Privacy

Privacy

Scholen beschikken over ontzettend veel gegevens van leerlingen, medewerkers en ouders. Sinds mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. De AVG verplicht scholen en besturen verplicht persoonsgegevens zorgvuldig te gebruiken. Ook stelt de AVG hoge eisen aan de beveiliging van persoonsgegevens, om zo de privacy van leerlingen, medewerkers en ouders te beschermen. De wet eist dat scholen aangeven welke maatregelen ze nemen om data te beschermen.

Welke eisen stelt de AVG?

De AVG is redelijk complex, maar in het kort is de school/het bestuur ervoor verantwoordelijk dat aan de volgende privacy-eisen is voldaan:

  • Privacy van leerlingen in het basisonderwijs, medewerkers en ouders is gewaarborgd
  • Ouders van leerlingen in het basisonderwijs worden gewezen op hun rechten en geïnformeerd over hoe persoonsgegevens verwerkt worden
  • Voorafgaand aan het uitwisselen of openbaar maken van persoonsgegevens wordt hiervoor toestemming vragen
  • Basisscholen instrueren hun medewerkers over wat vanuit de privacy is toegestaan rond het verzamelen en verwerken van persoonsgegevens
  • Het documenteren van de door jou genomen organisatorische en technische privacy- en beveiligingsmaatregelen om aan de AVG te voldoen.

Privacy en samenwerken met derden

Wanneer jouw basisschool gebruik maakt van digitale leermiddelen, zoals leerlingvolgsystemen (LVS) is het onvermijdelijk dat persoonlijke gegevens van leerlingen met leveranciers gedeeld worden. De AVG staat deze samenwerking niet in de weg, mits aan een aantal voorwaarden voldaan is.

Belangrijkste aandachtspunt is dat je als basisschool altijd eindverantwoordelijk blijft voor de beveiliging van persoonsgegevens. Door goede afspraken met leveranciers te maken zorg je dat je aan de AVG voldoet, maar je basisschool blijft altijd het aanspreekpunt voor belanghebbenden.

Het is daarom nodig afspraken te maken die garanderen dat de privacy ook bij leveranciers gegarandeerd is. Deze afspraken over pricacy en informatiebeveiliging leg je vast in een verwerkingsovereenkomst. Je sluit zo een verwerkingsovereenkomst met elke individuele leverancier of ict-dienstverlener.

Het opstellen en controleren van elke verwerkersovereenkomst is specialistisch werk. Om scholen en leveranciers in het onderwijs te helpen de juiste afspraken te maken, hebben de PO-Raad en VO-raad het initiatief een privacy convenant voor het onderwijs opgesteld.

Dit convenant bevat afspraken over bescherming van persoonsgegevens die worden verwerkt in het kader van het gebruik van digitale onderwijsmiddelen. Onderdeel hiervan is een model-verwerkersovereenkomst. De model-verwerkersovereenkomst geldt als de standaard voor het (speciaal) basisonderwijs.

APS IT-diensten toetst verwerkersovereenkomsten leveranciers

Sommige leveranciers zijn aangesloten bij het Privacy-convenant Onderwijs. Leveranciers die hier géén deel van uitmaken, hanteren hun eigen verwerkersvoorwaarden. Wij assisteren scholen door inzicht bieden in hoe leveranciers omgaan met persoonsgegevens. Ook controleren we of de voorwaarden voldoen aan de AVG. Als er uitzonderingen zijn, dan dient de leverancier dit te vermelden. Wij laten deze uitzonderingen toetsen en controleren door een jurist die gespecialiseerd is in verwerkersovereenkomsten en privacy-wetgeving. Alle uitkomsten vind je terug op de specifieke productpagina’s onder licenties.

Sommige grote ict dienstverleners en leveranciers hanteren hun eigen voorwaarden en maken geen deel uit van het privacyconvenant. Wij maken wij deel uit van een onderwijsbreed consortium dat met deze leveranciers onderhandelt. Zo bevorderen wij dat elke verwerkersovereenkomst aan de AVG voldoet en dat gegevens zo veilig mogelijk zijn. Zo ontzorgen we basisscholen.

Microsoft en de AVG

De meeste scholen in Nederland werken met Microsoft 365 en Windows 10. Dat betekent dat veel persoonlijke gegevens worden verwerkt in datacenters van Microsoft. Daar is een verwerkersovereenkomst voor nodig. Deze overeenkomst is onderdeel is van het contract dat je voor Microsoft-producten met APS IT-diensten hebt gesloten. Je hoeft dus geen aparte verwerkersovereenkomst met Microsoft te sluiten.

Een belangrijke vraag is: hoe verhoudt de verwerkersovereenkomst van Microsoft zich tot de model-verwerkersovereenkomst van het Convenant Digitale Onderwijsmiddelen en Privacy?

Omdat we dit zelf ook graag wilden weten hebben we, samen met de PO-Raad, VO-raad en Kennisnet het initiatief genomen Microsoft te toetsen aan de voorwaarden van het privacyconvenant en de AVG.

De uitkomst was positief. We kunnen melden dat de verwerkersovereenkomst van Microsoft in combinatie met de extra afspraken voldoet aan de privacywet- en regelgeving in Nederland. In dit document zetten we de artikelen van het Privacyconvenant Onderwijs af tegen de bepalingen uit de Microsoft verwerkersovereenkomst en de extra afspraken. Je kunt ze zelf vergelijken en beoordelen of je ons oordeel over de Microsoft-verwerkersovereenkomst deelt.

Hoe maak je medewerkers bewust van pricacy?

De nieuwe privacywet AVG heeft veel scholen en besturen aangezet tot het formuleren van een privacybeleid, het aanstellen van een Functionaris Gegevensbescherming (FG) en het nemen van technische en organisatorische maatregelen. Met deze maatregelen voldoen basisscholen en besturen op papier aan de AVG-eisen. Of echt aan de privacy regels voldaan wordt hangt echter af van de dagelijkse praktijk in het onderwijs. Gedrag is allesbepalend; medewerkers zijn de belangrijkste schakel.

Het risico op een datalek is altijd aanwezig. Het kleinste foutje kan al genoeg zijn. Aangezien je op je basisschool allerlei gevoelige informatie over leerlingen gebruikt, kan een datalek grote gevolgen hebben. Hoe zorg je dat alle medewerkers bewust en veilig omgaan met de gegevens van anderen? Jochen den Ouden, IT Security Specialist en ethisch hacker vertelt in dit artikel hoe je het bewustzijn rondom privacy op school vergroot.