School verantwoordelijk voor beschermen persoonsgegevens bij e-mails

Voor de gevolgen van het lekken van persoonsgegevens is de school immers verantwoordelijk. “Het betreft altijd kinderen, dus ook daarom is extra voorzichtigheid geboden”, vindt Theo Polman, contractmanager licentie‑ en productmanagement bij APS IT-diensten.

Gegevens mailen op een basisschool of in het speciaal onderwijs is een taak die je uiterst voorzichtig moet aanpakken. Vooral als het gaat om medische gegevens van leerlingen: daarvoor gelden strengere regels dan normaal. Net als voor gegevens die betrekking hebben op godsdienst of leerontwikkelingen. Ook moet je extra uitkijken als je meer ouders tegelijk mailt. Zet alle e-mailadressen dan altijd in de bcc, niet in de cc. Niet alle ouders stellen er prijs op dat hun e-mailadres bekend wordt bij andere ouders. Of bijvoorbeeld bij hun ex-partner. Let ook op als je bijlages meestuurt naar meer ouders, bijvoorbeeld de klassenlijst. Versleutel dan de bijlage en stuur het wachtwoord apart door. En controleer de mailadressen op tikfouten.

Voor de gevolgen van een datalek is de school immers verantwoordelijk. Dat stelt de algemene verordening gegevensbescherming (AVG). Als persoonsgegevens of een medisch dossier onverhoopt toch bij de verkeerde persoon terechtkomen, moet de school het datalek melden bij de Autoriteit Persoonsgegevens (AP). Ook moet zij de ouders informeren en is zij verantwoordelijk voor de gevolgen. De AP onderzoekt dan wat er precies is gebeurd. Had de school het kunnen voorkomen? Hebben ze leerkrachten voldoende uitleg gegeven? Het kan gebeuren dat de AP het bestuur van de school een boete geeft.

Mailen van medische gegevens

IB’ers krijgen vaak te maken met het versturen van medische gegevens en dus met extra strenge regels met betrekking tot mailbeveiliging. Als een of meer leerlingen zorgfinanciering ontvangen van de gemeente, moet de school daar periodiek over rapporteren aan de geldverstrekker of artsen. Ze zijn dan verplicht om een NTA7516-gecertificeerde mailoplossing te gebruiken. “Er zijn dan strengere eisen aan het versleutelen en beveiligen van mail. Bij het versturen van medische gegevens moet het mailsysteem voldoen aan de beveiligingseisen, die zijn beschreven in de NTA7516-norm.”

Zo moet de identiteit van de ontvanger worden gecontroleerd. Is degene die de mail krijgt ook echt degene die hij zegt te zijn? De inhoud wordt versleuteld, dus als de mail bij de verkeerde terechtkomt kan die er niets mee. Mails kunnen worden teruggetrokken of een beperkte geldigheidstermijn hebben. “In de praktijk werkt het zo dat ouders een mail ontvangen met een link naar een een portaal. Hier voeren ze een wachtwoord in om het bericht te kunnen lezen. Op die manier is geformaliseerd en beveiligd een mail met medisch dossier verzonden. Dan mag je er vanuit gaan dat je het goed gedaan hebt. Als ouders deze mail downloaden en laten rondslingeren, dan is de school niet meer verantwoordelijk.”

Verantwoordelijk

Naast veilig mailen en bijlages versleutelen vraagt de AVG ook van schoolbesturen om hun medewerkers goed ‘op te voeden’ en het bewustzijn bij hen te vergroten. Theo: “Zorg dat medewerkers nadenken over vragen als: kan ik dit wel per mail versturen? Moet het echt per mail of kan het ook anders? Moet ik het beveiligen? Dat kun je niet altijd vangen in regels. Het gaat erom dat collega’s nadenken voor ze op ‘verzenden’ drukken. Verder mag een school geen WhatsApp gebruiken om te communiceren met ouders, terwijl ouders onderling wel met elkaar mogen appen.”

Hoe zit het dan met de verantwoordelijkheid van de leerkracht als die een fout maakt? Stel, hij of zij stuurt per ongeluk een mail naar de verkeerde persoon? Dan moet de leraar dat melden bij de functionaris gegevensbescherming (FG) en zijn leidinggevende. Vervolgens moet hij het ook melden bij de persoon van wie de gegevens gelekt zijn en proberen de schade zo klein mogelijk te houden. Zo kan hij bijvoorbeeld nog proberen het mailtje terug te trekken of mensen te vragen het weg te gooien. De FG meldt het dan bij de AP.

Oplossingen

Voor het extra beveiligd mailen zijn er oplossingen als,  Bastion 365 Educatie, SmartLockr Veilig mailen, Zivver Veilig communiceren. Die hebben allerlei handige functies ingebouwd om verkeerd mailen te voorkomen. Bijvoorbeeld een attenderingsfunctie als ‘klopt het e-mailadres?’ Of je krijgt een melding ‘je stuurt nu een mail naar vijf ontvangers; klopt dat? “Die bewustwordingscomponent zit er geautomatiseerd in”, aldus Theo.

In een aantal situaties, onder andere bij het verzenden van medische gegevens, is het inzetten van een gecertificeerde veilig mailen oplossing verplicht. Het advies van Theo is om een bredere inzet van een veilig mailen oplossing of de inzet van functionaliteit van Microsoft of Google voor de overige medewerkers te bekijken. Daarmee kun je ook datalekken door andere medewerkers verminderen en voorkomen. Aan de bewustwording van leerkrachten moet het bestuur echter continu aandacht besteden. Naast het risico van een boete, loopt een school immers ook het risico van imagoschade. Theo: “De drijfveer voor de school moet echter zijn dat je de leerlingen wilt beschermen.”