Nulmeting privacy en informatiebeveiliging scholen

 

"Maak gebruik van Privacyexpertise bij kennisorganisaties"

Scholen passen de privacywetgeving toe met 'gezond verstand'. Dat gaat meestal goed, maar meer specifieke kennis bij scholen over het omgaan met persoonsgegevens is wenselijk en ook noodzakelijk. Dat concludeert PricewaterhouseCoopers (PwC) in zijn verkennend onderzoek 'Nulmeting Privacy & Beveiliging Primair en Voortgezet Onderwijs'. “Kennisorganisaties in het onderwijs hebben die specifieke privacykennis en -middelen in huis. Maak daar als school gebruik van”, adviseert Jan Visser van PwC.

Tekst: René Schellingerhout
Fotografie: Geert van Tol

PwC sprak voor de nulmeting met vier scholen, twee in het primair en twee in het voortgezet onderwijs. Het ministerie van Onderwijs, Cultuur en Wetenschap (OCW) wilde als opdrachtgever een beeld krijgen van de wijze waarop scholen met privacy en informatiebeveiliging omgaan.

Visser:“Het doel van het onderzoek was niet om een oordeel te vellen over privacy en informatiebeveiliging in de onderwijssectoren PO en VO. Wel hebben we een denkbeeldige thermometer in de scholen gestoken om een gevoel te krijgen van de privacypraktijk van alledag. Waar lopen scholen tegenaan, waar zitten de knelpunten en wat is er wel en niet geregeld.” Adri de Bruijn, partner bij PwC: “We hebben met vier scholen gesproken. Onze conclusies zijn daarom slechts indicatief.”

 

Beste bedoelingen

Adri de Bruijn
Adri de Bruijn

De scope van het onderzoek beperkte zich tot de vraag welke gegevens scholen vastleggen en hoe zij dit doen. Dit deed PwC voor het aanmeld- en inschrijfproces, social media en digitale leermiddelen. “Het verwerken van persoonsgegevens gebeurt op basis van gezond verstand”, vat Visser de belangrijkste conclusie samen. “Scholen leggen vrij veel gegevens vast over de leerling. Ze doen dat overigens met de beste bedoelingen, want hoe meer bekend is over een leerling hoe beter de begeleiding. Maar wordt er niet te veel vastgelegd? En worden deze gegevens wel voldoende beveiligd? Scholen bewaren bijvoorbeeld een fysiek dossier van een leerling in een afgesloten kast en doen de kamer op slot. Dat ligt voor de hand. Maar je hebt ook te maken met complexere zaken.

Welke maatregelen eis je bijvoorbeeld in een contract met een leverancier bij wie je een dienst afneemt en die daarom gegevens van jouw leerlingen verwerkt? Leveranciers van digitale leermiddelen bijvoorbeeld verwerken niet alleen gegevens van leerlingen, maar ook van docenten. Hoe de leverancier die gegevens gebruikt en met welke partijen hij deze informatie deelt, is voor een school niet inzichtelijk, omdat deze zich over dit onderwerp niet verantwoorden. Doorgaans kunnen scholen deze meer complexe vraagstukken minder goed invulling geven, omdat de diepgaande kennis van privacywetgeving vaak niet voorhanden is.”

“Je kunt je afvragen of scholen niet teveel persoonsgegevens vastleggen”

Om tafel

De scholen uit het onderzoek maken allemaal gebruik van een leerlingvolgsysteem en van digitale leermiddelen. Deze systemen zijn uitbesteed bij externe leveranciers die de informatie vaak hosten in een cloud. Omdat die markt in handen is van slechts enkele ICT-partijen, zijn scholen afhankelijk van deze leveranciers. Toch staan scholen volgens Visser en De Bruijn niet helemaal machteloos als ze willen achterhalen wat er gebeurt met de persoonsgegevens bij de leverancier. “Loop het contract met je leverancier eens goed door. Daar kun je voor een deel al uit afleiden wat de leverancier met de gegevens doet.” De Bruijn: “Je kunt als school ook navragen bij het CBP welke meldingen de leverancier of de uitgever daar heeft gedaan. En ik zou gewoon eens vaker afspreken met de leverancier om te vragen wat er met de gegevens precies gebeurt. Aan de voorkant heb je als school het contract en de CBP-melding. Aan de achterkant kun je bijvoorbeeld via een audit controleren of de gegevens ook verwerkt worden zoals is afgesproken.”

