Wat te doen bij schending AVG?

Een AVG-schending in het onderwijs is een situatie waarbij persoonsgegevens van leerlingen, ouders of medewerkers onrechtmatig worden verwerkt of onvoldoende worden beschermd. Wanneer dit gebeurt, moet een school snel handelen om de schade te beperken en aan wettelijke verplichtingen te voldoen. In deze gids beantwoorden we de belangrijkste vragen over AVG-schendingen op school, van herkenning en melding tot preventie en gevolgen.

Wat is een AVG-schending in het onderwijs?

Een AVG-schending in het onderwijs betreft elke inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van persoonsgegevens binnen de schoolomgeving. Dit gaat verder dan alleen datalekken en omvat alle situaties waarin de privacy van betrokkenen in gevaar komt.

Veelvoorkomende voorbeelden van AVG-schendingen op scholen zijn:

• Een USB-stick met leerlinggegevens die kwijtraakt of wordt gestolen
• Een e-mail met privacygevoelige informatie die naar verkeerde ontvangers wordt gestuurd
• Onbevoegden die toegang krijgen tot het leerlingvolgsysteem
• Het onbeveiligd delen van foto’s van leerlingen op sociale media zonder toestemming
• Verouderde papieren dossiers die niet correct worden vernietigd
• Het gebruik van onderwijsapps zonder goede verwerkersovereenkomst

Ook minder voor de hand liggende situaties kunnen een AVG-schending vormen, zoals een klassenlijst met contactgegevens die zichtbaar op het bureau ligt tijdens een ouderavond of een onbeveiligde wifi-verbinding waarop gevoelige documenten worden gedeeld.

Wanneer moet een school een datalek melden?

Een school moet een datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens (AP) als er een risico bestaat voor de rechten en vrijheden van de betrokkenen. Niet elk datalek is meldingsplichtig, maar scholen moeten wel elk incident intern documenteren.

Een datalek moet gemeld worden als:

• Er persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt
• Er een aanzienlijk risico is voor de privacy van betrokkenen
• Gevoelige gegevens zoals gezondheidsgegevens, BSN-nummers of financiële informatie betrokken zijn

Naast de melding bij de AP moet een school ook de betrokken personen informeren als het datalek waarschijnlijk een hoog risico inhoudt voor hun rechten en vrijheden. Dit geldt bijvoorbeeld bij het lekken van bijzondere persoonsgegevens zoals medische informatie van leerlingen.

De Functionaris Gegevensbescherming (FG) van de school speelt een belangrijke rol bij het beoordelen of een incident meldingsplichtig is. Bij twijfel is het altijd verstandig om contact op te nemen met deze functionaris of met het schoolbestuur.

Hoe stel je een AVG-schendingsrapport op?

Een goed AVG-schendingsrapport bevat alle essentiële informatie over het incident en vormt de basis voor zowel de melding aan de Autoriteit Persoonsgegevens als de interne documentatie. Het opstellen van een volledig rapport helpt scholen om gestructureerd te reageren op privacy-incidenten.

Een compleet AVG-schendingsrapport bevat de volgende elementen:

1. Beschrijving van het incident: Wat is er precies gebeurd, wanneer is het ontdekt, en wat was de oorzaak?
2. Aard van de gegevens: Welke persoonsgegevens zijn betrokken (namen, contactgegevens, BSN, gezondheidsgegevens)?
3. Omvang van het lek: Hoeveel personen zijn getroffen en om welke groepen gaat het (leerlingen, ouders, medewerkers)?
4. Mogelijke gevolgen: Wat zijn de potentiële risico’s voor de betrokkenen?
5. Genomen maatregelen: Welke acties zijn ondernomen om het lek te dichten en schade te beperken?
6. Preventieve maatregelen: Welke stappen worden gezet om herhaling te voorkomen?
7. Communicatie: Hoe en wanneer zijn betrokkenen geïnformeerd?

Voor een efficiënt proces is het aan te raden om een standaardformulier te gebruiken dat direct alle benodigde informatie verzamelt. Zorg dat medewerkers weten waar ze dit formulier kunnen vinden en hoe ze het moeten invullen.

Welke directe maatregelen moet een school nemen na een AVG-schending?

Na het ontdekken van een AVG-schending moet een school onmiddellijk actie ondernemen om de impact te beperken en aan wettelijke verplichtingen te voldoen. De eerste uren na ontdekking zijn cruciaal voor een effectieve reactie.

