Verwerking leerlinggegevens vraagt om goede afspraken

Verwerking leerlinggegevens vraagt om goede afspraken

Steeds meer gegevens over leerlingen en medewerkers worden (digitaal) verzameld. De vraag is dan ook hoe je als school veilig omgaat met deze persoonsgegevens. Naast afspraken met leveranciers (in zogenaamde bewerkersovereenkomsten) is het van belang om hierover afspraken te maken met onderwijzend en onderwijsondersteunend personeel. Deze kun je grofweg indelen in de volgende 3 onderdelen:

  • Waar bewaar ik persoonsgegevens?
  • Hoe en wat communiceer ik online via e-mail en sociale media?
  • Hoe houd ik indringers op afstand?

Hieronder volgen per onderdeel de belangrijkste afspraken die je zou moeten maken met medewerkers op scholen. Laat ze regelmatig terugkomen in teamvergaderingen en zorg voor een cultuur waarin deze gedragsregels vanzelfsprekend worden. Je kunt dit ook formaliseren in gedragscodes, maar het belangrijkste is dat medewerkers hiernaar gaan handelen. Dit kan alleen als je met elkaar hierover in gesprek gaat en medewerkers zich bewust worden van de risico’s.

Waar bewaar ik de
persoonsgegevens?
  • Wees zorgvuldig met waar je persoonsgegevens bewaart, ook op papier. Sla leerlinggegevens bijvoorbeeld alleen op in het leerlingadministratiesysteem van de school. Bewaar ze nooit op een USB-stick!

Zorg er als school voor dat er duidelijk afspraken zijn over de bewaarplaatsen van persoonsgegevens binnen de school. En dat er met de leverancier van het leerlingadministratiesysteem goede afspraken zijn gemaakt over de backup en beveiliging van de gegevens.

  • Moet je leerlinggegevens downloaden en bewerken op je computer? Doe dit alleen op een beveiligde computer (die voorzien is van encryptie). Verwijder je bestanden na gebruik van je computer. Zorg ervoor dat anderen (familieleden) niet bij jouw werkbestanden kunnen komen.
  • Bewaar laptops of tablets altijd op een veilige plek, zeker tijdens vakantieperiodes. Het is een open deur, maar toch gebeurt het heel erg makkelijk. Maak elkaar er dus op attent als je een laptop of tablet onbeheerd ziet liggen. Als je computer gestolen wordt, heeft dat gevolgen voor de school en de leerling.
Hoe en wat communiceer
ik online?
  • Verstuur nooit leerlinggegevens per e-mail. In plaats van ze te mailen, kun je een collega beter de vindplaats van de gegevens in het leerlingadministratiesysteem mailen.
  • Formuleer zorgvuldig, vooral de gegevens die je vastlegt over een leerling. Leerlinggegevens mogen volgens de wet worden opgevraagd en ingezien door ouders/verzorgers. Zorg ervoor dat de gegevens ook zodanig zijn geformuleerd dat dit kan. Het past ook bij je houding als onderwijsprofessional.
  • Deel over individuele leerlingen nooit informatie via social media. Doe dit vooral in persoon of desnoods via de telefoon. Wat je communiceert via social media kan makkelijk anders worden geïnterpreteerd door de lezer als je hier niet alert op bent. Let op! Voor het publiceren van foto’s is toestemming nodig.
  • Gebruik de accounts die door de school worden beheerd als je met ouders of leerlingen wil communiceren via e-mail of social media.

Zorg als school ook voor een duidelijk communicatiebeleid waarnaar verwezen kan worden.

Hoe houd ik
indringers op afstand?
  • Klik alleen op linkjes en open alleen bijlagen in e-mails van betrouwbare afzenders en pas op met het downloaden van bestanden. Virussen kunnen makkelijk worden binnengehaald via (phising)mails. In het criminele circuit is dit een veelgebruikte methode om aan jouw gegevens te komen. Ook kunnen de gegevens op je computer versleuteld worden (ransomeware).

Zorg als school ook voor goede antivirussoftware en een backup- en restorebeleid.

  • Laat je wachtwoorden van het leerlingadministratiesysteem of andere systemen met persoonsgegevens niet onthouden door je internetbrowser. En schrijf je logingegevens nooit op. Zonder dat je er erg in hebt, klik je de optie ‘wachtwoord onthouden’ in je browser aan. Heel makkelijk als je vaak moet inloggen, maar iemand anders kan dan dus ook inloggen. Kijk hier voor een tip om een sterk wachtwoord te kiezen die je makkelijk kunt onthouden.
  • Log je computer altijd uit als je je werkplek verlaat. En zorg ervoor dat er op je werkplek geen gevoelige informatie zichtbaar of voor het grijpen ligt. Met de combinatie van de Windows- en L-toets kun je makkelijk uitloggen. Maak er een gewoonte van om papieren op je bureau om te draaien. Zo voorkom je dat anderen informatie zien die niet voor hen is bedoeld.
  • Zet je digibord op freeze als je wachtwoorden intoetst of persoonsgegevens in je scherm ziet staan. En zorg dat niemand meekijkt als jij je wachtwoord intoetst. Voordat je het weet zien leerlingen gevoelige gegevens of kunnen ze aan de hand van je afgekeken gebruikersnaam en wachtwoord proberen in te loggen.
  • Houd je logingegevens altijd voor jezelf, ook al vragen anderen aan je om ze te delen. Je login is in feite een sleutel om toegang te krijgen tot de informatie die voor jou toegankelijk moet zijn. Daarnaast herkent het systeem jou door je login, zodat het kan bijhouden wie welke gegevens heeft toegevoegd of gewijzigd.

Zorg als school voor een goed toegangsbeleid waarin staat wie toegang mag hebben tot bepaalde type gegevens, maar ook wie de accounts verstrekt en deze periodiek controleert.

Tot slot

Zijn er leerlinggegevens verloren gegaan? Is je laptop gestolen? Heb je last van een virus waardoor je niet meer bij je bestanden kunt? Of vertrouw je iets niet? Meld dit dan direct bij een verantwoordelijke of leidinggevende. Als er  persoonsgegevens beschadigd of verloren zijn, dan moet er mogelijk binnen 3 werkdagen een melding gedaan worden bij de Autoriteit Persoonsgegevens in het kader van meldplicht datalekken.