Tijdschrift Privacy 01 Maart 2015
Adri de Bruijn (l) enJan Visser (r): "Scholen leggen veel gegevens vast. Ze doen dat overigens met de beste bedoelingen"
Nulmeting privacy en informatiebeveiliging scholen
"Maak gebruik van bij kennisorganisaties"
Tekst: René Schellingerhout Fotografie: Geert van Tol
PwC sprak voor de nulmeting met vier scholen, twee in het primair en twee in het voortgezet onderwijs. Het ministerie van Onderwijs, Cultuur en Wetenschap (OCW ) wilde als opdrachtgever een beeld krijgen van de wijze waarop scholen met privacy en informatiebeveiliging omgaan. Visser: “Het doel van het onderzoek was niet om een oordeel te vellen over privacy en informatiebeveiliging in de onderwijssectoren PO en VO. Wel hebben we een denkbeeldige thermometer in de scholen gestoken om een gevoel te krijgen van de privacypraktijk van alledag. Waar lopen scholen tegenaan, waar zitten de knelpunten en wat is er wel en niet
geregeld.” Adri de Bruijn, partner bij PwC: “We hebben met vier scholen gesproken. Onze conclusies zijn daarom slechts indicatief.”
De scope van het onderzoek beperkte zich tot de vraag welke gegevens scholen vastleggen en hoe zij dit doen. Dit deed PwC voor het aanmeld- en inschrijfproces, social media en digitale leermiddelen. “Het verwerken van persoonsgegevens gebeurt op basis van gezond verstand”, vat Visser de belangrijkste conclusie samen. “Scholen leggen vrij veel gegevens vast over de leerling. Ze doen dat overigens met de
Tijdschrift Privacy 01 I Maart 2015
5
verantwoorden. Doorgaans kunnen scholen deze meer complexe vraagstukken minder goed invulling geven, omdat de diepgaande kennis van privacywetgeving vaak niet voorhanden is.”
“Je kunt je afvragen of scholen niet teveel persoonsgegevens vastleggen”
Visser: "Er is sprake van een kennisleemte"
beste bedoelingen, want hoe meer bekend is over een leerling hoe beter de begeleiding. Maar wordt er niet te veel vastgelegd? En worden deze gegevens wel voldoende beveiligd? Scholen bewaren bijvoorbeeld een fysiek dossier van een leerling in een afgesloten kast en doen de kamer op slot. Dat ligt voor de hand. Maar je hebt ook te maken met complexere zaken. Welke maatregelen eis je bijvoorbeeld in een contract met een leverancier bij wie je een dienst afneemt en die daarom gegevens van jouw leerlingen verwerkt? Leveranciers van digitale leermiddelen bijvoorbeeld verwerken niet alleen gegevens van leerlingen, maar ook van docenten. Hoe de leverancier die gegevens gebruikt en met welke partijen hij deze informatie deelt, is voor een school niet inzichtelijk, omdat deze zich over dit onderwerp niet
6
De scholen uit het onderzoek maken allemaal gebruik van een leerlingvolgsysteem en van digitale leermiddelen. Deze systemen zijn uitbesteed bij externe leveranciers die de informatie vaak hosten in een cloud. Omdat die markt in handen is van slechts enkele ICTpartijen, zijn scholen afhankelijk van deze leveranciers. Toch staan scholen volgens Visser en De Bruijn niet helemaal machteloos als ze willen achterhalen wat er gebeurt met de persoonsgegevens bij de leverancier. “Loop het contract met je leverancier eens goed door. Daar kun je voor een deel al uit afleiden wat de leverancier met de gegevens doet.” De Bruijn: “Je kunt als school ook navragen bij het CBP welke meldingen de leverancier of de uitgever daar heeft gedaan. En ik zou gewoon eens vaker afspreken met de leverancier om te vragen wat er met de gegevens precies gebeurt. Aan de voorkant heb je als school het contract en de CBP-melding. Aan de achterkant kun je bijvoorbeeld via een audit controleren of de gegevens ook verwerkt worden zoals is afgesproken.”
