Zorgvuldig omgaan met persoonsgegevens van leerlingen, daar is iederéén wel voor. Maar hoe doe je dat precies? Waar moet je op letten? Mag je nu nooit meer die foto’s van het schoolkamp of de Sinterklaasviering online zetten?

Pascal Marcelis, (externe) functionaris gegevensbescherming & (ict-)adviseur informatieveiligheid en privacy, praat de lezers bij over dit onderwerp.

Deze tekst verschijnt ook als hoofdstuk in het boek Alle dagen digitaal, niet alledaags van Karin Winters en Mariëlle van Rijn.

 

 

Bij veiligheid denk ik allereerst aan stevige trapleuningen en vingers-tussen-de-deur-beschermers. Maar dat bedoelt de AVG niet met ‘veilig werken’, neem ik aan?

“Veiligheid komt in drieën: sociale veiligheid, fysieke veiligheid en informatieveiligheid (waar privacy bij hoort). Rondom sociale veiligheid is het in onderwijs, organisaties en bedrijven behoorlijk goed geregeld: er zijn vertrouwenspersonen en antipestcoördinatoren. Ook rondom fysieke veiligheid zit het wel snor met preventiemedewerkers, bedrijfshulpverleners (bhv’ers), mensen die zich met Arbo-eisen bezig houden of met de risico’s in de gebouwen.

Maar informatieveiligheid en privacy was tot voor kort een ondergeschoven kindje. De komst van de AVG (de Algemene Verordening Gegevensbescherming) heeft als een vliegwiel gewerkt; steeds meer organisaties werken er hard aan om de boel op orde te krijgen. Centraal in de AVG staat de vraag: ‘Hoe zorg je voor informatieveiligheid en hoe waarborg je privacy?’ Met andere woorden: ‘Hoe kun je veilig werken, leren en leven, gericht op het veilig omgaan met persoonsgegevens?’ Privacy is namelijk een grondrecht.”

 

Hoe verandert de AVG de dagelijkse praktijk?

“Het uitgangspunt van de AVG: ‘Hoe zorg je voor informatieveiligheid en hoe waarborg je privacy?’ is volstrekt anders dan de tot voor kort in het onderwijs gebruikelijke uitgangspunten: ‘We vertrouwen iedereen. Zo deden we het altijd. En dat is wel zo makkelijk.’

Denk bijvoorbeeld aan mails sturen met alle teamleden in de CC, dat was voorheen heel gebruikelijk. De verzender hoefde dan niet te beslissen ‘wie wel en wie niet?’. De ontvangers konden zelf bekijken of de inhoud van die mail voor hen relevant en interessant was. Dat kan nu echt niet meer zo, adressering moet veel meer bewust – en terecht.

Nog een voorbeeld: de toegang tot een informatiesysteem. Verreweg het makkelijkst is als iedereen op school vrije toegang heeft tot alle beschikbare gegevens, dan hoef je verder niets te regelen. De AVG benadert het andersom: ‘alleen wie, vanuit zijn of haar functie,  echt noodzakelijk toegang tot bepaalde persoonsgegevens moet hebben, krijgt die toegang – alleen tot die die specifieke gegevens en voor een precies omschreven doel’. Dat moet goed afgesproken en vastgelegd worden. Dat is een flinke omschakeling, waar iedereen wel even aan moet wennen.”

 

Kun je wat voorbeelden geven van een AVG-proof manier van werken?

“Op veel scholen zijn leerkrachten van oudsher gewend om toegang te hebben tot de gegevens van alle leerlingen. Zo kunnen ze makkelijk in het leerlingenadministratiesysteem dóórklikken, bijvoorbeeld als ze mee moeten kijken in de klas van een ander, of als ze willen weten wat er speelt bij een bepaalde leerling. Dat gaat sinds de AVG anders.

Een voorbeeld: Een stagebegeleider wil toegang tot de BSN-nummers van alle leerlingen, omdat stagebedrijven daar soms om vragen bij het opstellen van een stagecontract. Maar het BSN-nummer is het identificerende nummer in Nederland, dat geldt als een gevoelig persoonsgegeven. Je mag het BSN alleen gebruiken, verwerken of uitwisselen als dat bij wet bepaald is.

Als functionaris gegevensbescherming vraag ik dan hoe vaak een stagebegeleider dat BSN-nummer moet doorgeven. Als dat een paar keer per jaar is, hoeft die stagebegeleider daar echt niet altijd toegang toe te hebben, zeker niet voor alle leerlingen. Die nummers kan hij opvragen bij de administratie zodra dat aan de orde is. Die administratie kan er wel altijd bij.”

