Algemene Verordening Gegevens Bescherming (AVG) – deel 8 delen en mailen

Wat bespraken we eerder?

In deel 1 heb je kennis gemaakt met de nieuwe privacywetgeving AVG. Deel 2 zoomde in op informatiebeveiliging en privacy van persoonsgegevens. In deel drie gaven we informatie over datalekken en in deel vier bespraken we sociale media. In het vijfde deel vertelden we meer over het werken in de Cloud. In het zesde en zevende deel gingen we in op respectievelijk de werkplek en veilig online (werken). Dit achtste deel gaat over delen en mailen.   

Overzicht van alle artikelen.

Persoonsgegevens delen

Persoonsgegevens delen begint met het weten wat de basisregels zijn voor het verantwoord omgaan met persoonsgegevens (zie ook AVG deel 2 – Informatiebeveiliging en privacy (IBP)).

Als je persoonsgegevens verwerkt (deelt), mag dat alleen op basis van één van de (wettelijke) grondslagen.

Een voorbeeld:

Een school moet bepaalde vastgestelde persoonsgegevens delen met Dienst Uitvoering Onderwijs (DUO) op basis van een wettelijke grondslag. DUO neemt vervolgens de verantwoordelijkheid van de verwerking van de gegevens over. DUO is, net als de school, een verwerkingsverantwoordelijke. Met DUO hoeft geen verwerkersovereenkomst afgesloten te worden.

Als een school persoonsgegevens deelt met een leveranciers van digitaal lesmateriaal of gebruik maakt van een bepaalde app die vraagt om in te loggen met persoonsgegevens, dan blijft de school eindverantwoordelijk voor deze gegevens. De school zal dan afspraken moeten maken met deze leverancier (zie AVG deel 5 - Cloud); een verwerkersovereenkomst is dan verplicht.

Wat is er makkelijker dan even iemand een document te mailen met de namen van (bijvoorbeeld) dyslectische leerlingen? Mail is echter géén veilige manier om (gevoelige) persoonsgegevens te delen.

1. Documenten via een beveiligde verbinding uploaden naar de andere organisatie die de gegevens nodig heeft en mag verwerken.

2. Binnen de vereniging is OMO-Transfer beschikbaar om bestanden op een veilige manier met elkaar te delen. OMO-Transfer kan ook gebruikt worden voor het delen van (gevoelige) persoonsgegevens naar externen.
   Via OMO-Transfer ontvangt de OMO collega een link. Een externe ontvangt, naast de link, in een aparte mail een toegangscode. (Handleiding_Bestanden versturen via OMO-Transfer.pdf)

3.  Mocht je toch (gevoelige) persoonsgegevens versturen via mail, voorzie het bestand dan van een wachtwoord en stuur het wachtwoord (onopvallend) in een andere mail.

En:

• Wees te allen tijde kritisch over de persoonsgegevens die je deelt.

• Denk na over dataminimalisatie (welke gegevens heb ik minimaal nodig om het doel te bereiken).

De AVG gaat ervan uit dat je zorgvuldig omgaat met persoonsgegevens. Het gaat hierbij in eerste instantie niet om technische maatregelen (ICT), maar om gedrag, cultuur en bewustwording.

Informatiebeveiliging is geen ‘technisch feestje’, maar het is het constant bewust zijn van de risico’s die de school loopt. Dit omvat niet alleen de risico’s waardoor de continuïteit in zowel het onderwijs als de bedrijfsvoering in gevaar kan komen, maar ook risico’s rondom het beschermen van de privacy van leerlingen, ouders en medewerkers. Als medewerker ben je hierin een belangrijke speler. Het waarborgen van privacy is alleen mogelijk als iedereen binnen de school zorgvuldig en verantwoord omgaat met persoonsgegevens.

We delen steeds meer informatie over onszelf, maar ook over onze leerlingen en hun ouders. Soms is dat bewust, vaak gaat het ook onbewust.

Herken je het telefoontje waarin even tussendoor gevraagd wordt om de geboortedatum en het land van herkomst van een leerling? Of dat mailtje dat je stuurt naar collega’s, met daarin de namen van een aantal dyslectische leerlingen? Je vraagt jezelf misschien weleens af, of je al die gegevens die je ziet en vastlegt ook écht nodig hebt om je werk te kunnen doen.

• Gaat ervan uit dat je wél stilstaat bij deze vragen, dat je nadenkt voordat je dat mailtje met die persoonsgegevens verstuurt.

• Gaat ervan uit dat je weet wat persoonsgegevens zijn en welke gevoelige persoonsgegevens extra aandacht vragen als je ze verwerkt (zie ook AVG deel 1).

• Gaat ervan uit dat je niet zomaar persoonsgegevens doorgeeft aan bijvoorbeeld een collega-school, de gemeente of leerplicht.

• Gaat ervan uit dat je weet welke gegevens je mag vastleggen, met wie deze gedeeld mogen worden en op welke manier.

Deel zorgvuldig: eerst denken dan delen

Wat betekent zorgvuldig delen en mailen voor mij als medewerker?

1. Eerst denken dan delen;

2. Ken de grondslagen;

3. Ben bewust van de afspraken m.b.t. e-mailgebruik;

4. Pas ‘dataminimalisatie’ toe;

5. Ben bewust van de risico’s;

6. Ben zorgvuldig en verantwoord.

In de volgende nieuwsbrief wordt ingegaan op beeldmateriaal.