abonneren
article
Nieuws

‘Inzage in leerlinggegevens alleen als het noodzakelijk is voor werk’

Leraren mogen alleen nog maar leerlinggegevens inzien die zij voor de uitvoering van hun werk nodig hebben. Dit stelt de Autoriteit Persoonsgegevens (AP) in een vandaag gepubliceerd onderzoeksrapport naar toegangsrechten. Wat dit betekent, lees je in dit artikel.

Onderzoek van de Autoriteit Persoonsgegevens (AP) laat zien dat schoolbesturen moeten zorgen voor goedbeveiligde informatie in hun leerlingadministratie of leerlingvolgsysteem, en dat deze niet voor iedereen toegankelijk is. Een belangrijk criterium bij de beveiliging en toegankelijkheid van deze informatie: is toegang tot de gegevens continue nodig voor de taak van de medewerker, of is toegang slechts incidenteel nodig? Een leraar heeft (bijna) dagelijks gegevens nodig van zijn leerlingen waar les aan wordt gegeven. Dit geldt niet voor de klas waar deze leraar incidenteel invalt; in dit geval moet op dat moment de (tijdelijke) toegang worden geregeld.

Tijdelijk toegang verlenen

Schoolmedewerkers mogen slechts de gegevens inzien die zij nodig hebben. Om in het geval van een calamiteit of vervanging toch toegang te krijgen tot gegevens, moet het mogelijk zijn om tijdelijk toegang te vragen en te krijgen.

De leverancier van het systeem dat onderzocht is (ParnasSys), heeft hiervoor een oplossing gebouwd.

Als een geautoriseerde vervanger toegang wil tot leerlinggegevens, dan wordt tijdelijk toegang verleend. Voorwaarde is dat deze vervanger de reden van tijdelijke toegang duidelijk maakt.

De tijdelijke toegangsrechten worden vastgelegd en er wordt bijgehouden wat de vervanger heeft uitgevoerd met de leerlinggegevens. Met deze werkwijze kan het onderwijsproces door blijven gaan, terwijl de privacy beter is geregeld volgens de toezichthouder.

Andere gebruikers dan leraren

Niet alleen voor leraren moeten toegangsrechten worden ingesteld. Administratief medewerkers of intern begeleiders bijvoorbeeld, mogen niet zomaar leerlinggegevens inzien als ze deze niet nodig hebben voor hun taak.

Een intern begeleider mag bijvoorbeeld alleen dossiers van leerlingen inzien die extra zorg of begeleiding krijgen; dus niet de gegevens van alle leerlingen. Voor intern begeleiders kan in zo'n geval een aparte groep/klas worden aangemaakt.

Beveiliging ook belangrijk

Alle systemen van een school moeten goed zijn beveiligd. Daarbij is het schoolbestuur volgens de toezichthouder verplicht om rekening te houden met de ISO 27002: de internationale norm voor informatiebeveiliging. Het beveiligen van systemen tegen misbruik of verlies van de gegevens is daarmee geen keuze maar een verplichting.

In de leerlingadministratie- en leerlingvolgsystemen moet in logbestanden bijvoorbeeld worden vastgelegd welke bestanden van welke leerlingen zijn gelezen of aangepast, en wie dat heeft gedaan. Daarnaast is het schoolbestuur verplicht om regelmatig te (laten) controleren of de juiste personen toegang hebben gehad tot de gegevens, of dat er bijzonderheden in de beveiliging zijn ontdekt, zoals een poging om in te breken in het systeem.

Maak afspraken met leveranciers over beveiliging

Schoolbesturen zijn verplicht om van hun leverancier te eisen dat de geleverde software goed beveiligd is. Afspraken over privacy en beveiliging worden gemaakt in een verwerkersovereenkomst.

Om scholen en leveranciers in het onderwijs te helpen de juiste afspraken te maken, is er een privacyconvenant gemaakt. Onderdeel daarvan is een model verwerkersovereenkomst. Hierin staan standaardafspraken tussen schoolbesturen en leveranciers van onderwijsspecifieke software.

In maart 2018 wordt een nieuwe versie van het convenant en model vastgesteld en gepubliceerd. Hierin zijn specifieke afspraken opgenomen over autorisaties, logging en beveiliging.

Regel informatiebeveiliging en privacy met de aanpak IBP

In mei 2018 gaat de nieuwe AVG-wetgeving in; scholen moeten dan voldoen aan alle eisen die hierin zijn opgenomen. Het regelen van de autorisaties van je medewerkers in de verschillende systemen van je school, is hier een onderdeel van. Om scholen te helpen informatiebeveiliging en privacy (IBP) op orde te krijgen, heeft Kennisnet met de PO-Raad en VO-raad de Aanpak IBP ontwikkeld.

blog comments powered by Disqus