Privacy en informatiebeveiliging

Binnen schoolorganisaties worden steeds meer gegevens digitaal uitgewisseld en opgeslagen, bijvoorbeeld in leerlingvolgsystemen, digitale leermiddelen of via sociale media. De PO-Raad vindt het belangrijk dat scholen en schoolbesturen de privacy van leerlingen en medewerkers optimaal beschermen. Om scholen hierbij te helpen ondersteunen we de ontwikkeling van landelijke afspraken en standaarden. 

AVG

In de Algemene Verordening Gegevensbescherming (AVG) is vastgelegd hoe persoonsgegevens beschermd moeten worden. Schoolorganisaties worden daarin benoemd als verwerkersverantwoordelijken. Het gaat hier om leerplichtige kinderen, daarom is het van groot belang dat scholen informatiebeveiliging en privacy (IBP) goed regelen.

Aanpak IBP en Netwerk IBP

De Aanpak IBP is hét hulpmiddel voor scholen bij het ontwikkelen, uitvoeren en evalueren van IBP-beleid. Zo biedt de Aanpak IBP templates voor beleidsplannen, checklisten en inzicht in alle wettelijke verplichtingen en verantwoordelijkheden. Verder bevat de Aanpak IBP richtlijnen en tips over zaken als het regelen van cameratoezicht op school of het vragen van toestemming bij het delen van beeldmateriaal. 

Voor iedereen die zich op school bezighoudt met IBP en is er ook het netwerk IBP. Dit netwerk is dé plek om met collega’s die zich bezighouden met IBP, kennis en ervaringen te delen, gebruik te maken van standaarddocumenten en met elkaar in gesprek te gaan.

Privacyconvenant: afspraken tussen scholen en aanbieders 

Bij het gebruik van digitale leermiddelen is het belangrijk de privacy van leerlingen wordt beschermd. Het maken van goede afspraken met aanbieders van digitale producten en diensten hoort daarbij. Scholen kunnen hierbij gebruik maken van het privacyconvenant. Het bevat afspraken tussen scholen (vertegenwoordigd door de PO-Raad, VO-raad en MBO raad) en aanbieders over het omgaan met persoonsgegevens bij het gebruik van digitale leermiddelen en toetsen. Dankzij het convenant weten scholen en aanbieders wat ze over en weer van elkaar mogen verwachten, zijn de afspraken werkbaar in de praktijk en heeft iedereen dezelfde gemeenschappelijke uitleg bij deze afspraken.

Privacyconvenant 4.0
Op 13 april is het privacyconvenant 4.0 gepubliceerd en deze is op de ALV van de PO-Raad in juni 2022 bekrachtigd. Op basis van jurisprudentie en ervaring is het convenant en de bijbehorende verwerkersovereenkomst op een aantal punten gewijzigd. Zo is onder andere nog nadrukkelijker vastgelegd wat de rol van het bestuur is als verwerkersverantwoordelijke. 
 

Een veilige uitwisseling van gegevens is ook één van de ambities uit het programmaplan Digitaal Onderwijs-Goed geregeld - Edu-V, dat door het ministerie van OCW is ingediend bij het Nationaal Groeifonds. In dit programma wordt gewerkt aan een betrouwbare en toekomstbestendige infrastructuur voor digitale leermiddelen. 

Functionaris Gegevensbescherming (FG)

De AVG verplicht scholen om een Functionaris Gegevensbescherming (FG) aan te stellen. Een FG houdt binnen de scholen toezicht op de toepassing en naleving van de privacywetgeving. SIVON, de coöperatieve vereniging van schoolbesturen in het primair en voortgezet onderwijs, biedt de dienst ‘FG-as-a-service’ aan. De PO-Raad adviseert schoolbesturen die nog geen FG hebben aangesteld om contact op te nemen met SIVON

ict onderwijs

ECK iD

Het ECK iD is een digitaal pseudoniem waarmee kinderen gebruik kunnen maken van digitaal lesmateriaal. De privacy van leerlingen wordt zo nog beter beschermd. Voor het gebruik van digitaal lesmateriaal werken de systemen van scholen en aanbieders van lesmateriaal met elkaar samen. Het ECK iD, ook wel keten iD genoemd, zorgt ervoor dat leerlingen digitaal lesmateriaal kunnen gebruiken terwijl er zo min mogelijk persoonsgegevens worden uitgewisseld. De PO-Raad adviseert scholen om het ECK iD te gebruiken.

FORA: Funderend Onderwijs Referentie Architectuur

FORA is een gestandaardiseerde methodiek die inzicht geeft in verplichte processen en onderwijsactiviteiten in het primair en voortgezet onderwijs. FORA laat u ook zien aan welke wet- en regelgeving deze processen en onderwijsactiviteiten moeten voldoen.

Bewaartermijnen en archiefwet

Het bewaren van persoonsgegevens is gebonden aan regels. Voor sommige typen persoonsgegevens gelden wettelijke termijnen. Voor andere moet je zelf een termijn vaststellen. Welke (wettelijke) termijn geldt hangt af van de wet waar de persoonsgegevens onder vallen. In het onderwijs heb je te maken met onderwijswetten, de archiefwet of de Algemene Verordening Gegevensbescherming (AVG). In 2023 treedt de nieuwe archiefwet in werking. De vernieuwde archiefwet maakt het mogelijk dat de PO-Raad samen met de VO-raad een selectielijst opstelt die geldt voor de hele sector.