Hoe beveilig ik mijn Digitale Leer- en Werkomgeving?

beveiliging persoonsgegevensSteeds meer onderwijsinstellingen werken aan de inrichting van een digitale leer- en werkomgeving. Een dergelijke omgeving bestaat steeds meer uit cloudtoepassingen en bovendien worden bijvoorbeeld in het kader van Single Sign On (SSO) diverse koppelingen gerealiseerd tussen systemen. Hoe de privacy van leerlingen en medewerkers te waarborgen in dergelijke constructies?

 

Privacyvraagstuk

Het gebruik van cloudtoepassingen en het realiseren van diverse koppelingen roept allerlei vragen op met betrekking tot de bescherming van zogenaamde persoonsgegevens. Dit zijn gegevens die iets zeggen over een persoon zoals NAW-gegevens van medewerkers en leerlingen of toetsresultaten, maar ook logbestanden over internetgebruik en beelden van de beveiligingscamera’s. Deze week nog raakte Snappet (adaptieve toepassing voor het PO) in opspraak doordat men volgens de rechter niet voldoet aan de wettelijke regels met betrekking tot de registratie van persoonsgegevens van leerlingen. (EV-Artikel: CBP constateert overtreding wet bij Snappet (en zet zelf gegevens op een USB-stick)

 

Wettelijke kaders m.b.t. het gebruik van persoonsgegevens

Bij het werken met persoonsgegevens gelden op basis van de Wet Bescherming Persoonsgegevens de volgende vijf regels:

  • Persoonsgegevens mogen worden verzameld voor een bepaald omschreven doel (namelijk het geven van onderwijs);
  • De instelling bewerkt de gegevens op één van de vier grondslagen uit de wet. Voor het onderwijs zijn de volgende grondslagen relevant:
    • met toestemming van de personen in kwestie;
    • als de verwerking van die persoonsgegevens onvermijdelijk is voor de dienst die de school levert (denk bijvoorbeeld aan toetsresultaten);
    • als de school een dringend belang heeft dat zwaarder weegt dan de privacy en als de school alles heeft gedaan om de privacy te beschermen (denk bijvoorbeeld aan cameratoezicht ter beveiliging van het gebouw);
    • de school voldoet aan een wettelijke verplichting (bijvoorbeeld: leveren gegevens aan DUO voor bekostiging).
    • Het gebruik van persoonsgegevens moet in overeenstemming zijn met het doel waarvoor de gegevens verzameld zijn (bijvoorbeeld: de school geeft de persoonsgegevens van leerlingen of medewerkers niet aan een uitgeverij om reclame te versturen).
  • De instelling verzamelt niet meer gegevens dan nodig zijn om het doel te bereiken. Dit criterium heet proportionaliteit. Bijvoorbeeld: registratie van de etniciteit van een leerling is niet relevant om goed onderwijs te kunnen geven.
  • De betrokken ouders/verzorgers en medewerkers hebben recht op inzage van hun gegevens, verzet tegen en correctie van hun gegevens.

De school is verplicht te zorgen voor een adequate beveiliging van persoonsgegevens. Er zijn echter geen harde regels ten aanzien van wat adequaat is. Dit is afhankelijk van het soort gegevens en het doel van gebruik.

Technische normen zoals ISO 27001 zijn niet verplicht. In de praktijk is het hanteren van dergelijke normen wel de manier om te weten of adequate beveiligingsmaatregelen zijn getroffen. Nog meer zekerheid krijgt de school wanneer audits worden uitgevoerd, c.q. wanneer een dienstverlener een verklaring van een onafhankelijke auditor kan overleggen.

Opslaan van gegevens in de cloud is toegestaan. In feite is er sprake van uitbesteding. Er is geen wet die het uitbesteden van dataopslag of dataverwerking in het algemeen verbiedt. Zolang de school haar contractuele plichten nakomt en zich houdt aan de regels zoals hiervoor vermeld is het geen enkel probleem om data elders fysiek op te slaan.

