De 5 vuistregels

Wanneer in mei de Europese Algemene Verordening Gegevensbescherming (AVG) van toepassing wordt, worden er hogere en aanvullende eisen aan privacy gesteld. In deze 5 vuistregels worden de belangrijkste uitgangspunten voor het verantwoord omgaan met persoonsgegevens samengevat.

 

1) Doelbepaling en doelbinding

Persoonsgegevens worden alleen gebruikt voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Deze doeleinden zijn concreet en voorafgaand aan de verwerking vastgesteld. Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doelen waarvoor ze zijn verkregen.

 

2) Grondslag

Is er minimaal een wettelijke grond voor de verwerking?

Verwerking van Persoonsgegevens is gebaseerd op één van de wettelijke grondslagen: toestemming, overeenkomst, de wet, publiekrechtelijke taak, vitaal belang van de betrokkene, of gerechtvaardigd belang. Voor veruit de meeste gegevens is dit de overeenkomst tot het geven van onderwijs die we met leerlingen en hun ouders zijn aangegaan. Bij alle registraties op basis van toestemming, zal SCOPE aan de betrokkene de mogelijkheid bieden om de gegeven toestemming te wijzigen of in te trekken.

 

3) Dataminimalisatie

Bij de verwerking van Persoonsgegevens blijven de hoeveelheid en het soort gegevens beperkt: het type persoonsgegevens moet redelijkerwijs nodig zijn om het doel te bereiken; ze staan in verhouding tot het doel (= proportioneel). Het doel kan niet met minder, alternatieve of andere gegevens worden bereikt. Dit betekent ook dat gegevens niet langer worden bewaard dan noodzakelijk.

 

4) Transparantie

De school legt aan betrokkenen (leerlingen, hun ouders en medewerkers) op transparante wijze verantwoording af over het gebruik van hun persoonsgegevens net als over het gevoerde beleid op dit gebied. Deze informatievoorziening vindt ongevraagd plaats, bij voorkeur via de websites van de scholen, intranet of de schoolgids. Daarnaast hebben deze betrokkenen recht op verbetering, aanvulling, verwijdering of afscherming van hun Persoonsgegevens. Bovendien kunnen betrokkenen zich verzetten tegen het gebruik van hun gegevens.

 

5) Data-integriteit

Er worden maatregelen getroffen om te waarborgen dat de te verwerken persoonsgegevens juist en actueel zijn.

Voorbeeld: als iemand van buitenaf zomaar de persoonsgegevens kan wijzigen, dan zijn die gegevens niet meer 'integer'. De kwaliteit van de gegevens wordt allereerst bepaald door de medewerkers die gegevens invoeren. Zij moeten de juiste instructies krijgen om verantwoordelijk met persoonsgegevens om te kunnen gaan. Ook de programma's die gebruikt worden om de gegevens in op te slaan moeten integer zijn. Door het nemen van passende technische of organisatorische maatregelen zorgt de school er voor dat persoonsgegevens op een passende wijze zijn beveiligd en zijn beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.