Digitalisering op school: een lesje privacy

privacy

Scholen maken regelmatig en in toenemende mate gebruik van leerlingvolgsystemen, waarin onder meer schoolresultaten en ziekmeldingen van leerlingen inzichtelijk zijn voor ouders. De Autoriteit Persoonsgegevens (AP) heeft privacy op scholen hoog op de agenda staan en heeft onlangs drie verschillende onderzoeken gepubliceerd over het gebruik van leerlingvolgsystemen in onderwijsorganisaties.

In deze leerlingvolgsystemen worden persoonsgegevens van leerlingen geregistreerd. Daarom is het voor zowel scholen(gemeenschappen) als ouders belangrijk om te weten dat de privacyregelgeving daarop van toepassing is. Welke aspecten spelen volgens de AP een rol bij de zorgvuldige omgang met leerlinggegevens in toepassingen van digitalisering, zoals een leerlingvolgsysteem?

Zorgvuldige omgang met leerlinggegevens

Er zijn een aantal redenen waarom de AP bijzondere aandacht besteedt aan dit onderwerp. Ten eerste worden in toepassingen van digitalisering, zoals leerlingvolgsystemen en leerlingadministratiesystemen, in grote omvang persoonsgegevens verwerkt. Dit zijn niet alleen NAW-gegevens, contactgegevens en cijfers, maar ook gegevens zoals BSN, gezondheidsgegevens en beeldmateriaal. Deze laatste gegevens vallen onder een aparte categorie persoonsgegevens uit de privacyregelgeving, namelijk bijzondere persoonsgegevens. Scholen mogen die gegevens alleen verwerken wanneer zij daar een wettelijke uitzondering voor hebben. Bovendien betreft het de persoonsgegevens van een kwetsbare groep, namelijk kinderen.

Wanneer zich een datalek voordoet met betrekking tot een leerlingvolgsysteem of leerlingadministratiesysteem kunnen de risico’s groot zijn. Iemand die onrechtmatig toegang verkrijgt tot het systeem heeft mogelijk toegang tot een grote set aan (bijzondere) leerlinggegevens. Zorgvuldigheid in de omgang met de leerlinggegevens is daarom geboden.

Onderzoeken AP

De onderzoeken van de AP zijn gericht op de beveiliging van leerlinggegevens in leerlingvolgsystemen. De privacyregelgeving vereist dat organisaties passende organisatorische en technische maatregelen nemen om verlies van of onrechtmatige toegang tot persoonsgegevens tegen te gaan. Dit betekent dat de beveiligingsmaatregelen op de risico’s moeten zijn afgestemd. Een hoger risico vereist een hoger niveau van beveiliging. Het in grote omvang verwerken van (bijzondere) persoonsgegevens van een kwetsbare groep brengt hogere risico’s met zich. Een goede beveiliging is bij leerlingvolgsystemen dus erg belangrijk. De AP neemt in haar onderzoeken de beveiligingsstandaarden uit haar Richtsnoeren beveiliging van persoonsgegevens en uit de NEN27002 (een praktijkrichtlijn voor informatiebeveiliging waarbij onderwijsinstellingen in beginsel moeten aansluiten) tot uitgangspunt.

Ten aanzien van de beveiliging van leerlinggegevens in leerlingvolgsystemen vond de AP hoofdzakelijk de volgende onderwerpen van belang.

Toegangsbeheer

Medewerkers van onderwijsinstellingen mogen volgens de AP slechts toegang verkrijgen tot de leerlinggegevens die nodig zijn voor de uitvoering van hun taken. Dit volgt uit de basisbeginselen van de privacyregelgeving, waarin is bepaald dat niet meer gegevens mogen worden verzameld dan noodzakelijk voor de te bereiken doelen. De AP noemt het opstellen van een procedure voor toegangsbeheer expliciet als maatregel in de Richtsnoeren beveiliging van persoonsgegevens.

Kortgezegd betekent dit dat niet zomaar alle medewerkers bij alle leerlinggegevens van alle leerlingen mogen kunnen. Leerkrachten en invalkrachten geven doorgaans onderwijs aan een bepaalde groep leerlingen. Zo is het bijvoorbeeld niet noodzakelijk dat meester Kees van groep 6 ook toegang heeft tot de leerlinggegevens van de leerlingen uit de kleuterklas, omdat hij die leerlinggegevens niet nodig heeft voor de uitvoering van zijn taken.

De volgende vier stappen dienen volgens de AP te worden doorlopen om toegangsrechten toe te kennen aan een medewerker:
• Bepaal welke rol een medewerker krijgt;

• Bepaal ten aanzien van welke groep leerlingen de medewerker zijn taken gaat uitvoeren;

• Bepaal welke persoonsgegevens van leerlingen de medewerker nodig heeft;

• Bepaal binnen welke tijdsperiode de medewerker de persoonsgegevens van de leerling nodig heeft.

Overigens geeft de AP wel aan dat het voor bepaalde medewerkers van onderwijsinstellingen wel vereist kan zijn dat zij een brede toegang hebben, zoals een administratief medewerker die administratieve handelingen verricht ten aanzien van alle leerlingen. Ook kan het zijn dat het voor bepaalde werkzaamheden wenselijk is om toegang te hebben tot de gegevens van alle leerlingen, maar de AP vindt dat niet voldoende reden om medewerkers standaard en continu toegang te geven. Eén van de scholen bedacht hiervoor de oplossing om een ‘noodknop’ in te stellen, waarbij een medewerker incidenteel toegang kan krijgen tot leerlinggegevens waartoe hij normaliter geen toegang zou hebben.

Logging

De AP vereist dat onderwijsinstellingen gebruik maken van logging in de leerlingvolgsystemen. Logging houdt in dat er logbestanden worden geregistreerd van gebruikersactiviteiten en relevante gebeurtenissen op het gebied van informatiebeveiliging. Uit de logbestanden moet blijken welke bestanden van een leerling zijn gelezen of zijn aangepast. De school moet de logbestanden bovendien regelmatig beoordelen om na te gaan of sprake is (geweest) van onrechtmatige toegang of gebruik van de persoonsgegevens.

Verantwoordingsplicht

Onder de Algemene Verordening Gegevensbescherming (AVG) die vanaf 25 mei 2018 van toepassing is geldt de nieuwe verplichting om door middel van documenten aan te tonen dat wordt voldaan aan de privacyregelgeving (de ‘verantwoordingsplicht’). Daarom is het raadzaam om het toegangsbeheer en logging (en de beoordeling daarvan) vast te leggen in een beveiligingsbeleid en/of procedures. Om het toegangsbeheer en logging daadwerkelijk in te regelen in de systemen is veelal overleg met de leverancier van het systeem vereist.

Hulp nodig?

Mocht je vragen hebben over dit onderwerp, neem dan contact op.