Informatiebeveiliging op school - Alleen bewaren wat strikt noodzakelijk is!
12 juni 2017
Dit artikel verscheen in juni 2017 in het VO-magazine.
De privacy van leerlingen en docenten wordt soms fors geschonden zonder dat scholen zich daar van bewust zijn. Wie realiseert zich dat die schoolfoto’s veel te gemakkelijk te vinden zijn op de server? Of dat een databestand al lang had moeten zijn verwijderd? De informatiebeveiliging van gegevens van leerlingen en medewerkers wordt een steeds belangrijker thema onder schoolbesturen en -directeuren. Dat moet ook wel, want op 25 mei 2018 gaat de Algemene Verordening Gegevensbescherming (AVG) in. Natuurlijk wil je als school klaar zijn voor de AVG, want op schendingen van de privacy worden forse boetes geheven, tot maximaal 20 miljoen euro. Tegelijkertijd is het belangrijk dat de school er klaar voor is om probleemloos ict in de les in te kunnen zetten zonder steeds op die lastige regeltjes te stuiten.
Reden voor bezorgdheid
Dat er meer moest gebeuren op het gebied van privacybescherming bleek twee jaar geleden al uit cijfers van de Autoriteit Persoonsgegevens (AP). In anderhalf jaar tijd waren maar liefst vijfhonderd bezorgde telefoontjes van ouders en docenten binnengekomen over het thema privacy. Sommige ouders bleken er bijvoorbeeld bij toeval achter te zijn gekomen dat gegevens van hun kinderen bij andere scholen of hulpverleners lagen zonder dat ze daarover geïnformeerd waren. Ook bleek vorig jaar digitaal te zijn ingebroken in het centrale registratiesysteem Edu-IX waarvan diverse leveranciers van digitale leermiddelen gebruikmaken.
Een enquête van de Nederlandse Vereniging van Pedagogen en Onderwijskundigen en het Nederlands Instituut van Psychologen bevestigde de bezorgdheid over dit onderwerp: bijna driekwart van de ondervraagden maakte zich zorgen over privacy in het onderwijs. Nu ict in alle haarvaten van de onderwijspraktijk is doorgedrongen, moet er nog veel strikter worden omgegaan met digitale informatie, was de conclusie. Privacyschendingen mogen niet meer voorkomen binnen het onderwijs. Punt.
Privacybescherming is geen dingetje dat je in een paar dagen regelt.
Stok achter de deur
Job Vos van Kennisnet herkent de zorgen van ouders en scholen maar al te goed en zoekt er sinds enige tijd samen met collega’s oplossingen voor. “We zien dat ruim tweederde van de scholen in het voortgezet onderwijs bezig is om de informatiebeveiliging en privacy (IBP) goed te regelen. Dat is veel en tegelijkertijd te weinig, want die cijfers betekenen dat nog steeds een derde van de scholen IBP niet goed geregeld heeft. Privacybescherming moet op scholen een continu proces worden, geen dingetje dat je in een paar dagen regelt.” Schoolbestuurders zijn wettelijk verplicht om de informatiebescherming en privacy binnen hun scholen goed te regelen, vertelt Vos. “Daar is geen ontkomen aan.” De grote stok achter de deur is de AVG. “Daar moet je je gewoon aan houden. Je moet volledig compliant zijn. Je moet als school en als onderwijsmedewerker weten welke gegevens in welke systemen zitten en wat met wie wordt uitgewisseld. Dat is nogal wat.”
De AVG vervangt alle nationale privacywetten binnen Europa, dus ook de huidige Wet Bescherming Persoonsgegevens. Een school had IBP al op orde moeten hebben, en nu dus helemaal. Volgens Vos is er vanaf mei 2018 geen ruimte meer voor discussie en uitstel omdat de wet voor heel Europa geldt. Iedere schoolmedewerker moet geïnformeerd worden en getraind worden. “Iedereen moet weten wat IBP is, wat persoonsgegevens zijn en hoe je daar zorgvuldig en verantwoord mee om gaat. Je wilt IBP geregeld hebben om probleemloos ICT in de klas in te zetten, zonder steeds moeilijk te moeten doen over de wet.”
Het is de komende maanden alle hens aan dek.