 

Dat is wel een omschakeling, lijkt me?

“Mensen zijn gewend op een bepaalde manier te werken en vinden omschakelen lastig; ze voelen dat ze afhankelijk worden van anderen, of vatten het zelfs op als gebrek aan vertrouwen. Maar dat ‘niet vertrouwen’ van personeelsleden is niet aan de orde. Het gaat om professioneel en veilig werken, dat vergt een andere manier van denken en omgaan met gegevens van anderen. Als je het een paar keer op de nieuwe manier hebt gedaan, ben je eraan gewend.

Nog een voorbeeld van zo’n omschakeling: het namenlijstje van alle kinderen in de klas – waarop je ook wat aantekeningen maakt over hun gedrag en hun vorderingen. Die aantekeningen zijn essentieel om goed les te kunnen geven, dus dat lijstje mag er best zijn. Alleen kan je dat beter niet open-en-bloot op je bureau laten liggen, maar in een afgesloten la.”

 

Je hoort veel over ‘datalekken’; wat moet ik me daarbij voorstellen?

“Er is sprake van een datalek als persoonsgegevens ergens terechtkomen (op een plaats of bij iemand) waar dat niet de bedoeling is. Datalekken zijn er in vele soorten en maten.

Een van de meest voorkomende is een mail aan alle ouders met de mailadressen niet in de BCC, maar in de CC. Hierdoor heeft opeens iedereen elkaars e-mailadres. Hoe erg dat is, hangt af van hoe groot de groep ouders is (één klas of de hele school?). Dit lijkt niet zo’n groot probleem; dat wordt anders als er adressen tussen staan van bijvoorbeeld een gescheiden stel waarvan de een absoluut niet wil dat de ander contact kan zoeken.

Wat heel veel voorkomt, is dat een document verstuurd wordt naar het verkeerde e-mailadres, een tikfoutje is zo gemaakt… Afhankelijk van wat er in dat document staat (bijvoorbeeld medische onderzoeksgegevens van een leerling) is dat ernstiger.

Een voorbeeld van een heel groot datalek met grote impact: Een docent – die binnen het leerlingadministratiesysteem bij alle gegevens van alle leerlingen kon en overal het recht had om gegevens aan te passen – had zijn gebruikersnaam en wachtwoord op een geeltje in zijn agenda geplakt. Leerlingen haalden die agenda uit z’n tas. Ze hebben vervolgens cijfers aangepast van allerlei kinderen van de school – zowel naar boven als naar beneden. Dat had grote impact, dat ging ook om of kinderen wel of niet zouden overgaan. Dit datalek was zo groot – en viel onder de stafbare noemer ‘fraude’ – dat daar ook de politie bij is betrokken.

Niet-digitale datalekken bestaan ook: Bijvoorbeeld de schoolfoto’s die kwijtgeraakt zijn in de post, ze waren niet aangetekend verstuurd door de fotograaf. Je kunt daarover denken: ‘Ach, een pakje raakt weleens kwijt, is misschien gewoon in een hoekje bij het postsorteercentrum blijven liggen’. Maar het gaat wel om beeldmateriaal van kinderen, dus om een kwetsbare doelgroep. Je weet niet bij wie die foto’s in handen zijn en wat ermee gebeurt. Dus ik vind dat ook nogal een behoorlijk groot datalek.”

 

Hoe beoordeel je of een datalek al of niet groot is?

“Op het ‘meldformulier datalekken’ staan voor de impact vier gradaties/categorieën: verwaarloosbaar, beperkt, aanzienlijk en zeer omvangrijk. In welke categorie een bepaald datalek valt, hangt af van:

• hoeveel persoonsgegevens er zijn gelekt
• om wat voor gegevens het gaat en
• wat de impact is

Afhankelijk van in welke categorie een datalek valt, moeten er andere acties worden ondernomen.

Als een datalek binnen de school of organisatie wordt gemeld bij de functionaris gegevensbescherming (FG), weegt die de impact van dat datalek af en beoordeelt of het gemeld moet worden aan de betrokkenen en aan de Autoriteit Persoonsgegevens (AP). Ik persoonlijk vind melden aan de betrokkenen eigenlijk altijd goed om te doen, dat is wel zo transparant. Als het gaat om een handvol e-mailadressen van ouders die in de CC terecht zijn gekomen, zou ik zeggen: dat valt in de categorie verwaarloosbaar of beperkt. Dat moet wel aan de betreffende ouders worden gemeld – met excuses – maar niet aan de AP.”

