Skip navigation MENU

FAQ AVG

We merken dat de Algemene Verordening Gegevensbescherming (AVG) een aantal vragen oproept. Daarom publiceren we de veelgestelde vragen en antwoorden met betrekking tot de AVG2018 op de website.

Meerdere personen met één account

Een supervisor-account wordt op een aantal scholen door meerdere personeelsleden gebruikt. Is dit verstandig?

Antwoord: Nee. Wij raden het gebruik van één account door meerdere personen af. Voor het supervisor-account is het van belang dat de logging van dat account kan worden bekeken bij mogelijk onrechtmatig gebruik en daarmee herleidbaar is tot één natuurlijke persoon. Wanneer meerdere gebruikers met het account inloggen, wordt het bij problemen erg lastig, zo niet onmogelijk om te achterhalen om welke gebruiker het gaat.

Aan te raden is dat het supervisor-account alleen door de beheerder wordt gebruikt en dat de andere gebruikers supervisorrechten krijgen op het eigen OOP-account.

GDPR: bent u er klaar voor?

2FA-authenticatie op hetzelfde device

Wat is het standpunt van Magister over het inloggen met 2FA via een programma dat is geïnstalleerd op hetzelfde device als het device waarop de gebruiker inlogt in zijn/haar Magister-omgeving?

Antwoord: We raden het gebruik van dergelijke vormen van authenticatie af. Op deze manier ontstaat een vorm van ‘schijnveiligheid’ nu zowel het authenticatie-programma als de Magister-omgeving op hetzelfde device staan.

Indien personeelsleden bezwaar hebben tegen het gebruik van een (eigen) smartphone, raden wij aan om over te stappen op het gebruik van hardtokens. Meer informatie over hardtokens en het aanvragen van deze tokens vindt u hier.

Overstapdashboard

Een MBO school krijgt aanmeldingen van VO leerlingen binnen die op deze school onderwijs willen gaan volgen. De MBO school wisselt de gegevens van deze VO leerlingen uit met het Overstapdashboard. Dient de school expliciete toestemming van deze leerlingen te ontvangen voor zij de gegevens mag uitwisselen met het Overstapdashboard?

Antwoord: De MBO school hoeft van de VO leerlingen geen expliciete toestemming te ontvangen om de gegevens van deze leerlingen uit te mogen wisselen met het Overstapdashboard (zie Overstapdashboard-website).

De uitwisseling van de leerlinggegevens met het Overstapdashboard is een verwerking ter uitvoering van de Onderwijswet. Bij een dergelijke verwerking ter uitvoering van wetgeving is het niet nodig om daarnaast ook nog expliciete toestemming van de betrokkenen (de VO leerlingen) te ontvangen om tot uitwisseling van de gegevens over te mogen gaan, aldus het eerste lid van artikel 6 van de Algemene Verordening Gegevensbescherming (AVG).

Voor overige vragen met betrekking tot het Overstapdashboard kunt u contact opnemen met het Overstapdashboard, via www.overstapdashboard.nl/contact of info@tignl.eu.

Recht op dataportabiliteit

Een leerling, ouder/voogd of personeelslid van de school doet een beroep op het recht op dataportabiliteit, op grond van artikel 20 van de Algemene Verordening Gegevensbescherming (AVG). Moet de school hierin voorzien of is Magister hiervoor verantwoordelijk?


Antwoord:

Het recht op dataportabiliteit geldt alleen voor de persoonsgegevens die zijn verwerkt met expliciete toestemming van de betrokkene of op grond van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke. Dataportabiliteit geldt onder sub a van het eerste lid van artikel 20 van de AVG niet voor persoonsgegevens die zijn verwerkt op grond van een wettelijke taak.
Als Magister voorzien wij in het recht op dataportabiliteit met behulp van de Overstapservice Onderwijs (OSO), het Digitaal Overdrachts Dossier (DOD), het Overstapdashboard en Conversie naar andere leerlingenadministratiesystemen conform de bestaande afspraken. Verzoeken tot dataportabiliteit nemen wij alleen aan als deze afkomstig zijn van scholen; betrokkenen dienen een verzoek tot dataportabiliteit in te dienen bij de scholen zelf, aangezien de scholen verwerkingsverantwoordelijke zijn.

