Stichting Monton vindt het belangrijk om zorgvuldig om te gaan met de privacy van onze leerlingen. De Wet bescherming persoonsgegevens en de Algemene Verordening Gegevensbescherming, die per 25 mei 2018 van kracht is, vormen het uitgangspunt van ons privacybeleid. In verband met deze nieuwe wetgeving heeft Stichting Monton inmiddels een Informatiebeveiligings- en privacybeleid opgesteld en zijn op onze scholen risico-analyses uitgevoerd en de daaruit voortvloeiende maatregelen getroffen.

De gegevens die over leerlingen gaan, noemen wij persoonsgegevens. Wij maken alleen gebruik van persoonsgegevens als dat nodig is voor het leren en begeleiden van onze leerlingen, en voor de organisatie indien nodig. De meeste gegevens ontvangen wij van ouders (zoals bij de inschrijving op onze scholen). Daarnaast registreren leraren en ondersteunend personeel van onze school gegevens over onze leerlingen, bijvoorbeeld cijfers en vorderingen. Soms worden er bijzondere persoonsgegevens geregistreerd als dat nodig voor de juiste begeleiding van een leerling, zoals medische gegevens (denk aan dyslexie of ADHD).

Ons uitgangspunt is dat medewerkers niet meer inzage of toegang hebben tot de persoonsgegevens dan zij strikt noodzakelijk nodig hebben voor de goede uitoefening van hun werk. Stichting Monton hanteert de wettelijke bewaartermijnen met betrekking tot het bewaren en verwijderen van inschrijfgegevens en leerlingdossiers.

Onderstaand vindt u een overzicht van enkele belangrijke speerpunten van het privacybeleid van Stichting Monton.

Digitale leermiddelen en privacy:
Tijdens de lessen maken wij gebruik van een aantal digitale leermaterialen. Hiervoor is een beperkte set met persoonsgegevens nodig om bijvoorbeeld een leerling te kunnen identificeren als deze inlogt. De leverancier mag de leerlinggegevens alleen gebruiken als wij daar toestemming voor geven, zodat misbruik van die informatie door de leverancier wordt voorkomen. Met alle softwareleveranciers die persoonsgegevens voor ons verwerken zijn verwerkersovereenkomsten afgesloten. In die overeenkomst beschrijft de leverancier onder andere welke gegevens zij verwerken, met welk doel, op welke manier, wie er toegang heeft en welke beveiligingsmaatregelen zij getroffen hebben om verlies of misbruik van data te voorkomen. Mocht u meer willen weten over een bepaalde Verwerkersovereenkomst neemt u dan contact op met info@monton.nl.

Uitwisseling leerlinggegevens met andere organisaties:
Als er leerlinggegevens worden uitgewisseld met andere organisaties, vragen wij hiervoor vooraf de toestemming van de ouders, tenzij wij volgens de wet verplicht zijn om die informatie te verstrekken. Dat kan het geval zijn als de leerplichtambtenaar om informatie vraagt of als het ministerie van Onderwijs, Cultuur en Wetenschap informatie nodig heeft.

Rechten van ouders/verzorgers:
Ouders hebben het recht om de gegevens van en over hun kind(eren) in te zien. Als de gegevens niet kloppen, moet de informatie gecorrigeerd worden. Als de gegevens die zijn opgeslagen niet meer relevant zijn voor de school, mogen ouders vragen die specifieke gegevens te laten verwijderen.

Beeldmateriaal:
Voor het gebruik van foto’s en video-opnames van leerlingen op bijvoorbeeld de website van de school of in de nieuwsbrief, vragen wij altijd vooraf uw toestemming. Ouders mogen altijd besluiten om die toestemming niet te geven, of om eerder gegeven instemming in te trekken. Als u toestemming heeft gegeven, blijven wij natuurlijk zorgvuldig met de foto’s omgaan en wegen wij per keer af of het verstandig is een foto te plaatsen.

Beveiligingsincidenten en datalekken:
Er is een Meldpunt beveiligingsincidenten en datalekken ingesteld en een bijbehorend protocol beveiligingsincidenten en datalekken opgesteld dat beschrijft welke stappen genomen dienen te worden wanneer er beveiligingsincident of datalek wordt geconstateerd waarbij persoonsgegevens betrokken zijn.

Het is belangrijk om het verschil te weten tussen een datalek en een beveiligingsincident. We spreken van een beveiligingsincident als er iets gebeurt met informatie of informatiesystemen, waarbij de kans aanwezig is dat de vertrouwelijkheid, de integriteit of de beschikbaarheid hiervan in gevaar is, of kan komen. Bij een datalek gaat het juist om een beveiligingsincident dat gevolgen heeft voor persoonsgegevens, waarbij de kans aanwezig is dat anderen zonder toestemming toegang hebben tot deze informatie. Het risico is dan groot dat zij deze informatie zomaar kunnen vernietigen, wijzigen of verspreiden. Conclusie: alle datalekken zijn beveiligingsincidenten, maar niet alle beveiligingsincidenten zijn datalekken. Een datalek moet binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens. Een datalek kan gemeld worden aan datalek@monton.nl. met behulp van het

Naast de meldplicht is er ook de verplichting om alle beveiligingsincidenten te registreren. Dat geldt óók voor alle incidenten die niet gemeld hoeven te worden. De Autoriteit Persoonsgegevens kan altijd om inzage hiervan vragen. Dus liever een keer te veel dan een keer te weinig gemeld!

Toestemmingsformulier gebruik beeldmateriaal:
Op elke school is een (digitaal) toestemmingsformulier beschikbaar.

Verwerkingsregister:
In een verwerkingsregister is vastgelegd welke persoonsgegevens waar worden opgeslagen, met welk doel en wie hier toegang tot heeft. 

Functionaris Gegevensbescherming (FG):
Voor vragen, uitleg of opheldering over privacy zaken kunt u terecht bij de FG van Stichting Monton. De FG is tevens het centrale meldpunt voor klachten over privacy. De FG is bereikbaar via info@privacyhelder.nl.