Vraag je leverancier wat er precies met de gegevens gebeurt

De scholen uit het onderzoek hadden geen van alleen een FG in dienst. Privacy en informatiebeveiliging liggen meestal in handen van een staffunctionaris of een docent die dit ‘erbij doet’ naast zijn reguliere werk. De kennis van scholen over de Wbp is beperkt (zie kader). Visser: “Er is sprake van een kennisleemte. Men weet dat er privacywetgeving bestaat en kent de incidenten, maar dat is niet hetzelfde als het kunnen toepassen van de Wbp binnen de eigen organisatie.”

Jan Visser, PWC
Visser: "Er is sprake van een kennisleemte"

Praktische handreikingen

Scholen kunnen voor die ontbrekende kennis terecht bij externe kennisorganisaties, stelt Visser. “Maak als school gebruik van de kennis en de materialen die beschikbaar zijn. Een organisatie als Kennisnet heeft speciale campagnes ontwikkeld over privacy en informatiebeveiliging. Ook de PO-raad en de VO-raad zijn bezig met bijvoorbeeld modelovereenkomsten met leveranciers voor de inhuur van ICT-middelen. Kennisnet heeft bijvoorbeeld een Privacy Quickscan gemaakt. Ook heeft ze praktische boekjes uitgebracht over privacy en informatiebeveiliging met vragen als Hoe doe je iets? Dat doe je zo.” Desondanks is één van de conclusies uit het onderzoek dat scholen te weinig ondersteuning ervaren van kennis- en belangenorganisaties op het gebied van privacy en informatiebeveiliging. Er is bij scholen vooral behoefte aan praktische handreikingen. “Die handreikingen zijn er dus wel degelijk,”, zegt Visser. “Er zit een gap tussen wat scholen denken dat beschikbaar is op dit terrein en wat kennis- en koepelorganisaties daadwerkelijk aanbieden.”

“Die handreikingen zijn er dus wel degelijk”

De aanstaande Europese Data Protectie Verordening is bij de onderzochte scholen niet bekend. Visser: “De boetes bij het niet-naleven van de verordening kunnen aardig oplopen. Het is sowieso onze taak als PwC om onze klanten te wijzen op toekomstige potentiële risico’s. De kleinere scholen en onderwijsinstellingen hebben geen budget voor het aanstellen van een FG. Daarom adviseren we scholen ook om dit punt en voor andere zaken de samenwerking te zoeken met andere onderwijsinstellingen en met de koepelorganisaties.” De Bruijn tot slot: “Je kunt er als school alvast op vooruitlopen. De kern is dat scholen anticiperen op toekomstige ontwikkelingen. Dat geldt voor de verordening, maar bijvoorbeeld ook voor Big Data. Denk als school na over de vraag wat je er mee wilt gaan doen.”

Aanbevelingen PwC:

  • Ga als privacyverantwoordelijke binnen de school met de ondernemingsraad en medezeggenschapsraad om tafel en informeer hen over hoe je met de gegevens van leerlingen en docenten omgaat. Privacy en informatiebeveiliging zijn ook van belang voor docenten, niet-onderwijzend personeel en de ouders van leerlingen.

  • Breng in kaart welke gegevens verzameld en verwerkt worden. Bespreek dit met de directie, met docenten, de IT-verantwoordelijke en ander niet-onderwijzend personeel. Stel duidelijke regels vast voor de verwerking met privacygevoelige gegevens en benoem maatregelen.

  • Kijk kritisch naar de leverancierscontracten; zorg ervoor dat je een stevige gesprekspartner bent.

Scholen moeten ouders om toestemming vragen

Stel, Thomas zit in groep 1 van de lagere school. Toen zijn ouders hem aanmeldden, heeft de school zijn pasfoto, een kopie van zijn identiteitsbewijs en het BSN-nummer van zijn ouders ontvangen en verwerkt. Ook is de geloofsovertuiging van Thomas’ ouders opgenomen in het leerlingvolgsysteem. In het aanmeldformulier vraagt de school de ouders niet om toestemming voor het vastleggen van al deze gegevens. Dit is, zo blijkt uit het PwC-rapport, eerder regel dan uitzondering. Toch is het in strijd met de Wet bescherming persoonsgegevens (Wbp). Die stelt dat een school ouders expliciet om toestemming moet vragen voor het verwerken van in ieder geval de pasfoto en de geloofsovertuiging. Een school mag in geen geval een kopie van het identiteitsbewijs opvragen en vastleggen.

Bron: ‘Nulmeting Privacy en Informatiebeveiliging Primair en Voortgezet Onderwijs’ voor PwC, april 2014 in opdracht van het ministerie van Onderwijs, Cultuur en Wetenschap.