Aanpak IBPPrivacyreglement en -verklaring

Privacyreglement en -verklaring

Het schoolbestuur is verantwoordelijk voor de bescherming van de privacy van leerlingen en medewerkers. In een privacyreglement laat je zien hoe je dat doet. Je legt erin vast welke persoonsgegevens je verwerkt en waarom je dat doet. Maar ook hoe je die persoonsgegevens bewaart en beveiligt, en hoe leerlingen en medewerkers hun persoonsgegevens kunnen inzien, laten verwijderen of corrigeren.

Een privacyverklaring is een prettig leesbare samenvatting van je privacyreglement die je bijvoorbeeld op je website kan plaatsen.

Is het wettelijk verplicht?

Nee, het opstellen van een privacyreglement is niet verplicht volgens de AVG. Maar de AVG verplicht je wel tot het volgende:

  • Je moet transparant zijn over het feit dat je persoonsgegevens verwerkt.
  • Je moet vertellen welke persoonsgegevens je verwerkt.
  • Je moet duidelijk maken waarom je persoonsgegevens verwerkt.
  • Je moet leerlingen en medewerkers informeren over hun rechten en plichten als het gaat om hun persoonsgegevens.

Met het opstellen van een privacyreglement en het plaatsen van een privacyverklaring op je website heb je al deze zaken in één keer geregeld.

Meer informatie vind je in artikel 12, artikel 13, artikel 32 en artikel 34 van de AVG.

Wie doet wat?

In het overzicht hieronder zie je wie wat doet bij het opstellen van een privacyreglement en -verklaring:

Verantwoordelijkheid


Schoolbestuur
Erop toezien dat een privacyreglement wordt opgesteld.

Uitvoering


Ict-coördinator of
Privacy Officer
Opstellen van een privacyreglement en -verklaring.

Instemming


(G)MR
De (G)MR moet instemmen met het privacyreglement.

Meer weten over de rol- en taakverdeling voor IBP? Ga naar rollen en verantwoordelijkheden.

Aan de slag

Hoe stel je een privacyreglement op en wat doe je daarna? Ons stappenplan en voorbeelddocument helpen je op weg.

Stap 1 | Privacyreglement opstellen

Je bent als school uiteraard vrij om je eigen privacyreglement op te stellen. Weet je niet waar te beginnen? Gebruik dan het modelreglement van Kennisnet. Zo weet je zeker dat je de zaken die je volgens de AVG moet regelen hebt opgenomen. Je kunt het model downloaden en aan je eigen situatie aanpassen.

Stap 2 | Stel het privacyreglement vast

Om het privacyreglement te kunnen vaststellen, is instemming van de (G)MR vereist, omdat het gaat om privacy van leerlingen en medewerkers.

Stap 3 | Maak het reglement actief bekend aan leerlingen, ouders en medewerkers

Als je privacyreglement is vastgesteld, zorg je ervoor dat leerlingen, ouders en medewerkers weten dat er een privacyreglement is en wat erin staat. Bijvoorbeeld door het privacyreglement op je website te zetten of aan nieuwe ouders mee te geven bij de kennismaking.

Stap 4 | Stel een privacyverklaring op

Een privacyverklaring is een leesbare samenvatting van je reglement die je op je website plaatst of in je schoolgids opneemt. Hierin licht je toe wat je doet met persoonsgegevens die je via je website verzamelt en verwerkt. Je kunt hierin ook verwijzen naar het privacyreglement.

Stap 5 | Creëer bewustwording

Met één keer opstellen en delen ben je er niet. Je moet het reglement vertalen naar dagelijks gebruik, gedrag en bewustwording. Meer informatie vind je op de pagina bewustwording.

Hou rekening met

Kopie ID-bewijs

Bij inschrijving van een leerling, bijvoorbeeld op een middelbare school, mag je vragen naar een identiteitsbewijs. Je mag geen kopie van het ID vragen en dat bewaren in het dossier. Daar is geen grondslag voor. Om toch praktisch te kunnen handelen bij de inschrijving, kun  je een kopie van het ID vragen voor een afgesproken periode van maximaal een week. Alleen degene die de inschrijving regelt, mag dit document inzien. De kopie moet tot de inschrijving is afgerond, veilig opgeborgen worden in een afsluitbare ruimte of kast. Na de inschrijving moet de kopie teruggegeven of vernietigd worden, bijvoorbeeld in een shredder. Let op: voor medewerkers gelden andere regels: het opslaan van een kopie van het ID-bewijs in het personeelsdossier is verplicht. Meer informatie vind je op de website van de Autoriteit Persoonsgegevens of de Rijksoverheid.

Tools en voorbeelddocumenten

Verdieping

Inhoudsopgave