School & AVG – Privacy in het digitale tijdperk

De Algemene Verordening Gegevensbescherming (AVG) is vanaf mei 2016 al actief, echter pas vanaf 25 mei 2018 zal de AVG ook daadwerkelijk worden gehandhaafd door de Autoriteit Persoonsgegevens (AP). Er kunnen sancties worden opgelegd als een organisatie of instelling niet voldoet aan de wet. Dit kunnen bijvoorbeeld boetes zijn tot 4% van de wereldwijde omzet.

AVG & School - © IDA

Technologie en digitalisering
We leven in het digitale tijdperk en maken allemaal gebruik van technologie. Digitalisering biedt kansen en mogelijkheden om interne werkprocessen efficiënter te organiseren. Het heeft echter ook een keerzijde: dataopslag van privacygevoelige informatie. De AVG-privacy wetgeving voorziet in de regels voor opslag van privacygevoelige informatie. Bescherming van jouw privacy en mijn privacy. Bij het ontwerp van digitale systemen zijn er 2 keuzes:

Privacy by Design: Welke data hebben we nodig? Welke data willen we verwerken én opslaan? Deze methode gaat uit van minimale, maar doelmatige opslag én verwerking van persoonsgegevens. Bij het ontwerp wordt de bescherming van persoonsgegevens al meegenomen. Via toegangsautorisatie wordt bepaald wie welke informatie kan zien. Technologie en innovatie wordt ingezet om onze privacy te waarborgen.

Privacy by Default: We hebben data nodig. Dat is handig, want meten is weten. Deze methode gaat uit van privacy vriendelijke standaardinstellingen voor bescherming van persoonsgegevens. De gebruiker vult de gegevens in en bepaalt zelf hoeveel anderen mogen zien. Het invullen van de gegevens gebeurt soms automatisch vanuit andere digitale systemen die gekoppeld zijn. Menselijk handelen bepaalt of onze privacy wordt gewaarborgd.

Digitalisering van het onderwijs
Het onderwijssysteem is gebaseerd op regels, afspraken, meet-momenten, maar vooral opbrengstgericht werken. Digitalisering en dus systeemdenken zouden hierbij geen probleem moeten zijn. Digitalisering gaat echter ook over menselijk handelen; de handelswijze van de gebruiker van het digitale systeem. Menselijk gedrag is nog steeds bepalend bij het veilig en nuttig gebruik maken van digitale systemen. Verbazingwekkend genoeg heerst er in het onderwijs nog steeds een angstcultuur, als het gaat om het gebruik van digitale leer- en lesmaterialen. De invoering van de AVG-privacy wetgeving is hier waarschijnlijk de remmende factor. Er is weerstand tegen nog meer regels waaraan voldaan moet worden. Persoonlijk denk ik dat deze paniekvoetbal niet nodig is. De AVG is juist een kans, om met elkaar in gesprek te gaan over ICT & Innovatie in het onderwijs. Als onderwijsinstellingen kunnen aantonen dat ze bewust actie hebben ondernomen om te voldoen aan de AVG-privacy wetgeving, zal een overtreding blijven bij een waarschuwing en verscherpt toezicht. Als school wil je echter geen reputatieschade oplopen, dus samen schouders eronder en gaan!

AVG-Privacy in het onderwijs
Privacy in het onderwijs gaat over alle onderwijs betrokkenen. Privacygevoelige informatie zie je liever niet op straat of in de media belanden. De implementatie van de AVG-privacy wetgeving is een kans om kritisch te beoordelen hoe de informatiebeveiliging (dataprotectie) op een school is gewaarborgd. Het begint bij de analyse van de ICT-infrastructuur en de leveranciers van digitale leer- en lesmaterialen. Het brengt in kaart welke digitale tools, websites en apps gebruikt én geschikt zijn in het onderwijs. Het activeert de bewustwording over privacygevoelige informatie bij alle onderwijs betrokkenen. Hoe gaan we om met de dataopslag van privacygevoelige informatie en persoonsgegevens, zowel digitaal als via papier?

Handleiding AVG
In 10 stappen voorbereid op de AVG
Scholen & de AVG
Verantwoordingsplicht en verwerkersovereenkomst
Data Protection Impact Assessment
Lespakket Privacy voor leerlingen

Scholen en de AVG
Het schoolbestuur heeft een verantwoordingsplicht en is daarmee juridisch aansprakelijk voor het waarborgen van de privacy van onderwijs betrokkenen. Deze juridische aansprakelijkheid kan worden beperkt door het voeren van een goed beleid inzake Informatie Beveiliging & Privacy (IBP). Hiervoor zijn door de Autoriteit Persoonsgegevens (AP) richtlijnen opgesteld. Een onderdeel van de verantwoordingsplicht is het bepalen of het noodzakelijk is een Data Protection Impact Assessment (DPIA) uit te voeren. Een DPIA is alleen verplicht als gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor de onderwijs betrokkenen. Bij een verhoogd risico moeten aanvullende maatregelen worden genomen om de IBP te waarborgen.

De hoofdzaken die in het schoolbeleid moeten worden opgenomen zijn:
• Welke technische maatregelen heeft het schoolbestuur genomen?
• Welke organisatorische maatregelen heeft het schoolbestuur genomen?
• Hoe waarborgen we de privacy van onderwijs betrokkenen?
• Welke rechten bestaan er om persoonsgegevens te mogen verwerken?
• Welke (juridische) documentatie moet worden opgenomen in het beleidsplan?
• Welke contracten en overeenkomsten hebben wij met externe leveranciers?
• Welke protocollen, procedures en processen raken dit onderwerp?
• Welke taken en verantwoordelijken hebben de onderwijs betrokkenen?
• Wie is verantwoordelijk voor handhaving en interne beheersing?
• Wie moeten wij informeren over dit (gewijzigde) beleid?