Opslag van persoonsgegevens vanuit Nederland op servers in andere landen is volgens de Europese privacyregels uitsluitend toegestaan als dat land een “passend beschermingsniveau” waarborgt voor die gegevens.De Verenigde Staten voldoen hier niet aan. Een Amerikaans bedrijf kan Europeanen tegemoet komen door zich aan te sluiten bij het zogenaamde Safe Harborframework. Daarmee belooft dat bedrijf zich aan de strenge Europese regels te conformeren.

Wil een school gegevens delen met een andere organisatie, dan moet het verstrekken van persoonsgegevens overeenkomen met het doel waarvoor die gegevens verzameld zijn. Zo ligt het meer voor de hand om gegevens aan een uitgever te verstrekken dan aan een supermarkt. Bij de uitwisseling van gegevens gelden grotendeels dezelfde regels als voor gegevensverzameling:

  • Wat is het doel van de uitwisseling van de gegevens?
  • Is er een grondslag voor de uitwisseling?
  • Past de uitwisseling bij het doel waarvoor de gegevens zijn verzameld?
  • Is de uitwisseling van (al) deze gegevens echt noodzakelijk of kunnen er minder gegevens worden uitgewisseld?
  • Moeten ouders/medewerkers worden geïnformeerd?

Als beide organisaties de basisregels voor gegevensverzameling correct naleven, is het delen van de gegevens geen bezwaar.

Voorgaande informatie is overigens allemaal terug te vinden in “Hoe? Zo! ICT en recht”, een publicatie van Kennisnet en saMBO ICT.

 

Welke maatregelen moet een onderwijsinstelling treffen?

Om in het geval van een DLWO te voldoen aan het wettelijke kader dient een onderwijsinstelling de volgende maatregelen te treffen:

Om aan alle wettelijke verplichtingen te voldoen zullen er echter nog wel maatregelen getroffen moeten worden:

  • Met alle cloudleveranciers moeten bewerkersovereenkomsten worden afgesloten, waarin minimaal wordt vastgelegd:
    • dat de gegevens eigendom blijven van de school;
    • voor welke doelen de persoonsgegevens bij de cloudprovider worden verwerkt en met welke middelen;
    • met welke middelen de school de gegevens gaat verwerken;
    • aan wie de cloudprovider de gegevens mag afstaan;
    • welke beveiligingsmaatregelen de cloudprovider heeft genomen (of gaat nemen) om de opgeslagen gegevens te beveiligen;
    • hoe aan de controle en correctierechten van de betrokken personen wordt voldaan;
    • wie aansprakelijk is bij datalekken.
  • Voor alle scholen moet een privacy-statement worden opgesteld waarin wordt aangegeven:
    • welke persoonsgegevens de school verzamelt met welk doel;
    • wie verantwoordelijk is voor de opslag van de persoonsgegevens en wie deze uitvoert;
    • wat er gebeurt met de persoonsgegevens (bijvoorbeeld: het rapporteren aan ouders of het bewaken van de voortgang);
    • welke beveiliging wordt gehanteerd (bijvoorbeeld ISO27001 en via SAS70-audit geverifieerd niveau);
    • waar de gegevens staan en hoe lang ze worden bewaard;
    • welke rechten de wederpartij heeft, zoals inzage in zijn/haar gegevens of het mogen wissen of corrigeren van achterhaalde of verouderde gegevens.
  • Geborgd moet worden dat ouders van nieuwe leerlingen een akkoord geven op dit privacy-statement.
  • Ouders van leerlingen die al op school zitten moeten gewezen worden op het privacy-statement en in staat worden gesteld bezwaar aan te tekenen.

Het  is raadzaam om periodiek audits te laten uitvoeren op de naleving van de bewerkersovereenkomsten. Verder is het onvermijdelijk dat onderwijsinstellingen structureel aandacht besteden aan het privacy-aspect en meer in de breedte aan informatiebeveiliging. Het gebruik van cloudtoepassingen en de uitwisseling van gegevens tussen ketenpartners zal de komende jaren naar verwachting alleen maar toenemen. Een integraal informatiebeveiligingsplan mag dan ook eigenlijk niet meer ontbreken. Hiervoor kan bijvoorbeeld de ISO27001 als uitgangspunt worden genomen.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *