Terugblik: privacy in het onderwijs

Hoe wordt er veilig met persoonsgegevens omgegaan? 29 december 2021

Hoe zorgt u als onderwijsinstelling ervoor dat er veilig met persoonsgegevens wordt omgegaan? Mag uw organisatie online surveilleren en meekijken tijdens een examen? Begin bij het begin. Maak de keuze voor een softwarebedrijf dat veilig met uw gegevens omgaat, maar waar moet u op letten?

Begin november 2021 vond het webinar plaats over privacy in het onderwijs, dat samen met Schoolfacilities is georganiseerd. Tijdens deze bijeenkomst werden er diverse vragen gesteld en behandeld.

Behandelde onderwerpen

Begin met een DPIA, dat is een soort privacy analyse waarmee privacyrisico’s van gegevensverwerkingen in kaart worden gebracht, bijvoorbeeld bij de aanschaf van nieuwe software. Vervolgens kunt u maatregelen treffen om deze risico’s te verkleinen. Een DPIA uitvoeren kan een flinke klus zijn. Het is daarom de moeite waard om bij DPIA’s van grote leveranciers of systemen samen op te trekken zoals bij Microsoft is gedaan. In opdracht van de Rijksoverheid zijn de afgelopen jaren DPIA’s uitgevoerd op Microsoftproducten. De uitkomsten hiervan hebben geleid tot aanbevelingen die ook gelden voor het onderwijs. Ook bij de DPIA van Google is er door verschillende partijen samen opgetrokken. Deze DPIA’s zijn online te raadplegen.

Als onderwijsinstelling moet je de controle houden over uw dataverzameling. Zeker gelet op het feit dat het vaak gaat om minderjarige personen en gevoelige gegevens, bijvoorbeeld over hun gezondheid. Kijk ook kritisch naar welk systeem je gaat gebruiken. Als een systeem eenmaal geïmplementeerd is, is het vaak kostbaar en tijdrovend om over te stappen naar een ander systeem.

Meer tips staan in het document onderaan het artikel.

In hoeverre kan een onderwijsinstelling online surveilleren en meekijken tijdens een examen zonder de privacy van leerlingen te schenden?

Marlissa: “Veel onderwijsinstellingen werken nu met online proctoring, ook wel surveilleren op afstand genoemd. Het maakt het mogelijk om online tentamens af te nemen door middel van software. Zolang er niet volledig op locatie gewerkt kan worden, is het mogelijk om gebruik te maken van dit soort software. Er zijn grofweg drie verschillende soorten proctoring software te onderscheiden: live proctoring, proctoring na afloop en geautomatiseerde proctoring.” Deze varianten staan uitgewerkt in het document onderaan het artikel.

Stel er vindt een datalek plaats. Wat moet u dan doen?

Begin met het inhoudelijk beoordelen en onderzoeken van het datalek. Breng het lek in kaart: wat is de oorzaak geweest, welke gegevens zijn gelekt en om hoeveel persoonsgegevens gaat het? Probeer het datalek vervolgens te beëindigen en neem maatregelen om de gevolgen te beperken. Bijvoorbeeld door een laptop op afstand te wissen, een bestand offline te halen of een verkeerde ontvanger te vragen om te bevestigen dat de e-mail is verwijderd.

Stel een dataprotocol op, zodat duidelijk is wie het aanspreekpunt is. In principe moet je een lek melden bij de Autoriteit Persoonsgegevens (AP) binnen 72 uur. Alleen wanneer het onwaarschijnlijk is dat de inbreuk gevolgen voor de betrokkenen heeft veroorzaakt, hoeft er geen melding te worden gedaan. Hoe dan ook maakt u een melding in uw eigen register van het lek. Moet het datalek ook gemeld worden aan de betrokkene? Dat ligt eraan. U hoeft de betrokkene alleen te informeren als er een hoog risico is voor hun rechten en vrijheden. Kunt u aannemelijk maken dat dit niet zo is? Dan hoeft u het datalek niet te melden.

Let op: meldt de onderwijsinstelling een datalek ten onrechte niet bij de AP of aan de betrokkenen? Dan kan de AP een boete opleggen.

Lees in de bijlage bij het artikel verder over DPIA’s, online proctoring en datalekken, maar ook over enkele andere belangrijke en relevante privacyrechtelijke onderwerpen voor onderwijsinstellingen, zoals verwerkersovereenkomsten, cameratoezicht in en rond het schoolterrein en het delen van foto’s van leerlingen. 

Bijlage privacy in het onderwijs