USB-stick kwijt
Als school kun je voor veel op de vingers worden getikt binnen de kaders van de AVG. Voor het gebruik van foto’s van leerlingen op de website of in de schoolgids bijvoorbeeld als je de ouders daarvoor geen toestemming hebt gevraagd. Of het verliezen van een USB-stick met leerlingdossiers. Nog erger: zorgdossiers. Of als je een datalek niet op tijd meldt bij de AP. In dat laatste geval, zo benadrukt Vos, kun je zelfs meerdere boetes krijgen: een boete omdat er een datalek is geweest, een boete omdat je een lek niet op tijd hebt gemeld en een boete omdat je blijkbaar geen goede afspraken hebt gemaakt met de leverancier van software die persoonsgegevens van de school krijgt. “Dat kan flink oplopen.”
Privacy is een grondrecht
De lijst met mogelijke overtredingen is uitgebreid en zeer gevarieerd. Krijgen een leerling en zijn ouders geen inzage in het leerlingdossier: kans op een boete. Bewaar je gegevens te lang en vernietig je ze niet op tijd: kans op een boete. Vos: “Je kunt medewerkers wel bang maken voor hoge boetes, maar het is belangrijker om iedereen te leren verstandig en verantwoord om te gaan met gegevens van leerlingen.” Ook het beveiligen van je systemen met een veilige code of wachtwoord is noodzakelijk. “Als je zelf bankiert op je telefoon, dan zorg je toch ook voor een veilig wachtwoord? Als je de mail van school op je eigen telefoon leest, dan heb je gewoon ook je telefoon beveiligd zijn met een codewachtwoord.” De maatregelen lijken heel ver te gaan, maar privacy is in de EU een grondrecht waar je niets voor hoeft te doen, waar je geen afstand kunt doen en waarover niet valt te onderhandelen, benadrukt Vos. Overigens is de AVG formeel geen wet, maar een Europese verordening. Dat is Europese regelgeving die directe werking heeft, met de status van een Nederlandse wet.
Het is belangrijk om de privacy in de onderwijsketen te bevorderen. De VO-raad zit aan diverse publiek-private tafels om de informatiebeveiliging en privacy in de onderwijsketen te bevorderen. Samen met de PO-Raad, MBO-raad, OCW, Kennisnet, uitgeverijen, distributeurs en softwareleveranciers werkt de VO-raad mee aan de nummervoorziening. De nummervoorziening (ook wel pseudonimisering) helpt privacy en beveiliging rond het gebruik van digitaal leermateriaal praktisch vorm te geven. De voorziening genereert een nieuw, uniek nummer waarmee scholen gegevens kunnen delen zonder dat ze direct herleidbaar zijn naar leerlingen of docenten.
Een ander initiatief van de keten is het privacyconvenant en de modelbewerkersovereenkomst. Met het convenant worden scholen ondersteund in het maken van afspraken met leveranciers over het gebruik van onder andere persoonsgegevens.
Stappenplan
Voordat in 2018 de AVG ingaat, zullen scholen nog heel wat moeten doen. Ze moeten een ‘functionaris voor gegevensbescherming’ aanstellen, eventueel samen met andere scholen. Ook moeten ze kunnen onderbouwen waarom en hoe leerlinggegevens worden bewaard. Zo weinig mogelijk bewaren, is het devies: als je niet weet waarvoor een databestand is aangelegd en waarvoor het nog nut heeft, moet het worden verwijderd. Kennisnet heeft samen met de VO- en PO-Raad een aanpak ontwikkeld om scholen te ondersteunen. Deze is online beschikbaar en biedt een simpele landkaart waarmee scholen in drie stappen hun IBP kunnen regelen.
De komende maanden verschijnen geregeld nieuwe hulpmiddelen. Het is verstandig om daarvoor de site en de nieuwsbrieven van Kennisnet en de VO-raad en PO-Raad in de gaten te houden. “We zijn nu bijvoorbeeld bezig met de training Bewustwording IBP, speciaal voor medewerkers,” zegt Vos. “Ook komt er een digitale variant waarbij docenten via een leeromgeving zelf met IBP aan de slag kunnen. Het is de komende maanden alle hens aan dek.”
Interessante bronnen
Download de vijf handige documenten over privacy van Kennisnet