Ben jij klaar voor de Algemene Verordening Gegevensbescherming?

Halverwege 2016 is de General Data Protection Regulation (GDPR) of in het Nederlands de Algemene Verordening Gegevensbescherming (AVG) vastgesteld. Deze heeft tot doel de privacywetgeving binnen de EU te harmoniseren. De verordening treedt op 28 mei 2018 in werking. Onderstaand een samenvatting van de verplichtingen die de verordening met zich meebrengt voor onderwijsinstellingen en eventuele sancties die gelden wanneer niet aan deze verplichtingen wordt voldaan. Let op: het aantal verplichtingen waaraan voldaan dient te worden is omvangrijk en kan het nodige werk met zich meebrengen. Bovendien kunnen de sancties fors zijn. Dus wees voorbereid en begin als je nog niet begonnen bent zo snel mogelijk.

Verplichtingen voor onderwijsinstellingen

De algemene verordening gegevensbescherming brengt de volgende verplichtingen met zich mee voor onderwijsinstellingen:

  • Bij het verzamelen van persoonsgegevens moet worden aangegeven:
    • de identiteit en contactgegevens van de onderwijsinstelling;
    • de contactgegevens van de functionaris voor gegevensbescherming;
    • de verwerkingsdoeleinden;
    • ontvangers of categorieën van ontvangers van de persoonsgegevens;
    • periode gedurende welke persoonsgegevens worden opgeslagen;
    • de rechten van betrokkenen m.b.t. rectificatie van gegevens, wissen van gegevens etc.;
    • het recht van betrokkenen om toestemming voor verwerking in te trekken;
    • het recht van betrokkenen om een klacht in te dienen bij de toezichthoudende autoriteit;
    • of de verstrekking van gegevens een wettelijke verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten en of betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt;
    • het bestaan van eventuele geautomatiseerde besluitvorming (bijvoorbeeld digitaal toetsen en/of de inzet van adaptieve software).
  • Wanneer de verzameling van gegevens niet noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is ( of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen), de verwerking niet noodzakelijk is om te voldoen aan een wettelijke verplichting die op de onderwijsinstelling rust, niet noodzakelijk is om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen, niet noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de onderwijsinstelling is opgedragen en niet noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de onderwijsinstelling of van een derde (behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is), moet door betrokkenen toestemming worden gegeven voor verwerking van gegevens (denk bijvoorbeeld aan foto- en video-materiaal). De onderwijsinstelling moet kunnen aantonen dat betrokkenen toestemming hebben gegeven.
  • Het moet voor betrokkenen duidelijk zijn welke gegevensbewerkingen plaatsvinden en met welk doel.
  • Er moet duidelijk worden aangegeven hoe betrokkenen gebruik kunnen maken van hun recht om gegevens op te vragen, hun recht van rectificatie, hun recht op wissing van gegevens, hun recht op vergetelheid, hun recht op beperking van de verwerking, hun recht van gegevensoverdraagbaarheid, hun recht van bezwaar tegen archivering en hun recht om bezwaar te maken tegen volledig geautomatiseerde verwerking (denk aan digitaal toetsen en/of het gebruik van adaptieve software).
  • Indien gegevens gerectificeerd moeten worden is de onderwijsinstelling ervoor verantwoordelijk dat alle verwerkers van deze rectificatie op de hoogte worden gebracht.
  • Er moet duidelijk worden aangegeven hoe lang gegevens worden bewaard en met welk doel.
  • Persoonsgegevens kunnen gearchiveerd worden met het oog op algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden. Er moeten dan wel voldoende waarborgen zijn ingebouwd voor betrokkenen voor het recht op rectificatie, het recht op wissing, het recht op vergetelheid, het recht op beperking van de bewerking, het recht van gegevensoverdraagbaarheid en het recht van bezwaar tegen archivering.
  • De verantwoordelijkheden en aansprakelijkheid van de onderwijsinstelling moeten worden vastgesteld voor elke verwerking van persoonsgegevens die door of namens hem wordt uitgevoerd.
  • Voor alle gegevensverwerkingen moet worden bepaald welke risico’s deze meebrengen voor betrokkenen in termen van lichamelijke, materiële of immateriële schade.
  • De onderwijsinstelling en verwerkers dienen rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, passende technische en organisatorische maatregelen te treffen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:
    • de pseudonimisering en versleuteling van persoonsgegevens; 4.5.2016 L 119/51 Publicatieblad van de Europese Unie;
    • het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
    • het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
    • een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
  • Indien een verwerking gepaard gaat met hoge risico’s (bijvoorbeeld doordat vernieuwende technologie wordt ingezet) dient een gegevensbeschermingseffectbeoordeling (impactanalyse) te worden opgesteld. Indien daaruit blijkt dat risico’s niet volledig afgedekt kunnen worden dient voor de bewerking vooraf toestemming te worden gevraagd bij de toezichthoudende autoriteit.
  • Een dergelijke gegevensbeschermingseffectbeoordeling dient ook te worden opgesteld wanneer gebruik wordt gemaakt van een gemeenschappelijke applicatie- of verwerkingsomgeving (denk bijvoorbeeld aan de pseudonimiseringsvoorziening).
  • Als een betrokkene informatie vraagt over de verwerking van gegevens moet er binnen een maand geantwoord worden door de onderwijsinstelling. Lukt dit niet of wil de onderwijsinstelling geen antwoord geven, dan moet hij dit binnen een maand aangeven en moet hij ook aangeven bij welke instantie de betrokkene een klacht kan indienen.
  • Wanneer een betrokkene onevenredig vaak om informatie vraagt over de verwerking van gegevens kan de onderwijsinstelling weigeren om informatie te verstrekken of gemaakte kosten in rekening brengen bij betrokkene. Het is wel aan de onderwijsinstelling om aan te tonen dat er sprake is van onevenredigheid.
  • De naleving van de verordening moet kunnen worden aangetoond middels beleidsmaatregelen, door bij aanbestedingen eisen te stellen aan ontwerp en standaardinstellingen en eventueel door certificering.
  • Zowel de onderwijsinstelling als eventuele verwerkers moeten een vertegenwoordiger aanwijzen die aanspreekpunt is voor toezichthoudende organen.
  • De onderwijsinstelling moet een (interne of externe) functionaris gegevensbescherming aanwijzen. Deze moet onafhankelijk zijn en direct rapporteren aan het hoogste bevoegde orgaan binnen de organisatie.
  • Er dienen bewerkersovereenkomsten te worden opgesteld tussen de onderwijsinstelling en eventuele verwerkers;
  • Onderwijsinstelling en verwerkers dienen een een register bij te houden van verwerkingsactiviteiten die namens de onderwijsinstelling hebben plaatsgevonden;
  • In geval van een inbreuk met betrekking tot de persoonsgegevens dient de onderwijsinstelling hiervan waar mogelijk binnen 72 uur melding te maken bij de toezichthoudende autoriteit.
  • Indien schade dreigt voor betrokkenen dienen ook zij z.s.m. op de hoogte te worden gebracht van een inbreuk met betrekking tot de persoonsgegevens.

