De nieuwe privacywet, wat doet Learnbeat hiermee?

Je hebt het vast al voorbij zien komen in het nieuws: vanaf 25 mei 2018 is in de hele Europese Unie de Algemene verordening gegevensbescherming (AVG) van toepassing. Misschien heb je ook al e-mails gehad waarin bedrijven een vernieuwd privacybeleid aankondigen of heb je op een website akkoord moeten geven om je gegevens te verwerken. De AVG geeft consumenten meer rechten op het gebied  van privacy en het geeft organisaties meer plichten om op een goede manier met jouw persoonsgegevens om te gaan. Wat houdt deze nieuwe privacywet precies in en wat doet Learnbeat om deze wet na te leven? In een gesprek vertelt Frank van Rest, CTO van Learnbeat, over dit onderwerp.

De AVG

De Algemene verordening gegevensbescherming (AVG) is de nieuwe privacywet die in hele Europese Unie geldt. De wet is de vervanger van de Wet bescherming persoonsgegevens (Wbp). De AVG is eigenlijk al sinds 25 mei 2016 van toepassing, maar werd nog niet strikt nageleefd om het bedrijfsleven de tijd te geven aan de eisen van deze wet te kunnen voldoen. Op 25 mei 2018 is de AVG ingegaan en zal hij worden gehandhaafd.

Wat maakt de AVG anders dan de Wbp?

Frank van Rest: ‘De consument heeft met deze wet meer rechten en bedrijven hebben meer plichten. Consumenten moeten zelf de volledige controle hebben over wat er gebeurt met hun gegevens. Dat houdt in dat ze het recht moeten hebben om de gegevens altijd in te kunnen zien, kunnen wijzigen, uit het systeem gehaald kunnen worden en zelf akkoord moeten gaan met het overdragen van die gegevens. Het is een Europese wet, dus het geldt voor alle organisaties die consumenten bedienen in de EU.  Deze wet wordt strikt gehandhaafd en dat verplicht bedrijven aan de eisen van deze wet te voldoen. Doe je dat niet, kan dat leiden tot een fikse boete die op kan lopen tot wel twintig miljoen euro. Deze wet heeft er ook voor gezorgd dat het thema privacy veel vaker wordt besproken. Dat merk je in het nieuws, maar ook tijdens de lunchtafel op werk. Er ontstaat wereldwijd meer aandacht voor privacy en bijvoorbeeld in de Verenigde Staten gaan nu ook steeds meer stemmen op om onderdelen van deze wet daar in te voeren.’

Wat betekent de nieuwe privacywet voor Learnbeat?

Learnbeat is al een aantal maanden keihard aan de slag om op alle vlakken te voldoen aan de nieuwe privacywet. Frank van Rest: ‘Learnbeat opereert in het onderwijsveld, dus wij moeten de wet met een ‘onderwijsbril’ interpreteren’. Gelukkig is er het Privacy Convenant, een initiatief van Edu-K (PO-Raad, VO-raad, GEU, KBb-E en VDOD). Het Privacy Convenant is een vertaling van de AVG naar de onderwijspraktijk. Dat maakt het voor ons eenvoudiger om te bepalen wat er van ons wordt gevraagd en aan welke eisen wij moeten voldoen. Wij hebben dit convenant ondertekend en gebruiken het  standaardmodel voor de verwerkersovereenkomst die wij afsluiten met scholen. We houden ons aan de richtlijnen die gesteld worden door het Privacy Convenant. Dit maakt het voor scholen eenvoudiger om te begrijpen hoe wij met persoonsgegevens omgaan.’

‘Wij doen er alles aan om de privacy van onze leerlingen en docenten te waarborgen. Het gaat niet om de hoge boete die we mogelijk kunnen krijgen, het gaat om het feit dat we werken met persoonsgegevens die altijd beschermd moeten zijn.’

Welke maatregelen gaat Learnbeat nemen om te voldoen aan de eisen van AVG?

‘Aan de ene kant doen we aanpassingen in ons werkproces. We regelen bijvoorbeeld heel precies welke medewerkers toegang hebben tot persoonsgegevens welke niet. Als iemand voor zijn werkzaamheden geen persoonsgegevens nodig heeft, dan zorgen wij ervoor dat je er ook geen toegang meer toe hebt. Een ontwerper van Learnbeat heeft bijvoorbeeld niets te maken met de persoonsgegevens van leerlingen of docenten, maar iemand op onze support-afdeling kan zijn werk niet doen zonder te weten bij welke leerling een probleem speelt. Daarnaast moeten we aanpassingen doen in ons systeem, zodat we precies weten hoe persoonsgegevens in onze database terecht zijn gekomen, wie ze heeft ingezien en wie welke aanpassingen gedaan.’

Maken jullie hier afspraken over met scholen?

‘Met iedere school sluiten we een verwerkersovereenkomst. Daar staat bijvoorbeeld in dat wij ons houden aan de wet zodra we gegevens van leerlingen ontvangen en dat we deze persoonsgegevens niet voor andere doelen gebruiken. Voor scholen hebben wij een verwerkersovereenkomst klaar liggen die wij graag met hen ondertekenen. Daarnaast hebben we ook een beveiligingsbijlage en een privacybijlage opgesteld. In deze bijlage leggen we precies uit welke gegevens we opslaan en waarom we dat doen, hoe we zorgen voor een goede beveiliging van onze systemen en welke procedures we hebben voor het geval er toch iets misgaat.’

Wat doen jullie als er toch persoonsgegevens op straat komen?

‘Intern zijn regels opgesteld voor het ontvangen van persoonsgegevens. Daarmee zorgen we ervoor deze gegevens niet op straat belanden of in verkeerde handen vallen. Mocht dit wel gebeuren, hebben we een datalekkenprotocol. Hierin staat wat er op dat moment moet gebeuren, om het lek te dichten, de schade te beperken en te voorkomen dat het in de toekomst weer gebeurt . In de procedure staat ook beschreven binnen welke termijn wij de school informeren. Tot slot zorgen we dat iedereen in ons team beseft dat we met persoonsgegevens werken. Dit is een belangrijke verantwoordelijkheid en betekent bijvoorbeeld dat je zorgt voor sterke wachtwoorden, dat je alle updates installeert op je laptop, dat je niet alle e-mails zomaar vertrouwt en dat je elkaar wijst op mogelijke problemen.’

‘Informatiebeveiliging begint met bewustzijn, iedereen bij Learnbeat weet dat we werken met persoonsgegevens en dat de beveiliging daarvan een verantwoordelijkheid is van ons allemaal.’

Bekijk gerust onze privacybijlage en beveiliginsbijlage. Heb je vragen over hoe wij omgaan met je gegevens? We vertellen je graag meer! Neem contact op via support@learnbeat.nl.