De digitalisering van het onderwijs biedt zowel nieuwe kansen als (privacy)uitdagingen. Zo is het ouderportaal van het leerlingvolgsysteem een nuttig instrument om de betrokkenheid van ouders te vergroten. Dit portaal stelt scholen in staat om ouders/verzorgers op de hoogte te houden van de voortgang van leerlingen en andere schoolactiviteiten. Hierdoor kan het ouderportaal een waardevolle aanvulling vormen op persoonlijk contact, wat face-to-face gesprekken inhoudelijker maakt. Toch kan de privacy van leerlingen onnodig worden aangetast, bijvoorbeeld als er informatie wordt gedeeld die niet essentieel is voor de ondersteuning van het kind.
Werken volgens het ‘need-to-know’ principe
Het is daarom belangrijk dat de scholen en ouders zorgvuldig gebruik maken van het leerlingvolgsysteem. Scholen zijn wettelijk verplicht om ouders te informeren over de vorderingen van een minderjarig kind. Deze informatieverplichting geldt tot 18 jaar. Ouders moeten hun kind kunnen begeleiden en moeten de hiervoor noodzakelijke informatie van de school ontvangen. Tegelijkertijd heeft een kind recht op privacy. Scholen zijn op grond van onderwijswetgeving niet verplicht om alles wat zij over het kind weten op te nemen in het leerlingvolgsysteem. Het uitgangspunt in de privacywetgeving is ‘dataminimalisatie’: scholen doen er goed aan om alleen persoonsgegevens op te nemen die noodzakelijk zijn voor het leerproces. Dat betekent dat scholen moeten werken volgens het zogenoemde ‘need-to-know’-principe. Dat wil zeggen dat alleen degene die kennis mag hebben van bepaalde informatie, daarover beschikt. Er wordt dus alleen informatie met elkaar gedeeld als dit noodzakelijk is en niet omdat iets ‘nice-to-know’ is.
Regels voor het leerlingvolgsysteem
Leraren en andere onderwijsprofessionals moeten in hun werk steeds beslissingen nemen over de informatie die zij opnemen in het leerlingvolgsysteem en de informatie die zij delen met de ouders/verzorgers van een leerling via het ouderportaal. Het belang van het kind staat centraal. Iedereen die in het onderwijs werkt, moet zorgvuldig omgaan met de gegevens in leerlingdossiers en andere systemen. Een paar aandachtspunten:
- Verwerk alleen gegevens in het leerlingdossier als dat noodzakelijk is voor het doel.
- Let op dat de gegevens die u verwerkt in het leerlingdossier juist zijn.
- Regel de beveiliging van en de toegang tot de leerlingdossiers goed. Dit houdt bijvoorbeeld in dat niet meer mensen toegang mogen hebben tot de persoonsgegevens van leerlingen dan noodzakelijk is voor het doel. Ook moet je de gebruikersactiviteiten van het systeem bijhouden (loggen).
- Zorg ervoor dat je kunt aantonen dat je bij het gebruik van leerlingdossiers de regels van de Algemene verordening gegevensbescherming (AVG) naleeft. Dit heet de verantwoordingsplicht.
- Zorg ervoor dat ouders of leerlingen hun privacyrechten kunnen uitoefenen. Zoals het recht op inzage.
Meer informatie vind je op de website van Autoriteit Persoonsgegevens.
Creëer privacybewustwording op jouw school
Het effectief organiseren van informatiebeveiliging en privacy op school hangt sterk af van het creëren van bewustwording. Privacybewustwording is cruciaal om ervoor te zorgen dat jouw school compliant is met de regelgeving en de privacy van betrokkenen respecteert. Hier zijn enkele effectieve strategieën om privacybewustwording te creëren:
- Regelmatige training: Organiseer verplichte trainingen waarin de basisprincipes van de AVG worden uitgelegd, inclusief wat persoonsgegevens zijn, hoe deze moeten worden verwerkt, en wat de rechten van betrokkenen zijn. Integreer korte toetsen en quizzen in trainingen om de kennis van de AVG onder medewerkers te testen en te versterken. Hier vind je meer informatie over AVG-trainingen voor het onderwijs.
- Interne communicatie: Gebruik interne platforms om regelmatig updates en tips over de AVG te delen. Dit kan gaan over nieuwe ontwikkelingen, maar ook over best practices.
- Nieuwsbrieven en posters: Stuur AVG-nieuwsbrieven en plaats posters in kantoren met kernboodschappen.
- Leidinggevenden als voorbeeld: Zorg ervoor dat het management actief betrokken is bij AVG-compliance. Wanneer zij het goede voorbeeld geven, zullen anderen sneller volgen.
- Phishing simulaties: Voer simulaties uit om medewerkers te trainen in het herkennen van phishingpogingen en andere risico’s die kunnen leiden tot datalekken. Hier vind je meer informatie over onze Full-service Phishing Simulatie.
- Continu beleid en procedures evalueren: Voer interne audits uit om te controleren of iedereen zich aan de AVG-regels houdt.
Door deze methoden te combineren, kun je ervoor zorgen dat privacybewustwording niet alleen een eenmalige inspanning is, maar een geïntegreerd onderdeel wordt van de schoolcultuur.
