Het onderwerp privacy staat op de agenda, maar nog niet elke school voldoet aan de nieuwe Algemene Verordening Gegevensbescherming. Dat is ook niet het belangrijkst, denkt expert Job Vos van Kennisnet. ”Privacy is een dynamisch proces.”

Scholen moeten sinds 25 mei 2018 voldoen aan de Europese Algemene Verordening Gegevensbescherming (AVG), die alle nationale privacyregelgeving vervangt, zoals ‘onze’ wet Bescherming persoonsgegevens. De nieuwe wetgeving stelt hogere eisen aan het delen van persoonsgegevens, het gebruik van digitale systemen en de beveiliging van apparatuur en programma’s (zie ook kader pagina 11). “Ik zie dat scholen al langer bezig zijn om aan de administratieve eisen te voldoen”, vertelt Job Vos, jurist en privacyexpert bij Kennisnet. “De vraag of scholen klaar zijn, vind ik niet het belangrijkst. De eerste stap is nadenken over waarom en met wie je gegevens deelt. Ik denk dat die bewustwording redelijk is geland.”
“Eigenlijk is de AVG een aanleiding voor veel scholen om een mooie inhaalslag te maken”, vervolgt Vos. “Scholen gingen voorheen vaak wel bewust met gegevens om, maar de AVG zorgt ervoor dat je dit kunt aantonen. Heb ik wel een handtekening van een ouder voor het gebruik van deze foto, een contract afgesloten waardoor leveranciers niet kunnen gaan hobbyen met data of is het helder waarom ik met wie een dossier deel? En dat dossier gaan we niet meer mailen, maar delen via een betrouwbaar systeem, zodat je controle hebt over wie er toegang toe heeft. De AVG is wat dat betreft dus strenger dan de vorige wet.”

Namen geslaagden

Sommige scholen vinden de wetgeving doorslaan, merkt Vos. “Ze denken dat opeens niets meer mag, maar dat valt wel mee. De kern is dat er veilig en verantwoord met persoonsgegevens wordt omgedaan. Daarbij is het zoeken naar de balans. Een mooi voorbeeld is het bekend maken van de namen van geslaagden. Volgens de AVG mag dat, mits je toestemming hebt geregeld. Sommige scholen hebben dat gedaan en plaatsen een advertentie in de krant, andere waren nog niet zo ver.”
Natuurlijk gaat er meer werk in zitten, zeker als je nog helemaal niets hebt gedaan, aldus Vos. “Privacy is geen adhoc-dingetje. Je bent er niet meer met een toestemmingsformuliertje voor foto’s of drie mentorlessen om het te bespreken. Privacy moet helemaal in het DNA van de school komen. Zodat iedere medewerker weet hoe hij veilig en verantwoord met gegevens omgaat en wat te doen als er iets misgaat. Dat is best een grote operatie.”
Kennisnet heeft een stappenplan gemaakt waarin de AVG en de ISO beveiligingsnormen zijn samengepakt. Maar, waarschuwt Vos, als scholen voldoen aan de eisen zijn ze nog niet klaar. “Privacy is een dynamisch proces, waarbij je jaarlijks kijkt naar wat de grootste risico’s zijn en hoe je hiermee omgaat. Weten welke informatie op welke plek staat is hierbij essentieel. Als er een laptop kwijtraakt en je weet niet eens wat er op staat, hoe kun je dan goed reageren? Is het genoeg om het wachtwoord te blokkeren, of moet je ouders informeren of zelfs een datalek melden? Het is best even werk om alles in kaart te brengen en goed te regelen, maar zo voorkom je later dat je overvallen wordt door incidenten.”

Datalek

“Of er al datalekken in het onderwijs voorkomen? Er gaat bijna dagelijks wel iets mis”, zegt Vos. “Een mailtje naar de verkeerde ouders, een usb-stick die kwijt is of een dossier naar een verkeerde organisatie. Maar niet alles hoeft te worden gemeld. Een school moet afwegen hoe groot de impact is op de privacy van leerlingen en medewerkers. Meestal gaat het om een een-op-een relatie. Van een zorgdossier van een medewerker dat per ongeluk naar het hele team werd gestuurd, heeft een schoolbestuur wel melding gemaakt bij de Autoriteit Persoonsgegevens. Dit helpt om te analyseren wat er is misgegaan en oplossingen te vinden.” Een boete zal volgens Vos niet zo snel volgen. “De toezichthouder heeft toegezegd dat ze daar terughoudend mee zullen zijn. Het zelf melden zorgt ervoor dat hij een beeld krijgt van wat de stand van privacy in het onderwijs is.” Bezwaar maken tegen eventuele boetes kan binnen zes weken.
Laat je niet gek maken, zegt Vos tot slot. “Er zijn ontzettend veel consultants met mooie aanbiedingen, maar het is belangrijk dat je de regelgeving zelf in de vingers krijgt. Het is een cultuurverandering die niet van vandaag op morgen hoeft plaats te vinden. Het draait in het onderwijs om lesgeven. Privacy is geen doel op zich, maar onderdeel van het grotere geheel. Over een paar jaar zal dit allang ingebed zijn in het onderwijs en kunnen we hopelijk hard lachen om alle ‘AVGekte’ van nu.”

