U bent hier

Autoriteit Persoonsgegevens: inzage leerlinggegevens alleen als dat noodzakelijk is

Wat als u een leerlingvolgsysteem gebruikt dat te ruime toegangsrechten voor medewerkers heeft? De Autoriteit Persoonsgegevens deed de afgelopen anderhalf jaar onderzoek naar een leerlingvolgsysteem waarvan zij vermoedde dat het medewerkers te gemakkelijk toegang gaf tot persoonsgegevens van leerlingen. We noemen het leerlingvolgsysteem X. Ruim 5.000 onderwijsinstellingen (ongeveer 900 besturen) hebben systeem X in gebruik.

De Autoriteit Persoonsgegevens (AP) stelde in juni 2016 een onderzoek in naar aanleiding van signalen over de mogelijk te ruime toegangsrechten voor medewerkers van instellingen tot persoonsgegevens in leerlingvolgsysteem X.

Drie grote schoolbesturen werden gedurende anderhalf jaar onderzocht. De AP wilde weten of passende beveiligingsmaatregelen zijn genomen om de persoonsgegevens van leerlingen in leerling volgsysteem X te beveiligen tegen onbevoegde kennisneming, wijziging of verstrekking van de leerlinggegevens. Kortom: hoe was de toegangsbeveiliging met betrekking tot persoonsgegevens van leerlingen in leelingvolgsysteem X?

Een van de schoolbesturen, onderwijsstichting Movare, werd tijdens het onderzoek bijgestaan door een van de juristen van Verus, Loulène Boersma. Op 12 maart 2018 publiceerde de AP het definitieve rapport bevindingen uit januari 2018.

Inzage moet noodzakelijk zijn

Aanvankelijk hadden medewerkers van de scholen van de drie onderwijsorganisaties toegang tot de persoonsgegevens van alle leerlingen van de school. Naar aanleiding van het onderzoek van de AP gingen zij in gesprek met het leerlingvolgsysteem X over technische aanpassingen. Deze leidden ertoe dat de medewerkers nu alleen toegang hebben tot gegevens die voor hen noodzakelijk zijn.

Ook troffen de drie onderzochte onderwijsorganisaties maatregelen om de beveiliging van de persoonsgegevens te verbeteren door bij te houden welke bestanden van welke leerlingen zijn gelezen of aangepast. 

Wat betekent dit voor u?

Wat betekent dit voor schoolbesturen, als verantwoordelijke, en hun scholen?Leraren mogen alleen leerlinggegevens inzien die zij voor hun werk nodig hebben. Het moet, kortom, noodzakelijk zijn.

Leraren, administratief medewerkers en intern begeleiders zien alleen de gegevens in die zij voor hun werk op dat moment nodig hebben. Zo mag een intern begeleider uitsluitend toegang krijgen tot de dossiers van leerlingen die extra zorg of begeleiding ontvangen. En niet langer tot de gegevens van alle leerlingen. En wanneer een leraar bijvoorbeeld voor een klas invalt, is alleen tijdelijke toegang tot leerlinggegevens van die klas toegestaan.De AP roept alle besturen op hun werkwijze met leerlingvolgsystemen grondig te onderzoeken en stelt dat schoolbesturen verplicht zijn om rekening te houden met de internationale norm voor informatiebeveiliging. 

Ieder bestuur moet zijn systemen tegen misbruik of verlies van leerlinggegevens beveiligen. Zo is het verplicht vast te leggen welke bestanden van welke leerlingen zijn gelezen of aangepast, en wie dat heeft gedaan. Daarnaast is het schoolbestuur verplicht om regelmatig te (laten) controleren of de juiste personen toegang hebben gehad tot de gegevens, of dat er bijzonderheden in de beveiliging zijn ontdekt, zoals een poging om in te breken in het systeem.

In het definitieve rapport komt de AP tot de eindconclusie dat onderwijsstichting Movare in overeenstemming handelt met artikel 13 Wet bescherming persoonsgegevens (De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.)

Toolkit AVG

Bent u voorbereid op het in werking treden van de Algemene Verordening Gegegevensbescherming op 25 mei 2018? En is uw informatiebeveiliging en privacybeleid al op orde?

Voor leden van Verus is de Toolkit AVG samengesteld. Deze is gratis en bestaat uit stappenplannen, checklists, sjablonen en handreikingen. Er zit een handige leidraad bij, die u helpt wat er moet gebeuren om te voldoen aan de AVG. 

Vraag de gratis Toolkit AVG aan

Voor meer informatie over de onderzoeken naar toegangsrechten van medewerkers van onderwijsinstellingen tot persoonsgegevens van leerlingen neemt u contact op met Loulène Boersma, lboersma@verus.nl

afbeelding: Pixabay

PO | VO | MBO | HBO | WO

Aanmelden voor de Verus nieuwsbrief

Iedere week het laatste nieuws uit het onderwijs