De verplichting een “FG” aan te wijzen in het onderwijs

Op 25 mei 2018 treedt de Europese Algemene Verordening Gegevensbescherming (AVG) in werking. Vanaf dat moment zijn organisaties in een aantal gevallen verplicht om een functionaris voor gegevensbescherming (FG) aan te wijzen. Ook schoolbesturen zijn verplicht een FG aan te wijzen, zo concluderen de PO-Raad, VO-Raad en Kennisnet.

Wat doet een FG?
Een FG houdt intern toezicht op de verwerking van persoonsgegevens binnen een organisatie. Ook adviseert hij het schoolbestuur over privacy, technologie en beveiliging, handelt vragen en klachten over privacy af en ontwikkelt interne regelingen rondom privacy. Ieder schoolbestuur (dus niet school/vestiging) én ieder samenwerkingsverband als zelfstandig verwerkingsverantwoordelijke, dient een FG aan te wijzen en aan te melden bij de Autoriteit Persoonsgegevens (AP).

Waarom een FG in het onderwijs?
Op grond van artikel 37 AVG dient een schoolbestuur een FG aan te wijzen, omdat zij is aan te merken of gelijk te stellen met een overheidsorganisatie of -orgaan. Ook is het schoolbestuur hoofdzakelijk belast met het verwerken van persoonsgegevens die vanwege hun aard, omvang en/of doeleinden regelmatige en stelselmatige observatie op grote schaal vereisen. Goed onderwijs zonder het monitoren en observeren van leerlingen is immers niet mogelijk. Gedurende de gehele schoolloopbaan worden dan ook persoonsgegevens van leerlingen verzameld, geregistreerd en uitgewisseld. Scholen beschikken over grote bestanden van gevoelige en bijzondere persoonsgegevens (zoals een leerlingadministratie of leerlingvolgsysteem). Om die reden worden zwaardere eisen gesteld aan de beveiliging en het gebruik van deze gegevens.

In- of externe FG?
Het is mogelijk om intern een medewerker als FG aan te wijzen. Daarbij is van belang dat de FG als adviseur en (interne) controleur onafhankelijk is. Dit is gewaarborgd in de AVG door de wettelijke ontslagbescherming. Deze onafhankelijke positie maakt dat de functie als FG lastig te verenigingen is met de functie van bestuurder, directeur, IBP-beheerder, of hoofd administratie. Meer geschikt voor deze functie is bijvoorbeeld een instellingsjurist, manager interne controle, compliance of security officer, vertrouwenspersoon of controller. Indien intern een FG wordt aangewezen is het raadzaam om interne regels op te stellen om belangenconflicten te vermijden, of te bepalen welke taken de FG niet mag uitvoeren. Ondersteuning van de FG, door bijvoorbeeld een privacy officer, mag natuurlijk wel.

Ook is het mogelijk om een externe FG aan te wijzen. Het is niet noodzakelijk dat een FG in loondienst is bij het schoolbestuur. In dat geval geldt de voorwaarde dat de FG vanuit elke vestiging makkelijk en tijdig te contacteren is. De FG dient betrokken te zijn bij hetgeen er wordt geregeld rondom de privacy van leerlingen, hun ouders en medewerkers binnen het schoolbestuur.

Daarnaast regelt de AVG dat schoolbesturen kunnen besluiten om gezamenlijk (intern of extern) een FG aan te wijzen.

Aansprakelijkheid
Bij niet-naleving van de AVG valt de FG geen persoonlijk verwijt te maken. Het schoolbestuur blijft als werkgever verantwoordelijk en aansprakelijk. Uit artikel 24 AVG volgt dat de verantwoordelijke verplicht is om passende technische en organisatorische maatregelen te treffen om te waarborgen en te kunnen aantonen dat de verwerking van persoonsgegevens in overeenstemming met de AVG wordt uitgevoerd. Indien gebruik wordt gemaakt van een externe FG is het verstandig om aanvullende afspraken te maken over aansprakelijkheid, waaronder het (eventueel) afsluiten van een verzekering.

Vragen?
Heeft u vragen over privacy in het onderwijs? Neem dan contact op met de advocaten onze teams Privacy en Onderwijs.

Februari 2018

420 
Ik help u graag verder

Meest gelezen
  • ‘Kopietje paspoort’
  • ‘Oude’ pandeigenaren versus nieuw...
  • ‘Recht op vergetelheid’ heeft geen...
  • “Als lekkerste getest” niet...
  • “Detachering” leerling is verwijdering