Data Protection Officer / Functionaris Gegevensbescherming
Het schoolbestuur kan kiezen voor het aanstellen van een Functionaris Gegevensbescherming (FG) of Data Protection Officer (DPO). Deze persoon is namens de school verantwoordelijk voor de uitvoering van het beleidsplan en signalering van veiligheidsrisico’s. In sommige gevallen is deze functie uitgebreid met periodieke controles, handhaving en meldplicht van een datalek bij het schoolbestuur én de AP. Het verdient aanbeveling deze functionaris te laten vallen onder de klokkenluidersregeling, om bij de uitoefening van de functie transparantie en integriteit te waarborgen. De klokkenluidersregeling en overige taken en bevoegdheden van deze functionaris moeten dus eveneens worden opgenomen in het beleidsplan.

Functionaris Gegevensbescherming
Huis voor Klokkenluiders

Wat moeten docenten en leerkrachten weten?
De school heeft verantwoordingsplicht en is juridisch aansprakelijk. De docent of leerkracht doet er goed aan alle digitale communicatiemiddelen en digitale leer- en lesmaterialen bij de schoolleiding te melden. Belangrijk is dat de docent of leerkracht weet wat persoonsgegevens zijn en zich bewust is van de privacy van zichzelf en anderen. Daarnaast is het belangrijk dat de privacy van kinderen tot 16 jaar valt onder verantwoording van de ouders. Vraag toestemming, communiceer tijdig en wees transparant. Maar vooral; gebruik je gezonde verstand.

Digitalisering Onderwijs - © IDA

Het beoordelen van geschikte digitale tools in het onderwijs is niet altijd eenvoudig. Er is discussie geweest over het leerlingvolgsysteem en andere digitale tools die gebruik maken van een e-mailadres of persoonlijk account. Het e-mailadres is het eerste persoonsgegeven en wordt hierna vaak gekoppeld aan verzending van een (commerciële) mailing met aanvullende producten of diensten. Het account is het tweede persoonsgegeven en laat een digitaal spoor achter van de gebruiker in het systeem; dit vormt een privacy risico. De AP adviseert hierbij in eerste instantie het gebruik van pseudoniemen om de opslag van privacygevoelige informatie te beperken. Maar ook de AP is voorzichtig met deze optie, want daarbij moeten alle overwegingen voor het gebruik van een pseudoniem worden beschreven om te voldoen aan de AVG. Ergens zal je de koppeling persoon-pseudoniem moeten opslaan, wat weer een privacy risico kan opleveren.

Wat zijn persoonsgegevens?
Gebruik van persoonsgegevens in het onderwijs
Gebruik van pseudoniemen
Gebruik van persoonsgegevens door scholen – Wetgevingsadviezen

Wat moeten ouders en leerlingen weten?
Kinderen hebben recht op privacy. Tot 16 jaar zijn ouders of wettelijke vertegenwoordigers verantwoordelijk voor het waarborgen van de privacy van het kind. De school zal dus toestemming moeten vragen voor het publiceren van foto’s en het gebruik van digitale communicatiemiddelen. Maar ook digitale leer- en lesmaterialen, als hierbij persoonsgegevens worden verwerkt. Digitalisering en de AVG mag nooit leiden tot uitsluiting. Elke leerling moet toegang hebben tot dezelfde (digitale) informatie en ouders mogen hierbij inzage hebben, zonder dat zij hiermee de privacy van het kind schenden. Ook bij schoolactiviteiten is de schoolleiding verantwoordelijk voor het voeren van een eenduidig schoolbeleid. Dit betreft dan met name het gebruik van digitale communicatiemiddelen (internet – en sociale media) en het waarborgen van de privacy van alle onderwijs betrokkenen. Er bestaat een recht op inzage welke persoonsgegevens er worden opgeslagen of verwerkt, dus vraag ernaar bij uw school of kijk op de schoolwebsite hoe de privacy van uw kind is gewaarborgd.

Kinderrechten: Artikel 16 – Privacy
Rechten van betrokkenen

Vragen, advies of ondersteuning nodig?
De AVG-privacy wetgeving is opgenomen in ons beleidsplan Sociaal Veilige & Mediawijze School. In dit beleidsplan ondersteunen wij de schoolleiding, leerkrachten & docenten, ouders én leerlingen bij digitalisering en mediawijsheid. Wij begeleiden het implementatie proces via presentaties, workshops en trainingen voor onderwijsbetrokkenen. Een ICT juridische toetsing en ISO27001 certificering behoren tot de mogelijkheden.

IDA Interim Development Advice

IDA Interim Development Advice – Juridisch bedrijfsadvies
AVG Proof in 15 stappen – Overzicht met 15 stappen & PDF Download
AVG Privacy wetgeving  – Presentatie & Training aanvragen

Literatuurverwijzing ter inspiratie
Digitaal onderlegd of blijvend de onderliggende partij?
Essay van Paulo Moekotte – Practor Mediawijsheid – Media College Amsterdam

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Samen Sociaal Sterk

error: Content is protected !!