Artikel 9 mei 2018

Niet: wat moet je met de AVG. Maar: wat wil en kun je ermee?

Dit is hét moment om privacy ‘eindelijk’ goed op de kaart te zetten binnen je organisatie. Pascal Marcelis, beleidsmedewerker ICT en Functionaris Gegevensbescherming (FG) bij Onderwijsgroep Buitengewoon is er zeker van. Het is een actueel onderwerp dat breed speelt in de samenleving - denk aan alle ophef rond Facebook - en dankzij wetgeving is er nu een noodzaak gecreëerd. Scholen krijgen geen vrijstellingen meer in de Algemene Verordening Gegevensbescherming (AVG).

Komen er echt direct sancties en hoge boetes als je als school of bestuur straks niet voldoet aan de AVG? Pascal Marcelis verwacht van niet. Wel is volgens hem duidelijk dat schoolleiders en leerkrachten intensief moeten investeren in de AVG: zij zijn - samen met het eindverantwoordelijke bestuur - uiteindelijk verantwoordelijk voor de privacy van hun leerlingen en personeel. “Het hoort bij een goede bedrijfsvoering. En hoe groot is de reputatieschade als er iets mis gaat? Bovendien: Privacy is een grondrecht van ieder mens!”


Van moeten naar willen

Het is belangrijk om de omslag te maken van ‘moeten’ naar ‘willen’, vindt Pascal Marcelis. "De nieuwe wet, de handhavingsbevoegdheden van de Autoriteit Persoonsgegevens en eventuele boetes, sancties en reputatieschade zijn factoren 'van buitenaf' die bepalen dat we iets met de AVG moeten. Interessanter is echter de vraag: waarom zouden we hier iets mee willen? Het antwoord is dan eigenlijk heel simpel: vanwege de veiligheid voor onze (soms extra kwetsbare) leerlingen, voor onze medewerkers, ouders/verzorgers en samenwerkingspartners!”

Integrale aanpak

De uitvoering hiervan is wat minder simpel, realiseert ook Pascal Marcelis zich. “De AVG komt erbij. De werkdruk is al hoog en de nieuwe regels over bijvoorbeeld datalekken brengen extra registratie met zich mee.” Pascal pleit voor een integrale aanpak van het onderwerp veiligheid. “Investeer in zowel de fysieke, sociale als informatieveiligheid van je organisatie. Stel een jaarplan op met concrete acties, doelen en verantwoordelijke personen. Stimuleer daarnaast de bewustwording: want werken aan privacy doe je met elkaar. Maak het onderwerp bespreekbaar, organiseer sessies, formuleer quick wins in de teams, maak Q en A’s en zorg voor training en begeleiding. En doe dat herhaaldelijk.”

Spilfiguur

De Functionaris Gegevensbescherming is spilfiguur hierin. “Het eerste dat we bij Buitengewoon gedaan hebben toen we startten met de aanpak van de AVG was een FG aanwijzen en opleiden. Niet achteraf, als alles al loopt, maar meteen. Ik kreeg die verantwoordelijkheid als ICT-beleidsmedewerker erbij. Omdat ik ‘intern’ ben, en eigenlijk dus ook mezelf monitor, is het goed als ik af en toe iemand van buiten in kan huren. Zoals een jurist bij ingewikkelde zaken, of gewoon om mijn eigen aanpak te toetsen.”

Vliegwiel

Van moeten naar willen én kunnen. Wat kun je met de AVG? Pascal Marcelis: “Gebruik de wet als vliegwiel om het onderwerp privacy nu eindelijk eens goed uit te werken. Veel medewerkers hebben het idee dat het allemaal nieuw is, maar 95% had eigenlijk al gemoeten sinds de Wet bescherming persoonsgegevens in 2001. We hebben een inhaalslag te maken. Stapsgewijs, met elkaar en ieder vanuit de eigen verantwoordelijkheid. En gelukkig zijn er legio handreikingen, voorbeelden en tools, zoals die van Kennisnet. Het wiel hoeft niet opnieuw uitgevonden te worden!"

D-Day

Pascal Marcelis wil bij Onderwijsgroep Buitengewoon een ‘Data-D-Day’ organiseren. “We bewaren tegenwoordig snel veel te veel. Gewoon omdat het kan. Het aantal Gigabytes waarover we kunnen beschikken, groeit almaar. Dus waarom zouden we opruimen? Nou, in het kader van de AVG dus. Dat betekent je conformeren aan bewaartermijnen en persoonsgegevens niet langer bewaren dan nodig. Op die bewuste ‘Data-D-Day’ staan we met z’n allen, de scholen en ons bestuursbureau, stil bij die bewaartermijnen en bij alle gegevens die we opslaan (soms wel op tien plekken). Iedereen kijkt wat hij/zij waar heeft vastgelegd. Wat bewaren? En wat vernietigen? Zowel op papier, als in de mail, het netwerk en online.”

Tips

Pascal Marcelis heeft veel tips en adviezen paraat over de aanpak van de AVG in een onderwijsorganisatie. Zo is er bijvoorbeeld de app Knowingo die je in kunt zetten met AVG-content om medewerkers op een eenvoudige, leuke en leerzame manier te activeren en dingen te leren (e-learning). En ken je de tools en info van Kennisnet in een speciale online wiki? Veel tips vindt je ook in de presentatie van Pascal Marcelis tijdens een KICK bijeenkomst in het voorjaar van 2018. Bekijk ze eens!