Nieuwe privacy regels mei 2018, waar staat uw instelling momenteel?
In mei 2018 wijzigen een aantal privacywetgevingen. Bent u al goed op de hoogte? Jeroen Bosman, Productmanager Training en Advies bij SLBdiensten schreef daarover:
Ik heb het gevoel dat inmiddels elke school zich wel bewust is dat de meldplicht datalekken (die van kracht is sinds 1 januari 2016) organisaties verplicht om een ernstig datalek te melden bij de Autoriteit Persoonsgegevens (AP). Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking of het kwijtraken van gegevens. De AP houdt toezicht op de naleving van de meldplicht en heeft deze taak ook in 2017 hoog op de agenda staan.
Toch blijft het opletten en zorgen dat je als school de zaken goed hebt geregeld! De AP kan organisaties direct een boete opleggen van maximaal € 820.000, als er sprake is van een overtreding van de Wet bescherming persoonsgegevens (Wbp) die opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid. In andere gevallen gaat hier een bindende aanwijzing aan vooraf.
Tot op heden heeft de AP nog geen boetes uitgedeeld aan schoolinstellingen, dus valt dat tot nu toe nog mee. Overigens als je ergens hebt gelezen dat de maximale boete € 900.000 is, dan klopt dat, maar dat geldt alleen voor telecombedrijven, maar dat even terzijde.
Maar wat niet is, kan nog komen…
Ben je al bezig met je school voor te bereiden op de gewijzigde privacywetgeving die in mei 2018 van kracht wordt? In 2017 is de Wbp nog van kracht. Veel organisaties zijn al bezig zich voor te bereiden op de wetgeving die vanaf 25 mei 2018 van toepassing is: de nieuwe Europese verordening voor de bescherming van persoonsgegevens: de algemene verordening gegevensbescherming (AVG).
De verplichtingen voor organisaties veranderen op een aantal punten. Zo hoeven organisaties vanaf die datum niet meer alle verwerkingen van persoonsgegeven te melden bij de AP. LET OP: dat betekent niet dat je helemaal niets meer hoeft te melden! Organisaties moeten zich wel kunnen verantwoorden voor hun werkwijze; de AP zal veel strenger gaan kijken naar het beleid van organisaties op het gebied van privacy en hoe bewust en zorgvuldig organisaties omgaan met hun verantwoordelijkheden op dat gebied. Organisaties moeten met documentatie kunnen aantonen dat zij passende organisatorische en technische maatregelen hebben getroffen om aan de eisen te voldoen, waaronder afspraken met leveranciers van schooladministratiesystemen of systeembeheerders – bewerkers – die hen ondersteunen. Daarnaast zijn organisaties in bepaalde gevallen verplicht om een privacy impact assessment (PIA) uit te voeren en een functionaris voor de gegevensbescherming (FG) aan te stellen (bron: www.autoriteitpersoonsgegevens.nl).
Gevolgen bij niet-melden
Wellicht is je eerste gedachte om een datalek niet te melden. Dat is niet handig en de kop in het zand steken. Zoals hierboven al uitgelegd wordt bij het melden geen boete uitgedeeld, behalve bij grove nalatigheid of opzet. Het niet-melden daarentegen levert juist een (extra zware) boete op als het datalek uitkomt. Je kunt je afvragen of je van werknemers kan eisen dat zij een datalek geheimhouden. Alhoewel dat vooral relevant is bij grote datalekken, is het de vraag of (ex-)werknemers hierover zullen blijven zwijgen of het naar buiten brengen. Op zich voorkomt het verhullen van een datalek in eerste instantie publieke aandacht, maar wanneer het lek alsnog bekend wordt, is de reputatieschade vele malen groter! En nog erger, betrokkenen worden niet geïnformeerd en dat is vervelend omdat ze geen maatregelen kunnen nemen zoals het wijzigen van wachtwoorden. Daarnaast loop je het risico dat mensen of organisaties die hierdoor schade lijden dit bij je willen verhalen. De claims en rechtszaken hierover brengen kosten met zich mee en leveren nog meer negatieve publiciteit op.
Weet je of jouw instelling een functionaris voor de gegevensbescherming (FG) moet aanstellen?
Weet je of je de processen, diensten (en producten) van school moet aanpassen om aan de vereisten van de AVG te voldoen?
Weet je wanneer je ‘bijzondere persoonsgegevens’ (bijvoorbeeld gegevens over gezondheid, ras, godsdienst, seksuele leven, politieke voorkeur en strafrechtelijk verleden, burgerservicenummer (BSN), etc.) mag vastleggen en/of koppelen aan andere gegevens?
Steeds meer scholen richten portalen in waarop medewerkers/ouders/leerlingen hun gegevens kunnen inzien of aanpassen. Deze portalen hebben voordelen, maar kunnen ook risico’s creëren. Bijvoorbeeld als mensen onbedoeld persoonsgegevens van anderen te zien krijgen. In februari van dit jaar was in het nieuws dat een 13-jarige leerling zijn eigen hackprogramma heeft gemaakt waarmee hij doodeenvoudig zijn eigen school heeft gehackt en bij privacy gevoelige gegevens kon komen. In dit geval heeft hij het vooraf bij de school gemeld en uitgelegd dat de school niet goed was beveiligd. Maar goed, als een 13-jarige dit al kan… Het is dus van belang dat organisaties dit soort portalen goed beveiligen en – als dat nodig is – alleen toegang verlenen tot gegevens door middel van 2-factorauthenticatie. Hoe heeft jouw school de portalen beveiligd? En als het dan toch gebeurt, er liggen gegevens van je school op straat, weet je dan wat je wel of niet moet doen? Heb jij privacy goed geregeld?!
Waar staat jouw school op dit moment ten aanzien van het beveiligen van privacygevoelige gegevens? En wat heb je tot op heden hiervoor gedaan? Ik begrijp best dat als het allemaal nog niet goed geregeld is, je dat niet aan de grote klok gaat hangen. Ik roep vooral scholen op te reageren, die vinden dat ze e.e.a. wel al goed voor elkaar hebben te vertellen wat ze zoal hebben gedaan en waar ze tegenaan zijn gelopen, zodat we er met z’n allen van kunnen leren! Uiteraard is er op internet veel te vinden over wat je allemaal wel en niet moet doen. Ik denk dat juist de interactie met elkaar, het met elkaar delen van je ervaring in combinatie met aanvullingen van een specialist, de leercurve voor ons allen veel steiler kan maken. Ik hoor graag van je!