Vandaag ben ik op het DUO MBO congres en in de 3de ronde “Privacy, ook uw zaak” neemt Leida Berndt ons mee in de gegevensleveringen DUO. Als spin in het web, wisselen ze natuurlijk ontzettend veel persoonsgegevens uit voor BRON, lerarengister, diplomaregister etc. Tijd voor een update.
Het doel van de uitwisseling is bekostiging mogelijk maken, de beleidscyclus ondersteunen, processen voor externe uitvoering (inspectie, belastingdienst, RVO, SVB etc.) mogelijk maken en het doen van onderzoek.
Lijkt vanzelfsprekend maar het is goed dat DUO ook vertelt welke wettelijke grondslag ze hebben: onder andere Wet op Onderwijstoezicht, Wet op HO/WO, WEB. Om de komst van AVG goed voor te bereiden heeft DUO alle registraties en uitwisselingen gescreend op die grondslagen. Verder is er een afdeling ‘Gegevensmanagement’ gekomen met aandacht voor doelmatigheid, beveiliging, bewaartermijnen, schonen/vernietigen en een dataregister natuurlijk etc.
Peter Vermeijs van de MBO Raad vervolgt met doorleveringen BRON. De scholen hebben een wettelijke verplichting gegevens te leveren en deze zijn vanzelfsprekend niet openbaar. We moeten dit de studenten wel vertellen (bijvoorbeeld in de onderwijsovereenkomst, de website of het privacy-handboek).
Als school heb je per 25 mei minimaal nodig: privacybeleid, beleid informatiebeveiliging, protocol datalekken, een overzicht van de verwerkingen, verwerkersovereenkomsten en procedures voor het uitoefenen van je recht als betrokkene. Zelf hebben we veel aan de handreikingen gehad van het IBP netwerk.
Er komen veel voorbeelden van ‘privacy-fijnslijperij’ voorbij. Waarom een geboorteplaats wel op de onderwijsovereenkomst en niet op de praktijkovereenkomst staat bijvoorbeeld. De verwachting is dat dit soort details de komende jaren nog verder uitzuiveren. Onder juristen, accountants, scholen en inspectie verschillen de meningen ook nog eens welke inzage er nodig is. 😉