FAQ

Veelgestelde vragen over het AVG-programma

Een AVG-stappenplan, speciaal voor het onderwijs. Hoe werkt dat?
Hoe werkt het programma?
Kan ik extra hulp krijgen bij het voldoen aan de AVG?
Is het programma veilig?
Hoe krijg ik een kortingscode?
Ik wil me aanmelden, maar het formulier werkt niet
Ik kan niet inloggen
Hoe weten we dat dit programma voldoet aan alle gestelde eisen? Er is namelijk nog niemand gecertificeerd om de uitvoering van de wet te controleren en te certificeren.
Houdt het AVG-programma een elektronisch dossier van je AVG-documenten bij?
Maakt het AVG-programma onderscheid tussen leerlingen en personeelsleden?
Leg je binnen het programma ook vast wie er uiteindelijk welke gegevens mag vastleggen en inzien?
Kunnen onderwijsinstellingen naast het AVG-programma ook ondersteuning van AVG Onderwijs vragen?
Bevat het AVG-programma de mogelijkheid om een PCDA-cyclus uit te voeren?
Hoe lang is een organisatie bezig met het doorlopen van het programma?
Is het AVG-programma ook geschikt voor samenwerkingsverbanden?
Is er ook een AVG-programma voor het MKB of andere verenigingen?
Een AVG-stappenplan, speciaal voor het onderwijs. Hoe werkt dat?

De AVG-wet is voor onderwijsinstellingen veelal ingewikkeld en duur om door te voeren. Om dit op te lossen heeft AVG Onderwijs juristen, ICT-, communicatie- en organisatiespecialisten bij elkaar gebracht. Het resultaat is een (online) AVG-programma met 15 stappen. Speciaal afgestemd op het onderwijs, behapbaar en betaalbaar!

Het AVG-programma voor onderwijsinstellingen
Het AVG-programma is opgebouwd als een stappenplan. Hét grote voordeel ervan is dat je stapsgewijs door de (vaak lastige) materie wordt geleid. Je houdt overzicht en je vergeet niets. AVG Onderwijs neemt je bij de hand en helpt je zo op weg naar bewustwording en acties om aan de AVG te voldoen. Het is een online programma dat je uit kunt voeren, wanneer je wilt en tussentijds kun je alles opslaan en een volgende keer verder gaan. Bij alle stappen is er uitleg in tekst, maar zijn er ook duidelijke instructievideo’s en voorbeelddocumenten. AVG-proof zijn kost simpelweg veel tijd, maar door het op deze manier te doen maken we het zo eenvoudig mogelijk en weet je zeker dat je niks vergeet.

AVG-verklaring
Heb je alle stappen doorlopen? Dan kun je de AVG-verklaring downloaden die AVG Onderwijs afgeeft. De verklaring geeft aan dat je alle stappen hebt doorlopen en geeft een samenvatting van de door jou ingevulde antwoorden. De AVG-verklaring is dus een vastlegging van hoe de AVG geregeld is in jouw organisatie. Met deze AVG-verklaring laat je zien dat je alle stappen hebt doorlopen en dus bewijsbaar alle inspanningen hebt verricht om te voldoen aan de wet.

Zie hier een preview van het programma.

Hoe werkt het programma?

Het AVG-programma voor onderwijsinstellingen bestaat uit een stappenplan. Aan de hand van 15 stappen helpen we jouw instelling klaar te zijn voor de nieuwe privacywetgeving. Dit plan scheelt je een hoop tijd en bij afronding ontvang je een AVG-verklaring. Je kan het programma eenvoudig op afstand – online – doorlopen (dus ook in jouw eigen tempo). Meld je snel aan via onze Aanmeldbutton (homepage).

Kan ik extra hulp krijgen bij het voldoen aan de AVG?

Het AVG-programma biedt je alle stappen die nodig zijn om aan de AVG te voldoen.
Heb je toch extra ondersteuning nodig dan kun je contact opnemen met onze AVG-helpdesk.

Is het programma veilig?

