Samenvatting

Lucas Onderwijs is een schoolbestuur in Zuid-Holland. Momenteel vallen zevenenveertig scholen voor basisonderwijs, vier scholen voor speciaal basisonderwijs, drie expertisecentra en drie regio's voor voortgezet onderwijs met in totaal zesentwintig vestigingen onder Lucas Onderwijs. Lucas Onderwijs heeft ongeveer 4.000 medewerkers in dienst en heeft een leerlingaantal van 34.000.
Lucas Onderwijs wil zich aan de wet houden en wil haar medewerkers het vertrouwen geven dat zij zorgvuldig met hun gegevens omgaat. Dit onderzoek gaat over de vraag of de organisatie de Algemene Verordening Gegevensbescherming juist heeft geïmplementeerd. In het adviesrapport moet naar voren komen welke veranderingen in de bedrijfsvoeringen doorgevoerd moeten worden om AVG-compliant te zijn. Vanwege de grote hoeveelheden gegevensverwerkingen in de organisatie en het tijdsbestek waarin dit onderzoek moest plaatsvinden is afgesproken om het onderzoek uit te voeren op personeelsgegevens. De onderzoeksvraag hiervoor luidt: Wat moet er veranderen aan de huidige bedrijfsvoering van Lucas Onderwijs om te voldoen aan de AVG-richtlijn ten aanzien van de vaststelling en verwerking van personeelsgegevens?
Voor dit onderzoek is de Wet Bescherming Persoonsgegevens onderzocht. Deze is per 25 mei 2018 komen te vervallen. Vervolgens is de nieuwe verordening die per 25 mei 2018 in werking is getreden onderzocht. Deze wetten vormen samen het theoretische kader van het onderzoek. Aan de hand van een casestudy is documentenonderzoek gedaan en zijn interviews afgenomen om de huidige situatie van de organisatie te beschrijven. De huidige werkwijze is met de Algemene Verordening Gegevensbescherming vergeleken en hieraan getoetst.
De Wet Bescherming Persoonsgegevens is een uitwerking van de Europese Data Protectie Richtlijn. Deze is ingegaan op 1 september 2001 en verving de toen geldende Wet Persoonsregistratie die zijn oorsprong vindt in artikel 10 van de grondwet. Deze Richtlijn was bedoeld om de verschillen tussen de nationale wettelijke regelingen in de Europese Unie inzake gegevensbescherming te harmoniseren. De Richtlijn sloot beter aan op de ontwikkelingen op het gebied van ICT. De Algemene Verordening Gegevensbescherming is een Europese verordening en heeft automatisch directe werking op iedere lidstaat. De Algemene Verordening Gegevensbescherming is bindend en moet letterlijk door alle lidstaten op dezelfde manier worden uitgevoerd. De Algemene Verordening Gegevensbescherming biedt beperkte mogelijkheden om wetgeving aan te passen. Het doel van de Algemene Verordening Gegevensbescherming is om de grondrechten en de fundamentele vrijheden van natuurlijke personen te beschermen en om het vrije verkeer van gegevens binnen de Europese interne markt te beschermen en te waarborgen. Met de invoering van de Algemene Verordening Gegevensbescherming hebben betrokkenen nieuwe privacy-rechten gekregen en werden de bestaande rechten versterkt. Verantwoordelijken die persoonsgegevens verwerken krijgen daarentegen meer verplichtingen.
De Algemene Verordening Gegevensbescherming is strenger in de uitvoering dan de vorige privacywet. De Algemene Verordening Gegevensbescherming verplicht in een aantal gevallen om een Functionaris voor de Gegevensbescherming aan te stellen. Deze moet worden aangemeld bij de Autoriteit Persoonsgegevens. De Functionaris voor de Gegevensbescherming heeft een autonome positie ten aanzien van zijn taken. De organisatie dient een dataregister bij te houden van de verwerking van persoonsgegevens en incidenten van datalekken. Datalekken dienen in sommige gevallen te worden gemeld bij de Autoriteit Persoonsgegevens. Het niet melden van datalekken staan forse sancties op ten opzichte van de Wet Bescherming Persoonsgegevens. Bij een nieuwe vorm van gegevensverwerking is het uitvoeren van een Data Protection Impact Assessment verplicht. De Algemene Verordening Gegevensbescherming kent zes beginselen die organisaties in ogenschouw moeten houden. Een gegevensverwerking moet rechtmatig zijn en de betrokkenen moeten op de hoogte zijn wat er met hun gegevens gebeurd. Er mogen niet meer gegevens worden verwerkt dan nodig is. Persoonsgegevens dienen te worden beveiligd tegen ongeoorloofd toegang of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. De rechten van betrokkenen zijn in de nieuwe
5
privacywet versterkt. Zij hebben het recht om hun gegevens in te zien en correctie indien zij van mening zijn dat de gegevens onjuist zijn. Zij kunnen eisen dat de gegevensverwerking wordt gestaakt of beperkt. Zij kunnen vragen om hun gegevens te wissen. Zij hebben tevens het recht om persoonsgegevens te ontvangen of om de gegevens over te dragen aan een andere organisatie met dezelfde soort dienst.