 

Dan moet de school dus wel weten dat er iets fout is gegaan?

“Ja, daarom is het goed om met alle medewerkers af te spreken dat wie een datalek veroorzaakt, dat niet onder het tapijt veegt, maar het meteen meldt bij de FG. Die FG zal dan adviseren welke (meldings-)acties en praktische maatregelen genomen kunnen/moeten worden, zodat het in de toekomst niet meer voorkomt. Dit melden van datalekken is dus bedoeld om te verbeteren en te helpen.”

 

Welke praktische maatregelen adviseer jij in je functie als FG?

“Om het risico op datalekken en misbruik van persoonsgegevens zoveel mogelijk te beperken, kunnen verschillende maatregelen genomen worden die dat risico kunnen inperken, waaronder:

• Om te beginnen wat ik al eerder noemde: nadenken over en vervolgens vastleggen wie/welke functie in de organisatie per se zelf bij welke gegevens moet kunnen (zo beperkt mogelijk) en wat die persoon met die gegevens mag doen (alleen inzien of ook aanpassen?).
• Vervolgens: mensen ervan doordringen hoe superbelangrijk het is om zorgvuldig om te gaan met gebruikersnaam en wachtwoord. Niet op een geeltje onder je toetsenbord en niet hetzelfde wachtwoord als bij bijvoorbeeld je autodealer. Want als die dealer dan gehackt wordt, heeft de hacker ook makkelijk toegang tot je account van het schoolsysteem.
• Als school kun je extra maatregelen nemen; het best is om te werken met ‘tweefactor-authenticatie’, zoals mensen al gewend zijn van internetbankieren. Om in te loggen in het systeem heb je dan niet alleen iets nodig dat je weet (je gebruikersnaam en wachtwoord), maar ook iets fysieks dat je altijd bij je hebt (een random-reader, een sms’je op je telefoon, of een hardware-token). Ook al heeft iemand – tegen de afspraak in – toch gebruikersnaam en wachtwoord op een briefje gezet en is dat verloren, dan kan niemand anders in het account zonder dat fysieke ding.”

 

Gegevensbescherming en privacy vraagt dus om vooruitdenken?

“Ja. Ik probeer te stimuleren dat scholen informatieveiligheid als uitgangspunt nemen en niet werkgemak. Dus dat ze vooraf nadenken over hoe het fout kan gaan en of (en hoe) ze dat kunnen voorkomen.

Een bijpassend belangrijk principe vanuit de AVG is ‘privacy by default’ en ‘privacy by design’. Dat houdt in dat je in alle toepassingen standaard alles zoveel mogelijk ‘dicht’ zet. In het mailprogramma kan de mogelijkheid ‘reply all’ als standaardoptie uitgeschakeld worden, dat voorkomt vergis-massamailtjes. De gebruiker moet er dan zelf bewust over nadenken – en een extra handeling doen – om toch aan veel mensen tegelijk te mailen. Als je – in plaats van de mail – een ouderportaal gebruikt om informatie te delen met ouders, kun je niet zo maar per ongeluk mensen in de CC zetten.

Om bijvoorbeeld Microsoft 365 goed privacy-proof te maken, moet de systeembeheerder allerlei aanpassingen doen aan de instellingen. Dat wordt vast binnenkort opgelost, maar de functie om documenten op OneDrive of in Teams te delen met anderen staat nu standaard op ‘delen met de hele wereld’. De systeembeheerder kan dat ook default instellen op ‘mag gedeeld worden binnen mijn eigen organisatie’, met ‘een bepaalde groep’ of ‘met een specifieke persoon of personen’ – waarvan ‘delen met één persoon’ uit privacy-oogpunt de voorkeur heeft. Dan wordt het breder delen een bewuste actie.

Het is (eenmalig) flink veel werk voor de afdeling ict om alle programma’s privacy-vriendelijk in te stellen. Toch moeten scholen dat faciliteren: vanuit de wet AVG hebben organisaties hierin een inspanningsverplichting. Het hoort gewoon bij veilig en professioneel werken.”

 

Papieren lijsten en dossiers bevatten toch ook persoonsgegevens?