De omgeving van het AVG-programma voldoet aan de veiligheidseisen. Uiteraard 😉

Hoe krijg ik een kortingscode?

Wij werken veel samen met overkoepelende onderwijsorganisaties. Doet jouw overkoepelende onderwijsorganisatie mee, dan hebben zij een kortingscode voor je. Neem daarvoor contact met ze op. Doet jouw overkoepelende onderwijsorganisatie niet mee? Attendeer ze dan op AVG Onderwijs en ons AVG-programma om profielpartner te worden. Daarmee help je niet alleen jouw onderwijsinstelling, maar ook de collega-instellingen die aan de nieuwe privacywet moeten voldoen.

Ik wil me aanmelden, maar het formulier werkt niet

Goed dat je met het programma wilt starten, maar natuurlijk erg vervelend dat het aanmelden niet lukt. Probeer het over enkele minuten nogmaals. Lukt het nog niet? Dan helpen we je graag zo snel mogelijk op weg, stuur even een mail naar info@avgonderwijs.nl.

Ik kan niet inloggen

Dat is natuurlijk erg vervelend. Wellicht biedt de wachtwoord-vergeten functie direct uitkomst. Deze optie zie je bij het inlogscherm.
Lukt het nog niet? Stuur even een mail naar info@avgonderwijs.nl en we helpen je zo snel mogelijk.

Hoe weten we dat dit programma voldoet aan alle gestelde eisen? Er is namelijk nog niemand gecertificeerd om de uitvoering van de wet te controleren en te certificeren.

Het AVG-programma wordt door meer dan 100.000 organisaties gebruikt. De Autoriteit Persoonsgegevens is om deze reden op de hoogte van dit programma, maar geeft geen formeel oordeel over de applicatie.

Houdt het AVG-programma een elektronisch dossier van je AVG-documenten bij?

Het belangrijkste onderdeel van AVG-programma is de AVG-verklaring. Deze verklaring wordt opgebouwd en opgeslagen in de 15 stappen van het programma. Aanvullende ondersteunede templates dien je zelf te downloaden en te beheren.

Maakt het AVG-programma onderscheid tussen leerlingen en personeelsleden?

Omdat de wet hierin geen onderscheid maakt, doet het programma dit ook niet.

Leg je binnen het programma ook vast wie er uiteindelijk welke gegevens mag vastleggen en inzien?

Binnen het programma staat een rollenschema. Hierin kun je aangeven wie er welke gegevens mag inzien. De wet gaat echter niet over de manier waarop je dit hebt ingeregeld.

Kunnen onderwijsinstellingen naast het AVG-programma ook ondersteuning van AVG Onderwijs vragen?

Er zijn meerdere mogelijkheden op dit gebied. AVG Onderwijs kan een onboarding en/of begeleidingssessies verzorgen op aanvraag. Daarnaast is er de mogelijkheid om documenten, zoals bijvoorbeeld een privacy policy, te laten controleren via AVG Onderwijs.

Bevat het AVG-programma de mogelijkheid om een PCDA-cyclus uit te voeren?

Ja. Iedere 3 maanden ontvang je als gebruiker een e-mail met daarin alle updates omtrent de AVG-wetgeving. In deze mail word je er tevens aan herinnerd om bijvoorbeeld verwerkersovereenkomsten met nieuwe leveranciers te sluiten.

Hoe lang is een organisatie bezig met het doorlopen van het programma?

Als een werknemer hier de verantwoordelijkheid voor neemt, dan is de totale tijdsbesteding hooguit een aantal dagen. Het is niet zo zeer de benodigde tijdsbesteding, maar juist de doorlooptijd dat hier een langdurig traject van maakt.

Is het AVG-programma ook geschikt voor samenwerkingsverbanden?

Ja. Momenteel werken er al een aantal samenwerkingsverbanden met het AVG-programma. Zij delen hun ervaringen en feedback met AVG Onderwijs, zodat wij het programma kunnen optimaliseren.

Is er ook een AVG-programma voor het MKB of andere verenigingen?

Ja er zijn, naast het AVG-programma voor het onderwijs, ook andere versies, te weten een:

  • MKB-versie
  • Sportclub-versie
  • Nog vele andere versies

Er zijn reeds meer dan 100.000 deelnemende organisaties!

AVG Onderwijs
AVG Onderwijs heeft juristen, ICT-, communicatie- en organisatiespecialisten bij elkaar gebracht om een programma te kunnen bieden aan alle onderwijsinstellingen in Nederland om zo eenvoudig mogelijk aan de AVG-wet te kunnen voldoen. Het resultaat is een (online) AVG-programma met 15 stappen; onderwijsinstellingen worden hierbij stap voor stap door alle vereisten van de nieuwe privacywet geloodst, met een AVG-verklaring aan het eind.

Je kan snel en eenvoudig aan de slag. Meld je aan via de button Aanmelden op de homepage.

Veelgestelde vragen over de AVG-wetgeving

Moet ik inventariseren welke persoonsgegevens ik vastleg?
Mag ik alle persoonsgegevens zomaar vastleggen?
Je mag persoonsgegevens alleen gebruiken met de juiste 'doelbinding'. Wat betekent dat?
Mag je generiek blijven in de beschrijving van de reden waarom je bepaalde gegevens vastlegt?
Moeten onderwijsinstellingen toestemming vragen voor het registreren van gegevens waartoe zij wettelijk verplicht zijn, zoals bijvoorbeeld ziekteverzuim?
Als ouders voor een leerling toestemming gegeven hebben, moet een leerling dan op de leeftijd van 16 jaar zelf ook toestemming geven nu deze zelf bevoegd is?
Geldt de AVG ook voor examens? Gegevens van leerlingen en leraren worden naar andere scholen gestuurd voor de pooling.
Is er binnen de AVG-wetgeving een verschil tussen het actief vragen naar bijzondere persoonsgegevens en het toevallig weten hiervan?
Als ik een overeenkomst sluit met een derde partij voor gegevensverwerking, moet ik dan ook vastleggen via welk kanaal die gegevens uitgewisseld worden?
Is het volgens de AVG verplicht om gebruik te maken van geheimhoudingsverklaringen?
Wordt de wet actief gehandhaafd door een bepaalde partij?
Hoe hard is de eis dat degene die Functionaris Gegevensbescherming is, iemand is die niet met persoonsgegevens in aanraking komt (dus iemand die niet zichzelf kan controleren)?
Moet onze onderwijsinstelling een DPIA houden?
Moet ik inventariseren welke persoonsgegevens ik vastleg?

Vanuit de AVG moet elke onderwijsinstelling inventariseren welke persoonsgegevens worden verwerkt. En je moet daar een overzicht van kunnen overhandigen. Je hebt voor je instelling persoonsgegevens nodig. Kernbegrip is ‘verwerken’. Hiermee bedoelen we alle handelingen die je met de persoonsgegevens uitvoert. Je maakt een Excel-bestand en een financieel Excel-bestand, je kopieert gegevens op papier, je maakt een mailinglijst voor je nieuwsbrief, etc.  Zodra je persoonsgegevens verwerkt val je onder de AVG en moet je dus aan deze regelgeving voldoen.

Ga na welke persoonsgegevens er binnen de instelling gebruikt worden
Het is een hele klus om te inventariseren welke gegevens je allemaal verwerkt. Denk aan:

  • Computerapplicaties controleren waarin velden zijn opgenomen met persoonsgegevens
  • Controleer ook persoonsgegevens die je hebt ondergebracht bij derde partijen, b.v. een elektronische leeromgeving of een nieuwsbriefverzender
  • Elektronische documenten (Excel-lijstjes, Word-documenten, etc.) met persoonsgegevens
  • Papieren documenten (denk ook aan kopieën van een paspoort of rijbewijs)

Binnen ons AVG-programma hebben we een handige checklist waarbij je na kunt lopen en aanvinken welke persoonsgegevens je allemaal verwerkt.

Pas op met bijzondere persoonsgegevens
Bijzondere persoonsgegevens zijn gegevens van gevoelige aard, de verwerking ervan kan iemands privacy ernstig beïnvloeden. Denk aan gezondheidsgegevens of politieke voorkeur. Bijzondere persoonsgegevens mogen daarom alleen onder zeer strenge voorwaarden worden verwerkt.

Mag ik alle persoonsgegevens zomaar vastleggen?

Binnen de AVG is er ook sprake van bijzondere persoonsgegevens. Dit zijn gegevens van gevoelige aard, de verwerking ervan kan iemands privacy ernstig beïnvloeden. Denk aan gezondheidsgegevens, geaardheid, politieke voorkeur, maar ook een paspoort kopie, waarop de pasfoto zichtbaar is (zonder voorlegger gekopieerd).

Bijzondere persoonsgegevens mogen alleen onder zeer strenge voorwaarden worden verwerkt. Je moet aan veel meer eisen voldoen en er als organisatie heel zorgvuldig mee omgaan. We geven enkele voorbeelden. Zo mag je bijzondere persoonsgegevens niet verwerken tenzij:

  • De verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering; de verwerking wordt verricht door een stichting, een vereniging of een andere instantie zonder winstoogmerk, werkzaam op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt.
  • De betrokkene de persoonsgegevens zelf openbaar heeft gemaakt.
  • De verwerking noodzakelijk is met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden.

Ongemerkt worden er vaak bijzondere persoonsgegevens verwerkt. Mag dit? Heb je daar toestemming voor? Is er een verantwoorde doelbestemming? Wees je er bewust van en check of je deze gegevens daadwerkelijk mag en moet vastleggen.

Er is een aparte toelichting geschreven, mocht je onverhoopt extra informatie nodig hebben dan kunnen wij je doorverwijzen naar AVG-professionals.

AVG Onderwijs
AVG Onderwijs heeft juristen, ICT-, communicatie- en organisatiespecialisten bij elkaar gebracht om een programma te kunnen bieden aan alle onderwijsinstellingen in Nederland om zo eenvoudig mogelijk aan de AVG-wet te kunnen voldoen. Het resultaat is een (online) AVG-programma met 15 stappen; onderwijsinstellingen worden hierbij stap voor stap door alle vereisten van de nieuwe privacywet geloodst, met een AVG-verklaring aan het eind.

Je kan snel en eenvoudig aan de slag. Meld je aan via de button op de homepagina.

Je mag persoonsgegevens alleen gebruiken met de juiste 'doelbinding'. Wat betekent dat?

Welke gegevens verwerkt jouw onderwijsinstelling, met welk doel en heb je ze daar ook voor gekregen? We praten over ‘doelbinding’. Het is belangrijk dat je persoonsgegevens alleen verwerkt voor de doeleinden waarvoor je deze hebt verkregen. En, je mag ook niet meer gegevens verlangen dan nodig zijn voor het doel.

Een voorbeeld
Een herkenbaar voorbeeld is het inschrijven voor de digitale nieuwsbrief. De afspraak is dan: je krijgt mijn e-mailadres voor het toesturen van de (wekelijkse) nieuwsbrief. Je mag deze persoon niet zomaar in een aparte mail uitnodigen voor bijeenkomsten, want dat heb je niet samen afgesproken!

Inventariseer en registreer
Inventariseer en registreer wat bij jouw instelling van toepassing is. We hebben al uitgezocht welke soorten overeenkomsten er meestal gelden (ook vrijwilligersovereenkomsten) en hebben het doel en het type persoonsgegevens genoteerd. In het AVG-programma is een uitgebreide lijst opgenomen van doelbindingen die je alleen maar hoeft aan te vinken.

Aandachtspunt bij een overeenkomst
Zorg dat je in je overeenkomst duidelijk vermeldt dat de ingevulde gegevens gebruikt gaan worden conform de privacy policy. In de privacy policy kun je al de doelbindingen het beste beschrijven. Je kunt de privacy policy bijvoegen of een duidelijke verwijzing (of link naar de website) opnemen. Let op dat een minderjarige (< 16 jaar) schriftelijke toestemming nodig heeft van ouder, verzorger, wettelijke vertegenwoordiger om de overeenkomst aan te gaan.

Tip: hou je organisatie eens extra tegen het licht
Je bent nu met veel gegevens bezig. Je raakt aan de kern van je organisatie. Door aan de slag te gaan met de AVG zie je dat je meer inzichten krijgt. Zijn aanpassingen nodig? Bespreek dit eens in het bestuur.

AVG Onderwijs
AVG Onderwijs heeft juristen, ICT-, communicatie- en organisatiespecialisten bij elkaar gebracht om een programma te kunnen bieden aan alle onderwijsinstellingen in Nederland om zo eenvoudig mogelijk aan de AVG-wet te kunnen voldoen. Het resultaat is een (online) AVG-programma met 15 stappen; onderwijsinstellingen worden hierbij stap voor stap door alle vereisten van de nieuwe privacywet geloodst, met aan het eind een AVG-verklaring.

Mag je generiek blijven in de beschrijving van de reden waarom je bepaalde gegevens vastlegt?

Nee, zorg altijd voor een duidelijke beschrijving van de doelbinding.

Moeten onderwijsinstellingen toestemming vragen voor het registreren van gegevens waartoe zij wettelijk verplicht zijn, zoals bijvoorbeeld ziekteverzuim?

Nee, deze verwerking vindt plaats op basis van de grondslag “noodzakelijk is om te voldoen aan een wettelijke verplichting” die op de organisatie rust. Onderwijsinstellingen hoeven helemaal niet om toestemming hoeven te vragen als ze zich berusten op deze ‘wettelijke verplichting’ grondslag. Dit ligt anders indien er persoonsgegevens worden verwerkt op basis van de Toestemmingsgrondslag.

Geldt de AVG ook voor examens? Gegevens van leerlingen en leraren worden naar andere scholen gestuurd voor de pooling.

Ja, het geldt voor alle persoonsgegevens die naar derden gestuurd worden. Middels een verwerkersovereenkomst moet je er voor zorgen dat zij de gegevens voor niets anders gebruiken dan het doel waarvoor ze zijn vastgelegd.

Is er binnen de AVG-wetgeving een verschil tussen het actief vragen naar bijzondere persoonsgegevens en het toevallig weten hiervan?

In de AVG-wet gaat het om vastlegging. Het is geen probleem om bijzondere persoonsgegevens van iemand te weten zonder deze vast te leggen. Pas op het moment dat je de gegevens vastlegt, moet er een duidelijke doelbinding zijn.

Als ik een overeenkomst sluit met een derde partij voor gegevensverwerking, moet ik dan ook vastleggen via welk kanaal die gegevens uitgewisseld worden?

Nee, dat is niet noodzakelijk. Je hoeft niet vast te leggen of de gegevens bijvoorbeeld per e-mail of per post worden verstuurd.

Is het volgens de AVG verplicht om gebruik te maken van geheimhoudingsverklaringen?

Je neemt als onderwijsinstelling je verantwoordelijkheid door je te houden aan de wettelijke privacyregels en door bewustwording te creëren binnen de gehele organisatie. Om bewustwording om te zetten in harde procedures en verantwoordelijkheden kun je geheimhoudingsverklaringen inzetten. Niet verplicht, zeker wel aan te raden!

De onderwijsinstelling bepaalt wie er geautoriseerd is om persoonsgegevens in te zien, te bewerken ofwel te verwerken. Vaak worden alleen  secretaresses (of secretarissen) en bestuursleden geautoriseerd. Dat verschilt per organisatie. Om goed vast te leggen wat een geautoriseerde medewerker van de onderwijsinstelling wel of niet mag doen is het verstandig dit goed te beschrijven in een geheimhoudingsverklaring (vaak onderdeel van de arbeidsovereenkomst). Je kunt risico’s beperken door goed vast te leggen welke medewerkers geautoriseerd moeten zijn voor hun werkzaamheden (en andere dus niet). Kortom: Laat medewerkers (ook vrijwilligers), die inzicht hebben in persoonsgegevens een geheimhoudingsverklaring tekenen!

Tip: Het is een mooi moment om weer een goede afweging te maken wie momenteel toegang heeft tot (welke) persoonsgegevens.

Maak je gebruik van ons AVG-programma? Dan zie je een voorbeeld van een geheimhoudingsverklaring.

Wordt de wet actief gehandhaafd door een bepaalde partij?

Ja, door de Autoriteit Persoonsgegevens. Er komen hier meldpunten voor waar bijvoorbeeld ouders een melding kunnen doen wanneer zij denken dat persoonsgegevens binnen je onderwijsinstelling niet voldoende beschermd worden.

Als er geen melding is gedaan door bijvoorbeeld een ouder, zul je niet zo snel met de Autoriteit Persoonsgegevens in aanraking komen. Pas als er iets aan de hand is, wordt er achteraf gecontroleerd of u aan de verplichte wet- en regelgeving heeft voldaan.

Hoe hard is de eis dat degene die Functionaris Gegevensbescherming is, iemand is die niet met persoonsgegevens in aanraking komt (dus iemand die niet zichzelf kan controleren)?

Hier is vooralsnog geen wettelijke bepaling over. In principe kan ieder personeelslid dat voldoet aan de eisen tot FG worden benoemd.

De vereisten waaraan een FG moet voldoen is zijn de volgende:

  • De functie van FG moet worden vervuld door een deskundige persoon. Het benodigde niveau van kennis en expertise moet in verhouding staan tot de gevoeligheid, complexiteit en hoeveelheid persoonsgegevens die een organisatie verwerkt.
  • De FG dient deskundig te zijn op het gebied van nationale en Europese wetgeving en de praktijk rondom de bescherming van persoonsgegevens, waaronder een diepgaand begrip van de Verordening en de Uitvoeringswet.
  • De FG dient voldoende persoonlijke kwaliteiten te bezitten om zijn taken op grond van de Verordening goed te kunnen vervullen. Dergelijke kwaliteiten zien onder meer op integriteit en professionele ethiek.
Moet onze onderwijsinstelling een DPIA houden?

Sinds de ingang van de AVG-wetgeving (25 mei 2018) moeten sommige organisaties verplicht een Data Protection Impact Assessment (DPIA) uitvoeren. De DPIA is een instrument om vooraf de privacyrisico’s van gegevensverwerking in kaart te brengen en om vervolgens maatregelen te nemen om de risico’s zo klein mogelijk te maken. Wat is voor het onderwijs van toepassing? Een DPIA geldt enkel voor speciale gegevensverwerkingen, met name wanneer er een hoog privacyrisico is. Wanneer is dat het geval? Wanneer ben je verplicht een DPIA uit te voeren?
De AVG geeft aan dat dat in ieder geval geldt als een organisatie:

  • Systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling (beoordelen van mensen op basis van persoonskenmerken).
  • Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
  • Op grote schaal bijzondere persoonsgegevens verwerkt.
    Verwerk je bijzondere persoonsgegevens, dan is de vraag natuurlijk ‘wat is grootschalig’. De AVG geeft geen definitie van ‘grootschalige gegevensverwerkingen’. Maar de Europese toezichthouders geven echter wel een aantal voorbeelden van wat zij als grootschalig zien.Heb je twijfels, neem contact op met je koepelorganisatie. Je kan ook contact opnemen met een van onze AVG-professionals.
    AVG Onderwijs heeft juristen, ICT-, communicatie- en organisatiespecialisten bij elkaar gebracht om een programma te kunnen bieden aan alle onderwijsinstellingen in Nederland om zo eenvoudig mogelijk aan de AVG-wet te kunnen voldoen. Het resultaat is een (online) AVG-programma met 15 stappen; onderwijsinstellingen worden hierbij stap voor stap door alle vereisten van de nieuwe privacywet geloodst, met aan het eind een AVG-verklaring.
Menu