”Vraag je leverancier wat er precies met de gegevens gebeurt” De scholen uit het onderzoek hadden geen van allen een FG in dienst. Privacy en informatiebeveiliging liggen meestal in handen van een staffunctionaris of een docent die dit ‘erbij doet’ naast zijn reguliere werk. De kennis van scholen over de Wbp is beperkt (zie kader). Visser: “Er is sprake van een kennisleemte. Men weet dat er privacywetgeving bestaat en kent de incidenten, maar dat is niet hetzelfde als het kunnen toepassen van de Wbp binnen de eigen organisatie.”
Tijdschrift Privacy 01 I Maart 2015
Scholen kunnen voor die ontbrekende kennis terecht bij externe kennisorganisaties, stelt Visser. “Maak als school gebruik van de kennis en de materialen die beschikbaar zijn. Een organisatie als Kennisnet heeft speciale campagnes ontwikkeld over privacy en informatiebeveiliging. Ook de PO-raad en de VO-raad zijn bezig met bijvoorbeeld modelovereenkomsten met leveranciers voor de inhuur van ICT-middelen. Kennisnet heeft bijvoorbeeld een Privacy Quickscan gemaakt. Ook heeft ze praktische boekjes uitgebracht over privacy en informatiebeveiliging met vragen als "Hoe doe je iets? Dat doe je zo.” Desondanks is één van de conclusies uit het onderzoek dat scholen te weinig ondersteuning ervaren van kennis- en belangenorganisaties op het gebied van privacy en informatiebeveiliging. Er is bij scholen vooral behoefte aan praktische handreikingen. “Die handreikingen zijn er dus wel degelijk”, zegt Visser. “Er zit een gap tussen wat scholen denken dat beschikbaar is op dit terrein en wat kennis- en koepelorganisaties daadwerkelijk aanbieden.”
“Die handreikingen zijn er dus wel degelijk” De aanstaande Europese Data Protectie Verordening is bij de onderzochte scholen niet bekend. Visser: “De boetes bij het niet-naleven van de verordening kunnen aardig oplopen. Het is sowieso onze taak als PwC om onze klanten te wijzen op toekomstige potentiële risico’s. De kleinere scholen en onderwijsinstellingen hebben geen budget voor het aanstellen van een FG. Daarom adviseren we scholen ook om dit punt en voor andere zaken de samenwerking te zoeken met andere onderwijsinstellingen en met de koepelorganisaties.” De Bruijn tot slot: “Je kunt er als school alvast op vooruitlopen. De kern is dat scholen anticiperen op toekomstige ontwikkelingen. Dat geldt voor de verordening, maar bijvoorbeeld ook voor Big Data. Denk als school na over de vraag wat je er mee wilt gaan doen.”
Ga als privacyverantwoordelijke binnen de school met de ondernemingsraad en medezeggenschapsraad om tafel en informeer hen over hoe je met de gegevens van leerlingen en docenten omgaat. Privacy en informatiebeveiliging zijn ook van belang voor docenten, niet-onderwijzend personeel en de ouders van leerlingen. Breng in kaart welke gegevens verzameld en verwerkt worden. Bespreek dit met de directie, met docenten, de IT-verantwoordelijke en ander nietonderwijzend personeel. Stel duidelijke regels vast voor de verwerking met privacygevoelige gegevens en benoem maatregelen. Kijk kritisch naar de leverancierscontracten; zorg ervoor dat je een stevige gesprekspartner bent.
Stel, Thomas zit in groep 1 van de lagere school. Toen zijn ouders hem aanmeldden, heeft de school zijn pasfoto, een kopie van zijn identiteitsbewijs en het BSN-nummer van zijn ouders ontvangen en verwerkt. Ook is de geloofsovertuiging van Thomas’ ouders opgenomen in het leerlingvolgsysteem. In het aanmeldformulier vraagt de school de ouders niet om toestemming voor het vastleggen van al deze gegevens. Dit is, zo blijkt uit het PwC-rapport, eerder regel dan uitzondering. Toch is het in strijd met de Wet bescherming persoonsgegevens (Wbp). Die stelt dat een school ouders expliciet om toestemming moet vragen voor het verwerken van in ieder geval de pasfoto en de geloofsovertuiging. Een school mag in geen geval een kopie van het identiteitsbewijs opvragen en vastleggen. Bron: ‘Nulmeting Privacy en Informatiebeveiliging Primair en Voortgezet Onderwijs’ voor PwC, april 2014 in opdracht van het ministerie van Onderwijs, Cultuur en Wetenschap.
Tijdschrift Privacy 01 I Maart 2015
7