Eventuele sancties

Wanneer er sprake is van een inbreuk met betrekking tot de persoonsgegevens dient de onderwijsinstelling eventuele schade aan betrokkene(n) te vergoeden. Daarnaast kan de toezichthoudende autoriteit de onderwijsinstelling een boete opleggen. Afhankelijk van de bepalingen uit de verordening die van toepassing zijn kan deze boete oplopen tot max Eur 10 miljoen of 2% van de totale wereldwijde omzet van een onderneming, dan wel max Eur 20 miljoen of 4% van de totale wereldwijde omzet van een onderneming.

De uiteindelijke hoogte van de boete is afhankelijk van:

  • aard, duur en omvang van de inbreuk;
  • getroffen maatregelen om schade van inbreuk te voorkomen;
  • mate van verantwoordelijkheden gegeven maatregelen die zijn genomen op basis van artikel 25 en 32 van de verordening;
  • eerdere relevante inbreuken;
  • de mate van samenwerking met het toezichthoudende orgaan om schade te beperken;
  • categorieën van persoonsgegevens waarop inbreuk heeft plaatsgevonden;
  • de wijze waarop het toezichthoudende orgaan is geïnformeerd over de inbreuk;
  • naleving van in artikel 58 lid 2 van de verordening genoemde maatregelen, voor zover eerder m.b.t. de onderwijsinstelling of een verwerker genomen;
  • de mate van aansluiting bij goedgekeurde gedragscodes of certificeringen;
  • alle overige verzwarende of verzachtende factoren.

Voorkomen is beter dan genezen

Het is duidelijk: voorkomen is beter dan genezen. Als onderwijsinstelling ontkom je er niet meer aan om een adequaat informatiebeveiligingsplan op te stellen dat alle aspecten van de AVG afdekt en een adequate organisatie neer te zetten die toeziet op uitvoering en onderhoud van dit plan.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *