft niet te zien dat een voorbeeldige leerling één uur mist…

Een leerplicht-/RMC-ambtenaar mag geen andere persoonsgegevens verwerken dan:

  1. naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens van de leerplichtige;
  2. een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
  3. nationaliteit en geboorteplaats;
  4. gegevens als bedoeld onder 1, van de ouders, voogden of verzorgers van de leerplichtige;
  5. gegevens met betrekking tot de inschrijving of afschrijving van de leerplichtige;
  6. gegevens ten aanzien van het schoolverloop, het schoolverzuim en van het beroep op een vrijstelling van de leerplicht;
  7. andere dan de onder 1 tot en met 6 bedoelde gegevens waarvan de verwerking is vereist of noodzakelijk is met het oog op de toepassing van de Leerplichtwet 1969 of een andere wet.

Andere informatie delen mag niet. Een account in een leerlingvolgsysteem (Magister, Parnasys , SOMtoday, enz) mag dan ook niet!   (Daar mag een ambtenaar van gemeente of RMC zelfs niet eens om vragen!)