Uit het onderzoek is gebleken dat Lucas Onderwijs op de bekeken gebieden AVG-Compliant is. Zij voldoen aan de harde eisen, maar er zijn ook enkele onbewuste tekortkomingen die tegenstrijdig zijn met de verordening. De organisatie is zich bewust van de inhoud van de verordening en zijn er noodzakelijke aanpassingen gedaan die vanuit de verordening worden geëist. De organisatie heeft haar medewerkers bewust gemaakt van de nieuwe privacywetgeving door middel van bijeenkomsten en nieuwsbrieven. De formele zaken zijn in lijn met de verordening gebracht. Er is een Functionaris voor de Gegevensbescherming benoemd en aangemeld bij de Autoriteit Persoonsgegevens. Daarnaast heeft de organisatie gekozen om een Security Officer in te zetten wat niet vanuit de verordening wordt verplicht. Er is een privacyverklaring opgesteld en er zijn verwerkersovereenkomsten afgesloten met de verwerkers. De organisatie heeft technische en organisatorische maatregelen getroffen om persoonsgegevens te beschermen.
Op basis van de conclusie zijn een aantal aanbevelingen geformuleerd. Wanneer deze aanbevelingen zijn opgevolgd kan gesteld worden dat Lucas onderwijs een jaar na de invoering van de verordening in de organisatie voldoet aan de verordening. Medewerkers wordt niet gevraagd om toestemming voor de gegevensverwerking en zij worden ook niet gewezen op hun rechten. Volgens de verordening is dit een vereiste. De personeelsdossiers zijn niet compleet en voldoet hiermee niet aan het juistheidbeginsel. Alle documenten dienen te worden opgenomen in het de personeelsdossiers en de medewerkers dienen hierover geïnformeerd te worden. In de rapportagetool Capisci worden persoonsgegevens van medewerkers verwerkt en zijn hier niet over geïnformeerd. De gegevens zijn verzameld voor een ander doel en voldoen bovendien niet aan het beginsel van minimale gegevensverwerking. Dit kan worden opgelost door de namen van medewerkers te vervangen door personeelsnummers. Met de financiële afdeling worden te veel persoonsgegevens gedeeld voor het registreren van personele voorzieningen. Er dient in de organisatie te worden afgestemd welke gegevens noodzakelijk zijn om personele voorzieningen te registreren in de boekhouding. Een van de belangrijkste aandachtspunten voor de organisatie is de bewaartermijn van persoonsgegevens. Dit is in de huidige situatie niet goed georganiseerd. Het verdient aanbeveling om aanpassingen in systemen door te voeren die een bewaartermijn classificatie mogelijk maken. Daarnaast dienen de bewaartermijnen bepaald te worden en moeten deze binnen de organisatie worden gecommuniceerd. De organisatie dient tevens regels op te stellen ten aanzien van de opslag van persoonsgegevens. Hierbij moet aangestuurd worden om persoonsgegevens niet langer meer via de e-mail te versturen en dienen deze niet meer lokaal te worden opgeslagen. De organisatie doet er goed aan om gebruik te maken van het Document Management Systeem, zodat toegezien kan worden op de bewaartermijn van persoonsgegevens. Voor de Security Officer wordt aanbevolen hem te positioneren onder de directeur van het stichtingsbureau. Dit biedt bescherming ten aanzien van zijn andere taken van informatiebeheer. Ten slotte ontbreekt het recht van dataportabiliteit in de privacyverklaring. Dit is een recht van medewerkers en dient in de verklaring te worden opgenomen.