Nieuws

Toezichthouder privacy: ‘inzage in leerlinggegevens alleen als het noodzakelijk is’

Leraren mogen alleen maar leerlinggegevens inzien die zij voor hun werk nodig hebben. Dit stelt de Autoriteit Persoonsgegevens (AP). Ook moeten schoolbesturen zorgen dat hun leerlingadministratie- en leerlingvolgsystemen goed beveiligd zijn. De AP roept scholen op om hun werkwijze met systemen nog eens tegen het licht te houden.

De AP stelt dat schoolbesturen verplicht zijn om rekening te houden met de internationale norm voor informatiebeveiliging. Hiermee is het beveiligen van systemen tegen misbruik of verlies van leerlinggegevens geen keuze maar een verplichting. Zo moet worden vastgelegd welke bestanden van welke leerlingen zijn gelezen of aangepast, en wie dat heeft gedaan. Daarnaast is het schoolbestuur verplicht om regelmatig te (laten) controleren of de juiste personen toegang hebben gehad tot de gegevens, of dat er bijzonderheden in de beveiliging zijn ontdekt, zoals een poging om in te breken in het systeem.

Toegang tot leerlinggegevens

Leraren, administratief medewerkers en intern begeleiders mogen alleen de gegevens zien die zij nodig hebben. Zo mag een intern begeleider uitsluitend toegang krijgen tot de dossiers van leerlingen die extra zorg of begeleiding ontvangen. Ook is het van belang om te kijken of de toegang tot leerlinggegevens structureel of incidenteel nodig is. Wanneer een leraar invalt voor een klas, is structurele toegang niet nodig. In dit geval is het van belang om tijdelijke toegang tot leerlinggegevens te verstrekken.

Maak afspraken met leveranciers

Schoolbesturen zijn verplicht om van hun leverancier te eisen dat de geleverde software goed beveiligd is. Het privacyconvenant helpt scholen om makkelijker afspraken te maken met leveranciers en uitgevers over hoe zij veilig met leerlinggegevens omgaan. Deze afspraken worden vastgelegd in een verwerkersovereenkomst. Binnenkort verschijnt er een nieuwe versie van het convenant en de verwerkersovereenkomst. Hier zijn specifieke afspraken over autorisaties, logging en beveiliging in opgenomen. Zodra de nieuwe versie beschikbaar is publiceert de PO-Raad dit op haar website.

Regel informatiebeveiliging en privacy met de aanpak IBP

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Scholen moeten dan voldoen aan deze nieuwe Europese privacywetgeving. Het goed regelen van autorisaties van medewerkers in de verschillende systemen is onderdeel van de AVG. Om scholen te helpen met het orde krijgen van informatiebeveiliging en privacy (IBP), heeft Kennisnet met de PO-Raad en VO-raad de Aanpak IBP ontwikkeld.