De vijf vuistregels

Denk bij het verzamelen, registreren en verwerken en delen van persoonsgegevens altijd aan de vijf vuistregels. Hieronder een korte toelichting

1. Doel en doelbinding
Persoonsgegevens worden altijd verzameld met een vooraf vastgesteld en concreet doel. Deze persoonsgegevens mogen alleen worden verwerkt om dat vastgestelde doel te bereiken (doelbinding). Dus:

  • Heb ik vooraf een doel voor de verwerking van persoonsgegevens vastgesteld?
  • Worden de persoonsgegevens alleen gebruikt voor dat doel dat ik vooraf heb vastgelegd?

2. Grondslag
Verwerking van persoonsgegevens is gebaseerd op één van de volgende wettelijke grondslagen: toestemming, overeenkomst, de wet, publiekrechtelijke taak, vitaal belang van de betrokkene, of gerechtvaardigd belang.

  • Ik heb toestemming van medewerker, leerling en of ouders.
  • De gegevens zijn nodig voor de uitvoering van een overeenkomst (CAO, wettelijk, fiscaal, voor scholen de overeenkomst voor het verzorgen van goed onderwijs).
  • Het verwerken van deze gegevens is wettelijk verplicht (belasting, accountant, overdragen aan DUO, etc.)
  • De verwerking van gegevens is nodig voor het uitvoeren van onze publiekrechtelijke taak (deze grondslag is bijna niet toepasbaar binnen het onderwijs).
  • Er is een gerechtvaardigd belang vanuit onze opdracht als stichting binnen het onderwijs dat ik kan uitleggen aan  medewerkers en of de ouders/verzorgers van de leerlingen.
  • Als is ik niet handel, ontstaat er een gevaarlijke situatie (denk aan het delen van medische gegevens bij een ongeluk).

3. Dataminimalisatie
De persoonsgegevens die de school verwerkt, moeten redelijkerwijs nodig zijn om het doel te bereiken. De gegevens moeten in verhouding staan tot het doel (‘proportioneel’) en het doel kan niet met minder dan deze verzamelde gegevens worden bereikt (‘subsidiair’).

  • Gebruik ik alleen die gegevens die noodzakelijk zijn om het vastgestelde doel te verwezenlijken?
  • Kan ik met minder of bijvoorbeeld anonieme gegevens werken?
  • Bewaar ik de gegevens niet langer dan nodig?

4. Transparantie
De school zorgt er voor dat bij verwerkingen, die door of namens de school worden uitgevoerd, de juiste persoonsgegevens op het juiste moment op de juiste plaats beschikbaar zijn. Onjuiste gegevens worden op tijd gerectificeerd of gewist.

  • Heb ik medewerkers, leerling en/of zijn ouders  vooraf helder geïnformeerd over het doel van de gegevensverwerking?
  • Heb ik uitgelegd welke gegevens worden gebruikt en met wie deze worden gedeeld?

5. Data-­integriteit
De school zorgt er voor dat bij verwerkingen de juiste persoonsgegevens op het juiste moment op de juiste plaats beschikbaar zijn. Onjuiste gegevens worden op tijd gerectificeerd of gewist.

  • Kloppen de persoonsgegevens die ik gebruik nog steeds?
  • Zijn de gegevens op het juiste moment, op de juiste plaats en voor de juiste mensen beschikbaar?
  • Heb ik onjuiste gegevens gecorrigeerd of verwijderd?

Dus; denk voordat je informatie deelt na over de volgende zaken:

  • Waarom; waarom deel ik deze informatie (doel en doelbinding)
  • Wie; voor wie is de informatie bestemd en is het correct om dit te delen (de grondslag)
  • Wat; welke informatie heeft de ontvanger nodig (dataminimalisatie)
  • Wijze; is dit de juiste informatie en deel ik de informatie veilig (Data-integriteit)

 

Ga terug naar