Privacy in het onderwijs

Geschreven op vrijdag 5 januari 2018

 

Wat moet u als school doen?

Privacy in het onderwijs, een belangrijk onderwerp. U wilt immers niet dat gegevens zomaar op straat komen te liggen. Met de komst van de GDPR in mei 2018 moet u voldoen aan strikte wet- en regelgeving. Lees in dit blog meer over waar u aan moet voldoen en hoe onze partner Heutink ICT u daarmee kan ondersteunen.

Aan welke regels moet het onderwijs voldoen?

Steeds vaker worden data van leerlingen, leerkrachten en onderwijsondersteunend personeel digitaal opgeslagen en verwerkt. Deze verwerking moet aan veel spelregels voldoen. In mei 2018 worden die spelregels strenger door de introductie van de GDPR (ook wel bekend als de AVG). De GDPR bevat veel Europees geldende wetten die vragen om actie. Niet alleen om boetes te vermijden, maar ook uit plichtsbesef. Wie de privacy van leerlingen, medewerkers en ouders niet serieus neemt, kan in de problemen komen. Aan welke spelregels moeten organisaties voldoen?

Duidelijk doel
Allereerst moet u duidelijk omschrijven met welk doel de data wordt opgeslagen. Geen enkele organisatie mag 'zomaar' gegevens opslaan. Voor uw school betekent dat dus dat u niet meer gegevens dan nodig voor het leertraject mag opslaan. Leeftijd, geslacht en adresgegevens zijn bijvoorbeeld wel relevant, maar een eventuele seksuele voorkeur niet.

Toestemming
Om gegevens te mogen verwerken is altijd uitdrukkelijk toestemming van de betrokkenen nodig. Ook hebben ze te allen tijde toestemming om de gegevens in te zien en waar nodig te corrigeren. Daarnaast mogen ze altijd verzet aantekenen tegen het gebruik van hun persoonsgegevens. Voor het basisonderwijs zijn dat de ouders van uw leerlingen.

 

 Technische en organisatorische maatregelen

Om de gegevens goed te verwerken moet u als school ook diverse technische en organisatorische maatregelen treffen. Denk aan een goede documentatie van het privacybeleid. Wanneer persoonsgegevens worden verwerkt door een derde partij, dan moet met deze partij een vewerkersovereenkomst worden opgesteld. De technische veiligheidsmaatregelen zijn bedoeld om bewust misbruik van gegevens door derden zoveel mogelijk te voorkomen. Daarbij valt te denken aan firewall, IDS/IPS-systemen en antivirus- en encryptievoorzieningen.Tenslotte moet u als schoolorganisatie een soort draaiboek hebben klaarliggen, mocht een datalek zich voordoen.

Bovenstaande maatregelen zijn een kleine opsomming. Download het Heutink ICT GDPR magazine voor meer informatie over veranderende wetgeving. Handig, om alles nog eens op uw gemak door te lezen.

Hoe helpt Heutink ICT?

Om u op een duidelijke en praktische manier te ondersteunen heeft Heutink ICT een aanpak in 3 heldere stappen.

  1. De eerste stap richting een privacy-beschermende inrichting van de schoolorganisatie is een analyse van het huidige privacybeleid. Dat doet Heutink ICT aan de hand van de zogenoemde GAP-analyse die € 599,- kost. De school krijgt een intakegesprek met de security specialist van Heutink ICT waarin een inventarisatie wordt gemaakt van de te treffen maatregelen. Het huidige privacy-en ICT-gebruiksbeleid wordt ook onder de loep genomen.
  2. Na de analyse van het huidige beleid is het noodzakelijk om passende technische- en organisatorische maatregelen te treffen. U kunt kiezen om het beleid uit te laten voeren door Heutink ICT (stap 2a), zelfstandig uit te voeren met behulp van YourSafetynet (stap 2b) of zelf aan de slag te gaan met de aanbevelingen uit het rapport (stap 2c). In dat geval staat u voor de keuze om alles zelf te regelen of een andere partij in te schakelen.
  3. Om van deze borgingsfase een actief beleid te maken, biedt Heutink ICT een onderhoudscontract. U kunt dan altijd terugvallen op onze security specialisten. Bovendien komen we jaarlijkse langs voor een audit en voortgangsrapportage waarmee u direct weet waar de zwakke plekken in uw informatiebeveiliging zitten en welke maatregelen u moet nemen.

Meer informatie

Wilt u meer informatie over wat GDPR voor uw school betekent? Bezoek dan de website van Heutink ICT of ga in gesprek tijdens de Heutink ICT dag op 24 januari 2018. Of ga gelijk aan de slag met de GDPR Gereedheidstest.