“De AVG heeft niet alleen betrekking op geautomatiseerde en digitale bestanden, maar ook op documenten op papier, dossiers en archieven. Er zijn allerlei gradaties in hoe sterk je gegevens moet beschermen – ook die op papier. De context is belangrijk: om welke informatie gaat het precies en voor welke doeleinden wordt die gebruikt? Een lijstje bij de deur van het lokaal met alle namen van de leerlingen en daarachter ingevuld wie wat meeneemt voor het paasontbijt, dat kan best. Hetzelfde geldt voor een poster met namen en fotootjes van wie er in de klas zitten. Maar zodra zoiets niet meer van toepassing is, kun je dat beter weghalen; en tijdens een open dag zou ik dat misschien wel afschermen. Ik noemde al een klassenlijst met aantekeningen over leerlingen, die moet in een afgesloten la.

Namenlijsten van wie er bij elkaar in de klas zitten, zijn handig voor ouders om speelafspraken te plannen. Als je die service wil leveren, deel die lijsten dan met de betreffende ouders en zet ze niet in je nieuwsbrief. Additionele gegevens als adres en telefoonnummer kun je ouders zelf laten uitwisselen, of als je het toch heel belangrijk vindt om dat als school te doen, moet je om toestemming vragen. En het mooiste is om een ouder-app te gebruiken, waarin ouders zelf gegevens kunnen invullen en vinkjes zetten bij met wie ze die willen delen. Dan zijn ouders zelf in control – en dat is het beste.

Documenten met gevoelige gegevens moeten achter slot en grendel bewaard worden. Als je ze je niet langer nodig hebt (bewaartermijn), moeten ze grondig vernietigd worden. Dus niet in vieren scheuren, niet door een papiervernietiger die er reepjes van snijdt die je nog aan elkaar zou kunnen puzzelen, maar een echte versnipperaar. Of je gebruikt afgesloten containers die dan vervolgens vernietigd worden door een gecertificeerd bedrijf. Van die vernietiging krijg je een bewijs.”

 

Wat vind jij van whatsappen met ouders?

“Als uitgangspunt ben ik daar tegen – al zijn er uitzonderingen mogelijk. Over WhatsApp heb je namelijk helemaal geen controle. Het is van Facebook en verzamelt dus allerlei (meta)gegevens. Bovendien bestaat het risico dat je er (per ongeluk) ongewenste privé-informatie in deelt… Er zijn bovendien alternatieven die wel privacy-proof zijn, dus waarom zou je die niet gebruiken?

Je kunt bijvoorbeeld de chatfunctie van Teams gebruiken tussen medewerkers onderling of tussen leerlingen en docenten. Voor communicatie met ouders is een ouderportaal een goede oplossing. In grote uitzonderingen, als het echt niet lukt om via de veilige, afgesproken kanalen contact te houden, dan zou WhatsApp toch gebruikt kunnen worden. Want het is essentieel om contact met ouders en leerlingen te houden. Maar natuurlijk kun je ook eerst proberen te bellen.”

 

Heb je zelf wel eens een datalek veroorzaakt?

“Ja. Voor mijn werk voor verschillende scholen en besturen schakel ik tussen zes verschillende werkomgevingen. Meestal kan ik dat redelijk gescheiden houden; maar ik heb weleens wat verstuurd vanuit een verkeerd mailaccount. Het was geen erg spannend mailtje, maar het was wel vervelend. Als zoiets gebeurt, ben ik daar meteen open over, dat is het belangrijkste.”

 

Kleine geschiedenis van de privacywetgeving

• Vóór 2001 was er al een Privacywet.
• De Wet bescherming persoonsgegevens (WBP) gold sinds 2001. Het was een Nederlandse wet, gebaseerd op Europese richtlijnen, met het College Bescherming Persoonsgegevens (CBP) als controle-instantie.
• In 2016 kwam de ‘meldplicht datalekken’ erbij. Tegelijkertijd werd de Autoriteit Persoonsgegevens (AP) in het leven geroepen om te handhaven, die kwam in de plaats van het CBP.
• In de plaats van de WBP kwam op 25 mei 2018 de AVG, de Algemene Verordening Gegevensbescherming. Deze wet is opgesteld binnen de EU. De set van taken en bevoegdheden – en de omvang – van de AP is enorm uitgebreid door de AVG.

 

Pascal Marcelis is als zelfstandig ondernemer (onder de naam MetPascal) actief als (externe) functionaris gegevensbescherming & adviseur informatieveiligheid en privacy bij 6 schoolbesturen met zo’n 100 scholen.

 

Twitter: @PascalMarcelis

LinkedIn: www.linkedin.com/in/pmarcelis