Volg deze stappen direct na het ontdekken van een AVG-schending:

1. Beperk de schade: Stop het lek zo snel mogelijk. Bijvoorbeeld door het offline halen van een systeem, het intrekken van toegangsrechten of het terughalen van verkeerd verzonden e-mails.
2. Verzamel informatie: Documenteer wat er is gebeurd, welke gegevens betrokken zijn en wie er getroffen is.
3. Informeer de verantwoordelijken: Breng de schoolleiding, het bestuur en de Functionaris Gegevensbescherming op de hoogte.
4. Beoordeel de ernst: Bepaal of het incident gemeld moet worden bij de Autoriteit Persoonsgegevens en/of betrokkenen.
5. Doe melding indien nodig: Meld binnen 72 uur bij de AP als het incident meldingsplichtig is.
6. Informeer betrokkenen: Communiceer helder en transparant met de getroffen personen als er een hoog risico voor hen bestaat.
7. Start herstelwerkzaamheden: Begin met het herstellen van systemen of processen om normale werkzaamheden te kunnen hervatten.

Het is belangrijk om tijdens dit proces zorgvuldig te documenteren welke stappen zijn genomen. Dit helpt niet alleen bij het afhandelen van het huidige incident, maar ook bij het verbeteren van procedures voor de toekomst.

Wat zijn de mogelijke gevolgen van een AVG-schending voor scholen?

Een AVG-schending kan verstrekkende gevolgen hebben voor een school, variërend van juridische sancties tot reputatieschade. Het is belangrijk om deze risico’s te kennen om de ernst van privacy-incidenten goed te kunnen inschatten.

De belangrijkste gevolgen van een AVG-schending zijn:

• Boetes en sancties: De Autoriteit Persoonsgegevens kan administratieve boetes opleggen die kunnen oplopen tot miljoenen euro’s, afhankelijk van de ernst van de overtreding.
• Reputatieschade: Vertrouwensverlies bij ouders, leerlingen en de gemeenschap kan langdurige impact hebben op de schoolreputatie.
• Operationele verstoringen: Systemen moeten mogelijk tijdelijk offline worden gehaald, wat het onderwijs kan verstoren.
• Juridische claims: Betrokkenen kunnen schadevergoedingen eisen voor geleden schade door de privacy-inbreuk.
• Verhoogd toezicht: De AP kan besluiten de school onder verscherpt toezicht te plaatsen.
• Herstelkosten: Het herstellen van systemen en processen na een inbreuk kan aanzienlijke kosten met zich meebrengen.

De impact is vaak het grootst wanneer gevoelige gegevens van kwetsbare personen zoals kinderen betrokken zijn. Juist in het onderwijs, waar we werken met minderjarigen, is de verantwoordelijkheid extra groot en kunnen de gevolgen van een schending verstrekkend zijn.

Hoe voorkom je AVG-schendingen in het basisonderwijs?

Preventie is de beste strategie om AVG-schendingen te voorkomen. Door proactief te werken aan privacybescherming kunnen scholen het risico op incidenten aanzienlijk verkleinen en voldoen aan hun zorgplicht tegenover leerlingen, ouders en medewerkers.

Effectieve preventieve maatregelen voor het basisonderwijs zijn:

• Bewustwording en training: Zorg dat alle medewerkers privacy-bewust handelen door regelmatige trainingen en updates over AVG-regels.
• Duidelijk privacybeleid: Ontwikkel een helder privacybeleid dat specifiek is toegespitst op de onderwijscontext.
• Technische beveiliging: Implementeer sterke security voor scholen met versleuteling, wachtwoordbeleid en toegangscontrole.
• Data-inventarisatie: Houd bij welke persoonsgegevens worden verwerkt, waarom en waar deze worden opgeslagen.
• Verwerkersovereenkomsten: Sluit correcte overeenkomsten af met alle externe partijen die persoonsgegevens verwerken.
• Clean desk policy: Voer een opgeruimd-bureau-beleid in om te voorkomen dat gevoelige informatie zichtbaar blijft liggen.
• Incidentprotocol: Ontwikkel een duidelijk stappenplan voor het geval er toch een datalek optreedt.

Het regelmatig uitvoeren van privacy-audits helpt om zwakke plekken in de gegevensbescherming te identificeren voordat ze tot problemen leiden. Daarnaast is het belangrijk om een cultuur te creëren waarin privacy als een gedeelde verantwoordelijkheid wordt gezien.

Voor scholen die hun digitale beveiliging willen versterken, bieden wij oplossingen die specifiek zijn ontwikkeld voor het onderwijs. Deze helpen bij het beschermen van gevoelige leerlinggegevens en het voldoen aan de AVG-eisen. Heeft u vragen over hoe u de privacy binnen uw school kunt verbeteren? Neem dan gerust contact met ons op voor advies op maat.