‘Werkdruk is niet toegenomen’

Op de website van jenaplanschool de Lispeltuut in Lelystad staat onder het kopje ‘persoonsgegevens’ al uitgelegd hoe de school omgaat met privacy. Directeur Hans Vos: “De werkdruk is er niet door toegenomen hoor, al was het wel even een werkje om alle papieren dossiers te versnipperen. Het vraagt daarnaast een ander soort administratie, waarbij je nog bewuster bent van wat je met wie deelt en hoe lang we gegevens bewaren. Voorheen mailden we gewoon alles, dat kan niet meer. Alle relevante informatie zetten we in een map die we delen via Google Drive. Daarvan kun je eenvoudig, maar expliciet aangeven wie er toegang toe heeft en voor hoe lang, en of diegene de informatie mag lezen, kopiëren of bewerken. Ook voor kinderen werkt het makkelijk, ze kunnen thuis eenvoudig verder werken. Ik durf met zekerheid te zeggen dat Google Suite for education veilig is. Ik heb een verwerkersovereenkomst met ze afgesloten en daar is niets ingewikkelds aan. Ik vind het vreemd dat Google steeds ter discussie staat, terwijl Apple en Microsoft zich nauwelijks hoeven te verdedigen.”

‘Het onderwerp leeft enorm’

Stichting BOOR, met 78 scholen voor primair, voortgezet of speciaal onderwijs in Rotterdam en omstreken, heeft privacy hoog op de agenda staan. “Door de digitalisering is het goed dat er meer aandacht is voor privacy”, vertelt bestuur- en beleidsmedewerker Marleen Quaak. Ze heeft samen met informatiemanager Erik van Es het privacy-traject mede vormgegeven. BOOR is hier al jaren mee bezig. “Eind 2015 heeft er een verscherping van de wet Bescherming persoonsgegevens plaatsgevonden, waarbij bijvoorbeeld al de verwerkersovereenkomsten zijn geïntroduceerd”, vertelt Quaak. Van Es: “Met hulp van het standaardcontract hiervoor van Kennisnet en het convenant waar veel partijen bij aangesloten zijn, wordt het maken van afspraken relatief eenvoudig.”

Belangrijke verandering is het opstellen van een verwerkingsregister, ook daar heeft Kennisnet een basismodel voor ontwikkeld. “Het register is de kern van de wet, van waaruit je verder werkt en bijvoorbeeld de rechten afleidt.”

Om bewustwording te bevorderen, kwam er een interne themapagina en apart emailadres voor vragen. Quaak: “Er komen dagelijks vragen binnen, bijvoorbeeld of er een verwerkersovereenkomst met de schoolfotograaf nodig is.”

Het gebruik van Whatsapp, Facebook of Dropbox ontraden ze, net als het mailen van persoonsgegevens tenzij dat versleuteld gebeurt. “Als je bestanden mailt heb je er geen controle meer op”, verklaart Van Es. “Binnen een eigen administratiesysteem kun je regelen wie er toegang heeft en eventueel dat recht ook ontnemen als dat nodig is.” Beide medewerkers zijn best tevreden over de implementatie en bewustwording. “Maar het is natuurlijk nooit af. Het register is een levend document, waarvoor we met nieuwe partijen afspraken zullen moeten blijven maken”, zegt Quaak. Van Es: “Scholen die nog niet zo ver zijn, hoeven dus ook niet in de paniekmodus te schieten. Bekijk stap voor stap wat er moet gebeuren. Eigenlijk is dat best overzichtelijk.”

Privacy: wat is er veranderd?

Onderbouwing

Een school is verplicht te onderbouwen waarom ze gegevens wil verzamelen en hoe lang ze die wil bewaren. Daarbij mag je niet meer gegevens vragen dan strikt noodzakelijk en na beëindiging van het gebruik heeft iedereen het recht te worden vergeten. Dat betekent dat een school de gegevens ook weer moet verwijderen.

Beveiliging

De school moet zorgen voor een goede beveiliging van de leerlingadministratie- en leerlingvolgsystemen en moet vastleggen waar welke data staan, wie ze heeft gelezen of aangepast. Daarbij moet een school duidelijk afspreken wie wanneer en met welk doel toegang heeft tot leerlinggegevens.

Toestemming

Foto’s of filmpjes van leerlingen vallen onder persoons­gegevens, waarvoor uitdrukkelijk toestemming nodig is. Voor leerlingen jonger dan 16 jaar is een hand­tekening nodig van de ouders. Het moet daarbij duidelijk zijn waarmee ze instemmen (specifiek doel), de toestemming moet elk jaar opnieuw gevraagd worden en net zo eenvoudig weer ingetrokken kunnen worden.

Afspraken leveranciers

Scholen moeten afspraken maken met leveranciers en uitgevers over hoe zij met leerlinggegevens omgaan: welke persoonsgegevens worden gebruikt, met welke partijen worden ze gedeeld en waar worden ze opgeslagen. Het privacyconvenant helpt daarbij. De school is verplicht om ouders en leerlingen boven de 16 actief te informeren over deze afspraken.

Functionaris Gegevensbescherming (FG)

De school is verantwoordelijk voor het waarborgen van de privacy van leerlingen en moet risicoanalyses uitvoeren. Elk bestuur is verplicht een Functionaris Gegevensbescherming (FG) aan te stellen die de formele controle doet. De FG is hier ongeveer een paar dagen per maand mee bezig en kan een interne medewerker zijn, zoals een controller die deze taak erbij krijgt. Ook een externe die bijvoorbeeld voor meerdere besturen werkt, is een veelvoorkomende mogelijkheid.

Boetes

Een datalek moet binnen 72 uur gemeld worden aan de Autoriteit Persoonsgegevens die toezicht houdt op naleving van de privacywetgeving. Iedere school kan hiervoor een privacy of security officer aanstellen, vaak de ict-coördinator die het datalek afstemt met de FG. De toezichthouder kan de FG om uitleg vragen en de boetes die hij kan opleggen zijn met de nieuwe regelgeving flink verhoogd.

Links

Gerelateerd nieuws