Privacy

Privacy

Scholen beschikken over ontzettend veel gegevens van leerlingen, maar ook van medewerkers en ouders. Sinds mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht en zijn scholen en besturen verplicht om zorgvuldig om te gaan met persoonsgegevens en om ze goed te beveiligen. Ook moet je als onderwijsinstelling aan kunnen geven wat je doet om data te beschermen. 

De school/het bestuur is verantwoordelijk voor:

  • Het waarborgen van de privacy van leerlingen, medewerkers en ouders;
  • Het informeren van ouders over hoe de persoonsgegevens worden verwerkt en wat hun rechten zijn;
  • Het vragen van toestemming bij het uitwisselen of het openbaar maken van gegevens;
  • Een optimale beveiliging van persoonsgegevens om misbruik te voorkomen;
  • Het instrueren van medewerkers wat is toegestaan rond het verzamelen en verwerken van persoonsgegevens.
  • Het documenteren van de door jou genomen organisatorische en technische maatregelen om aan de AVG te voldoen.

Gegevens van leerlingen worden, door het gebruik van digitale leermiddelen en bijvoorbeeld leerlingvolgsystemen, gedeeld met leveranciers. Als instelling ben je verplicht om goede afspraken te maken met de leveranciers waarmee je werkt over informatiebeveiliging en privacy. Ook moet dit worden vastgelegd in een verwerkingsovereenkomst.

Om scholen en leveranciers in het onderwijs te helpen de juiste afspraken te maken, hebben de PO-Raad en VO-raad het initiatief genomen tot een privacyconvenant voor de hele sector. Dit convenant bevat afspraken over bescherming van persoonsgegevens die worden verwerkt in het kader van het gebruik van digitale onderwijsmiddelen. Onderdeel hiervan is een model verwerkersovereenkomst. De modelverwerkersovereenkomst geldt als de standaard voor het (speciaal) basisonderwijs.

APS IT-diensten toetst verwerkersovereenkomsten leveranciers

Wij willen scholen inzicht bieden in hoe leveranciers omgaan met persoonsgegevens. Sommige leveranciers zijn aangesloten bij het Privacy-convenant Onderwijs. Leveranciers die hier géén deel van uitmaken, hanteren hun eigen verwerkersvoorwaarden. De verschillen tussen deze voorwaarden maken wij inzichtelijk Ook geven we aan of de voorwaarden voldoen aan de AVG. Als er uitzonderingen zijn, dan dient de leverancier dit te vermelden. Wij laten deze uitzonderingen toetsen en controleren door een jurist. Alle uitkomsten vind je terug op de specifieke productpagina’s onder licenties. Wat de verschillen ook zijn, als school blijf je altijd zelf eindverantwoordelijk voor de beveiliging en voor de afspraken met de leverancier.

Voor grote leveranciers die hun eigen voorwaarden hanteren en die geen deel uitmaken van het privacyconvenant, maken wij deel uit van een onderwijsbreed consortium dat met deze leveranciers onderhandelt.

Microsoft en de AVG

De meeste scholen in Nederland werken met Microsoft 365 en Windows 10. Dat betekent dat gegevens worden verwerkt in datacenters van Microsoft. Daar is een verwerkersovereenkomst voor nodig. Deze overeenkomst is onderdeel van je contract, dat je voor Microsoft-producten met APS IT-diensten hebt gesloten.

Een belangrijke vraag is: hoe verhoudt de verwerkersovereenkomst van Microsoft zich tot de model verwerkersovereenkomst van het Convenant Digitale Onderwijsmiddelen en Privacy?

Samen met de PO-Raad, VO-raad en Kennisnet hebben we het initiatief genomen om Microsoft te toetsen aan de voorwaarden van het privacyconvenant en de AVG. En we kunnen melden dat de verwerkersovereenkomst van Microsoft in combinatie met de extra afspraken voldoet aan de privacywet- en regelgeving in Nederland. In dit document zetten we de artikelen van het Privacyconvenant Onderwijs af tegen de bepalingen uit de Microsoft verwerkersovereenkomst en de extra afspraken. Zodat je ze kunt vergelijken en zelf kunt beoordelen of je ons oordeel over de Microsoft-verwerkersovereenkomst deelt.

Hoe maak je medewerkers privacybewust?

De nieuwe privacywet AVG heeft bij veel scholen en besturen geleid tot het formuleren van een privacybeleid, het aanstellen van een Functionaris Gegevensbescherming (FG) en het nemen van technische en organisatorische maatregelen. Maatregelen waarmee scholen en besturen op papier voldoen aan de AVG-eisen. Maar in de praktijk is gedrag allesbepalend en zijn medewerkers de belangrijkste schakel.

Met allerlei gevoelige informatie over leerlingen die op scholen wordt gebruikt, loop je als school dan risico op een datalek. Hoe zorg je ervoor dat alle medewerkers bewust en veilig omgaan met de gegevens van anderen? Jochen den Ouden, IT Security Specialist en ethisch hacker vertelt in dit artikel hoe je het bewustzijn rondom privacy op school vergroot.