De AVG werkt rechtstreeks door in alle EU-lidstaten en wordt op 25 mei 2018 in Nederland ingevoerd. Voor scholen betekent dit dat zij hun privacy aantoonbaar op orde moeten hebben. Dus het enkele feit dat de school privacybeleid of een -reglement heeft is niet voldoende. De school moet ook kunnen aantonen dat dit beleid wordt nageleefd, geëvalueerd en bijgesteld waar nodig. Verder scherpt de AVG de rechten van betrokkenen aan, net als de (boete)bevoegdheden van de toezichthoudende autoriteiten. De AVG bepaalt de spelregels waaraan de school zich moet houden bij de verwerking van persoonsgegevens. Verwerken is een verzamelbegrip voor alle handelingen die met persoonsgegevens plaats kunnen vinden: van verzamelen, gebruiken, bewaren tot vernietigen.
De belangrijkste uitgangspunten waarmee de school in haar bedrijfsvoering rekening mee moet houden:
1. Het verwerken van persoonsgegevens gebeurt op basis van een vooraf bepaald doel en alleen voor zover noodzakelijk voor de realisatie van dat doel.
2. De verwerking kent één van de grondslagen zoals opgesomd in de AVG (bijvoorbeeld: toestemming van de student of ter uitvoering van de onderwijsovereenkomst).
3. De mbo-school moet zorg dragen voor een adequate beveiliging van de persoonsgegevens.
Bij dit laatste punt raakt het thema privacy duidelijk aan het thema informatiebeveiliging. Besteedt een school de verwerking van persoonsgegevens uit, bijvoorbeeld doordat studentgegevens in een administratie- of leerlingvolgsysteem staan? In dat geval rust op de school ook de verplichting om via een zogenoemde verwerkersovereenkomst juridische afspraken te maken met degene die de verwerking doet. Op deze wijze wordt vastgelegd wat de verwerker van de school wel en niet mag met de persoonsgegevens en kan de mbo-school verlangen dat de verwerker dezelfde beveiliging van de gegevens garandeert.
Wet meldplicht datalekken
Sinds 1 januari 2016 is de Wet meldplicht datalekken ingevoerd. Dit betekent dat scholen een datalek (een inbreuk op de beveiliging van persoonsgegevens) moeten melden aan de Autoriteit Persoonsgegevens, indien dit leidt tot ernstig nadelige gevolgen voor de bescherming van persoonsgegevens of er een aanzienlijke kans bestaat dat dit gebeurt. Als een datalek ook ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene heeft, moet de school het datalek ook aan deze betrokkene melden. Niet melden kan worden bestraft met een boete.
Met de invoering van de meldplicht datalekken is ook de boetebevoegdheid van de autoriteit persoonsgegevens uitgebreid. Op het niet naleven van de verplichtingen uit de Wet bescherming persoonsgegevens staan sinds 1 januari 2016 aanzienlijke boetes. De Autoriteit Persoonsgegevens is bevoegd deze boetes uit te delen.