De school houdt als verwerkingsverantwoordelijke altijd recht op haar eigen database. Bij een overstap naar een ander platform kunnen dan ook afspraken worden gemaakt over de toegang tot deze gegevens.

Recht op vergetelheid

Een leerling, ouder/voogd of personeelslid van de school doet een beroep op het recht op vergetelheid, op grond van artikel 17 van de Algemene Verordening Gegevensbescherming (AVG). Moet de school hierin voorzien of is Magister hiervoor verantwoordelijk?

Antwoord: Het recht op vergetelheid houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene hierom vraagt. Zo geeft artikel 17 van de AVG in het eerste lid een opsomming van situaties waarin persoonsgegevens gewist dienen te worden. Hierbij gaat het bijvoorbeeld om een situatie waarin de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld, of indien de betrokkene de verleende toestemming voor de verwerking intrekt, waardoor er geen grond meer is om de persoonsgegevens te mogen verwerken.

Persoonsgegevens in Magister worden verwerkt op grond van een wettelijke taak. Het eerste lid van artikel 17 is niet van toepassing zolang de gegevens van een betrokkene worden verwerkt op grond van deze wettelijke taak, aldus sub b van het derde lid van dit artikel. Maar mocht bijvoorbeeld de bewaartermijn van deze verwerkte gegevens zijn verlopen, dan is daarmee de grond voor de verwerking komen te vervallen en dient de organisatie deze gegevens te verwijderen.

Magister is op grond van artikel 4, sub 8 van de AVG de verwerker en verwerkt uitsluitend in opdracht van de school gegevens. De school is op grond van sub 7 van artikel 4 verwerkingsverantwoordelijke en dient daarmee de gegevens van de betrokkene te verwijderen bij een succesvol beroep op het recht van vergetelheid. Mocht het zo zijn dat de school Magister hierbij nodig heeft, dan zullen wij hier in opdracht van de school natuurlijk volledig aan meewerken.  

Recht op inzage

Een leerling, ouder/voogd of personeelslid van de school doet een beroep op het recht op inzage in de over hem/haar verwerkte persoonsgegevens, op grond van artikel 15 van de Algemene Verordening Gegevensbescherming. Moet de school hierin voorzien of is Magister hiervoor verantwoordelijk?

Antwoord: In artikel 15 van de Algemene Verordening Gegevensbescherming staat in lid 1 het volgende: ‘De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en de in sub a tot en met h genoemde informatie.’

Magister is op grond van artikel 4, sub 8 van de Algemene Verordening Gegevensbescherming de verwerker en verwerkt uitsluitend in opdracht van de school gegevens. De school is op grond van sub 7 van artikel 4 verwerkingsverantwoordelijke en dient daarmee de betrokkene inzage te geven in de over hem verwerkte persoonsgegevens. Mocht het zo zijn dat de school Magister hierbij nodig heeft, dan zullen wij hier in opdracht van de school natuurlijk volledig aan meewerken.

Recht op rectificatie

Een leerling, ouder/voogd of personeelslid van de school doet een beroep op het recht op rectificatie van de over hem/haar verwerkte persoonsgegevens, op grond van artikel 16 van de Algemene Verordening Gegevensbescherming (AVG). Moet de school hierin voorzien of is Magister hiervoor verantwoordelijk?

Antwoord: In artikel 16 van de Algemene Verordening Gegevensbescherming staat in lid 1 het volgende: ‘De betrokkene heeft het recht om van de verwerkingsverantwoordelijke onverwijld rectificatie van hem betreffende onjuiste persoonsgegevens te verkrijgen. Met inachtneming van de doeleinden van de verwerking heeft de betrokkene het recht vervollediging van onvolledige persoonsgegevens te verkrijgen, onder meer door een aanvullende verklaring te verstrekken.’

