Toezichthouder privacy: ‘inzage in leerlinggegevens alleen als het noodzakelijk is’

13 maart 2018

Leraren mogen alleen leerlinggegevens inzien die zij voor hun werk nodig hebben, stelt de Autoriteit Persoonsgegevens (AP) na onderzoek dat op 12 maart 2018 verscheen. Ook moeten schoolbesturen zorgen dat hun leerlingadministratie en leerlingvolgsysteem goed beveiligd zijn. De AP roept scholen op om hun werkwijze met systemen nog eens tegen het licht te houden.

De AP stelt dat schoolbesturen verplicht zijn om rekening te houden met de internationale norm voor informatiebeveiliging. Hiermee is het beveiligen van systemen tegen misbruik of verlies van leerlinggegevens geen keuze maar een verplichting. Zo moet worden vastgelegd welke bestanden van welke leerlingen zijn gelezen of aangepast, en wie dat heeft gedaan. Daarnaast is het schoolbestuur verplicht om regelmatig te (laten) controleren of de juiste personen toegang hebben gehad tot de gegevens, of dat er bijzonderheden in de beveiliging zijn ontdekt, zoals een poging om in te breken in het systeem.

Toegang tot leerlinggegevens structureel of incidenteel

Leraren, administratief medewerkers en intern begeleiders mogen alleen de gegevens zien die zij nodig hebben. Zo mag een intern begeleider uitsluitend toegang krijgen tot de dossiers van leerlingen die extra zorg of begeleiding ontvangen. Ook is het van belang om te kijken of de toegang tot leerlinggegevens structureel of incidenteel nodig is. Wanneer een leraar bijvoorbeeld invalt voor een klas is alleen tijdelijke toegang tot leerlinggegevens vereist.

Maak afspraken met leveranciers

Schoolbesturen zijn verplicht om van hun leverancier te eisen dat de geleverde software goed beveiligd is. Het vernieuwde privacyconvenant 3.0 helpt scholen om makkelijker afspraken te maken met leveranciers en uitgevers over hoe zij veilig met leerlinggegevens omgaan. Deze afspraken worden vastgelegd in een verwerkersovereenkomst. In de nieuwe versie van het convenant zijn specifieke afspraken opgenomen over autorisaties, logging en beveiliging.

Regel informatiebeveiliging en privacy met de aanpak IBP

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Scholen moeten dan voldoen aan deze nieuwe Europese privacywetgeving. Het goed regelen van autorisaties van medewerkers in de verschillende systemen is onderdeel van de AVG. Om scholen te helpen met het orde krijgen van informatiebeveiliging en privacy (IBP), heeft Kennisnet met de PO-Raad en VO-raad de Aanpak IBP ontwikkeld.