Persoonsgegevens van leerlingen op straat

In mei jl. heeft de Onderwijsraad in het rapport “Doordacht digitaal” de vinger gelegd bij het belang van privacybeleid. Scholen zijn zich te weinig bewust van de risico’s op het gebied van internetbeveiliging en van hun eigen verantwoordelijkheid op dat gebied, en dat terwijl steeds meer gegevens over leerlingen digitaal worden opgeslagen. Het is dus van belang dat dit onderwerp meer aandacht krijgt op de scholen, vindt ook Wim Voorwinden, senior beleidsmedewerker bij de VGS: We beseffen dat dit onderwerp vaak niet bovenaan het prioriteitenlijstje staat. Er komen al veel verplichtingen af op de school af, maar omdat juist scholen veel privacygevoelige gegevens van leerlingen en personeelsleden verwerken, verdient ook dit onderwerp de aandacht. De digitale verbanddoos moet op orde zijn, juist om te voorkomen dat privacygevoelige gegevens op straat komen te liggen.’

Privacyhandboek

Om scholen op dit punt te ontzorgen, heeft de VGS de scholen geattendeerd op het privacyhandboek dat door Wille Donker Advocaten is opgesteld. Veel scholen hebben inmiddels dit handboek aangeschaft. Tijdens regionale voorlichtingsbijeenkomsten is uiteengezet op welke wijze het handboek op school een plaats kan krijgen. Voorwinden: ‘Het is daarbij nadrukkelijk de bedoeling dat het onderwerp binnen de school gaat leven. Het privacybeleid vaststellen is één, het er daadwerkelijk naar handelen is twee. Daarbij kun je denken aan vragen als op welke wijze omgegaan wordt met foto’s van leerlingen op een website, wie toegang heeft tot de opgeslagen gegevens van leerlingen, hoe deze gegevens beveiligd worden tegen hackers, enzovoort.’

Hij vervolgt: ‘Ik denk dat scholen zich steeds meer bewust zijn van het belang van privacy. Dat blijkt uit de voorlichtingsbijeenkomsten die we georganiseerd hebben en de vele contacten over dit onderwerp. Aan de hand van een stappenplan kunnen de scholen nu hun privacybeleid handen en voeten gaan geven. Er is ook veel aandacht voor de personeelsleden: zij zijn het immers die dagelijks met de leerlingen omgaan en hun gegevens verwerken. Ook als VGS gaan we met dit onderwerp aan de slag. Er is een speciale werkgroep privacy binnen de VGS die samen met een extern bureau inventariseert welke gegevens er door ons verwerkt worden. Omdat we als organisatie veel privacygevoelige gegevens van scholen verwerken, zal de VGS ook een zogenoemde verwerkersovereenkomst sluiten met de scholen.’

Heeft de aandacht voor dit onderwerp invloed op zijn dagelijkse manier van werken? ‘Ja’, zegt Voorwinden. ‘Zelf ben ik ook alerter geworden. Wanneer ik van mijn bureau wegloop, klik ik op mijn computer toch maar even op vergrendelen.’

‘De digitale verbanddoos moet op orde zijn, juist om te voorkomen dat privacygevoelige gegevens op straat komen te liggen’

Wim Voorwinden

Tissuebox

Het Hoornbeeck College is een voorloper bij de implementatie van de verplichtingen op het gebied van informatiebeveiliging en privacy. Willem Flink, functionaris informatiebescherming, is hier nauw bij betrokken. Flink: ‘Informatieveiligheid kent drie pijlers: staat het beleid op papier, is de techniek op orde en zijn je mensen op de hoogte? Wanneer het personeel zich bewust is van de risico’s en daar alert op is, ben je al een heel eind.’ Flink investeert vooral in bewustwordingstrainingen en heeft aan alle docenten voorlichting gegeven. ‘Ik probeer het op een speelse manier te brengen, met aansprekende voorbeelden. Ook hebben we binnen de school postercampagnes en heeft iedereen een tissuebox ontvangen met op verpakking tips voor bijvoorbeeld het kiezen van degelijke wachtwoorden. Aan de vragen die ik krijg, merk ik dat het onderwerp leeft, maar alertheid blijft geboden.’

- WAT ZIJN PERSOONSGEGEVENS?

Zodra een gegeven tot een persoon is te herleiden, spreek je over een persoonsgegeven. Dat is al snel het geval. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats, maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens. Er worden volop gegevens over leerlingen digitaal opgeslagen. Denk alleen al aan de leerlingvolgsystemen waarin schoolresultaten, afwezigheid en andere bijzonderheden van een leerling worden verzameld. Dat kan ook om zeer gevoelige informatie gaan, zoals informatie over gezondheid of geloofsovertuiging. Dat zijn persoonsgegevens die door de wetgever extra worden beschermd. Ook foto’s van leerlingen op een website of in een schoolgids vallen onder de definitie van persoonsgegevens.

- WAT ZIJN DE REGELS?

De Wet bescherming persoonsgegevens (Wbp) regelt wat er allemaal wel en niet mag met persoonsgegevens.

De wet bepaalt onder andere dat een organisatie alleen persoonsgegevens mag verwerken als dat noodzakelijk is voor een bepaald doel. Dat doel moet zijn vastgelegd in een privacyreglement. Een organisatie mag deze gegevens niet zomaar voor een ander doel gebruiken. Wanneer je de kerkelijke achtergrond van een leerling nodig hebt bij de toelating, moet je dat doel vastleggen in een reglement en dan is het niet vanzelfsprekend om die persoonsgegevens later nog eens voor een ander doel, bijvoorbeeld klassenindeling, te gebruiken. Ook hebben organisaties de verplichting om per-soonsgegevens goed te beveiligen en mogen ze niet eindeloos bewaard worden. Het niet naleven van de wet kan leiden tot hoge boetes.

- WAT IS DE MELDPLICHT DATALEK?

In 2016 is de Wbp aangescherpt met de meldplicht datalekken. Dat houdt in dat organisaties direct een melding moeten doen bij de Autoriteit Persoonsge-gevens zodra zij een ernstig datalek hebben. Soms moeten zij het ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). Vanaf 2018 leidt Europese regelgeving tot extra verplichtingen. Het is dus belangrijk dat scholen privacybeleid op de agenda zetten en houden.

Deze tekst is geautomatiseerd gemaakt en kan nog fouten bevatten. Digibron werkt voortdurend aan correctie. Klik voor het origineel door naar de pdf. Voor opmerkingen, vragen, informatie: contact.

Op Digibron -en alle daarin opgenomen content- is het databankrecht van toepassing. Gebruiksvoorwaarden. Data protection law applies to Digibron and the content of this database. Terms of use.

Printen