Magister is op grond van artikel 4, sub 8 van de Algemene Verordening Gegevensbescherming de verwerker en verwerkt uitsluitend in opdracht van de school gegevens. De school is op grond van sub 7 van artikel 4 verwerkingsverantwoordelijke en dient daarmee de gegevens van de betrokkene aan te passen bij een rectificatieverzoek. Mocht het zo zijn dat de school Magister hierbij nodig heeft, dan zullen wij hier in opdracht van de school natuurlijk volledig aan meewerken.

Reminder GDPR: 25 mei 2018

Foto- en videobeelden van leerlingen

Wat zijn de regels omtrent het gebruik van foto- en videobeelden van leerlingen?

Antwoord: Foto’s en video’s waarop personen herkenbaar in beeld zijn, zijn persoonsgegevens. Persoonsgegevens binnen Magister worden verwerkt op grond van een wettelijke taak. Hiervoor is het niet nodig dat de leerling of de ouder ook nog eens toestemming geeft voor de verwerking van deze persoonsgegevens. De verwerking op grond van een wettelijke taak geldt bijvoorbeeld voor de pasfoto’s van leerlingen die binnen Magister worden gebruikt.

Anders wordt het bij persoonsgegevens die niet worden verwerkt op grond van een wettelijke taak. Hierbij kan het bijvoorbeeld gaan om foto- en videobeelden van leerlingen tijdens een excursie. Als de school deze foto’s wil gaan publiceren op de website of op de Facebook-pagina, dan vindt deze verwerking (de publicatie) niet plaats op grond van een wettelijke taak. Voor deze verwerking heeft de school dan ook toestemming nodig van de leerling, of van zijn ouder, verzorger of voogd indien de leerling de leeftijd van 16 jaar nog niet heeft bereikt.

Voortgangsrapportage aan ouders

Klopt de leeftijdsgrens van 18 jaar die bij de helpfunctie in Magister beschreven wordt. Zou dit niet 16 jaar moeten zijn?

Antwoord: De leeftijdsgrens van 18 jaar zoals gegeven door de helpfunctie is correct. Op grond van artikel 23b van de Wet op het voortgezet onderwijs is de school verplicht om de vorderingen van de leerlingen aan hun ouders, voogden of verzorgers te rapporteren, totdat deze leerling meerderjarig en handelingsbekwaam is. Zodra de leerling 18 jaar oud is (en hij/zij handelingsbekwaam is), vervalt deze verplichting en is het aan de leerling zelf of er door de school nog aan zijn ouders gerapporteerd dient te worden.

De leeftijdsgrens van 16 jaar vinden we terug in het eerste lid van artikel 8 van de Algemene Verordening Gegevensbescherming (AVG). Deze leeftijdsgrens ziet op het verlenen van toestemming voor de verwerking van persoonsgegevens. Zolang een leerling nog geen 16 jaar oud is, dient de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt deze toestemming te verlenen.

Belangrijk hierbij is de kanttekening dat persoonsgegevens binnen Magister worden verwerkt op grond van een wettelijke taak. Voor deze verwerking is niet daarnaast ook nog toestemming nodig. Een voorbeeld van een verwerking van persoonsgegevens waarvoor toestemming van de ouder of het kind (indien 16+ jaar) vereist is, is bij het publiceren van foto’s van een excursie op de school-website.

Lees voor meer informatie het artikel op Kennisnet

BSN in uitschrijfverklaring

Op dit moment staat het BSN van een leerling opgenomen in de uitschrijfverklaring. Blijft dit zo?

Antwoord: Ja, het BSN laten we in de uitschrijfverklaring staan. Om te voorkomen dat de verkeerde leerling wordt uitgeschreven, bijvoorbeeld een broer van de leerling, is het belangrijk om het BSN op te nemen in de uitschrijfverklaring. 

Toestemmingsmodule voor gebruik foto- en videobeelden

Voor het publiceren van foto- en videobeelden van leerlingen, op bijvoorbeeld de schoolwebsite en de Facebookpagina, is toestemming van de leerling of zijn/haar ouders nodig. Komt er in Magister een toestemmingsmodule waarin de toestemming voor deze publicatie kan worden vastgelegd?

Antwoord: Ja, we gaan binnen Magister een toestemmingsmodule ontwerpen zodat de toestemming voor gebruik van foto- en videobeelden van leerlingen in Magister kan worden vastgelegd.

AVG en het papieren archief

Wat betekent de AVG voor het papieren archief van scholen?

Antwoord: De AVG is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

Of het gaat om een papieren archief of een digitaal archief, maakt geen verschil als het gaat om een bestand. Een bestand is elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen. Een papieren archief met bijvoorbeeld de examens van alle leerlingen uit een bepaald jaar is dus ook een bestand.

De conclusie is daarmee dat een papieren archief ook onder de reikwijdte van de AVG valt.  

Peildatum en ‘tijdreizen’ in Magister 5 en Magister 6

In Magister 5 bestaat de mogelijkheid om door middel van het terugzetten van de peildatum, terug ‘in de tijd’ te reizen en zo gegevens in te zien van leerlingen waar bijvoorbeeld een docent in het vorige jaar les aan heeft gegeven. Komt deze functionaliteit terug in Magister 6?

Antwoord: Nee, deze functionaliteit komt niet terug in Magister 6. In de huidige situatie voldoen we aan de eisen van de Algemene Verordening Gegevensbescherming. Het ‘tijdreizen’ in Magister geeft personeel toegang tot de gegevens van leerlingen aan wie zij bijvoorbeeld geen les meer geven in het huidige schooljaar. Onder de privacywetgeving mag een personeelslid alleen de persoonsgegevens van leerlingen inzien aan wie hij of zij op grond van zijn of haar taken in het huidige schooljaar gekoppeld is.

Wel blijft deze mogelijkheid van het terugzetten van de peildatum in de RDP versie van Magister voor OOP (Onderwijsondersteunend Personeel) bestaan ten behoeve van administratieve doeleinden.

BSN personeel onderwijsinstelling

Mogen scholen onder de AVG het BSN van personeel nog in Magister verwerken?

Antwoord: Het BSN van personeel van de onderwijsinstelling mag alleen op wettelijke basis worden gebruikt en is bedoeld voor informatie-uitwisseling met de overheid. Dat geldt dus bijvoorbeeld voor een salarisverwerker die gegevens moet uitwisselen in verband met de loonbelasting. Voor gebruik van het BSN van een leerling is er een vrijstelling te vinden in de Wet voor het inschrijvingsproces.

Op basis van de laatste uitgangspunten uit de AVG is Magister het proces ingegaan om het gebruik van een BSN van een personeelslid terug te dringen, ook al bestond daar in het verleden geen bezwaar tegen. In eerste instantie door het gebruik te bevriezen en in een later stadium door de velden geheel te verwijderen. Dit klinkt wellicht als slecht nieuws, maar we willen scholen helpen om de privacy van betrokkenen te verbeteren daar waar mogelijk.

Vanaf versie 26 zijn de velden niet meer bewerkbaar. Scholen kunnen de nog in Magister aanwezige BSN van personeel exporteren. BSN kan echter nog wel opgevoerd worden met het aanmaken van een nieuw personeelslid in de Magisteromgeving. Deze functionaliteit zal in de toekomst ook verwijderd worden, zodat scholen de mogelijkheid hebben om het BSN uit hun interne processen te verwijderen. In een later stadium worden de velden geheel verwijderd.

 

Download pdf: FAQ

Terug naar: AVG