Drie jaar geleden werd de AVG (Algemene Verordening Gegevensbescherming) van kracht. De invoering had ook op scholen veel voeten in de aarde, maar inmiddels is de projectfase overal afgerond. Dat betekent niet dat de bescherming van privacy en informatiebeveiliging (IBP) overal op rolletjes loopt. Het moet onderdeel zijn van de reguliere bedrijfsvoering. AVG in het onderwijs, wat is de status?
Hoe regulier was de bedrijfsvoering van scholen in tijden van corona eigenlijk? Scholen stapten soms in een week volledig over op afstandsonderwijs en allerlei processen werden met spoed aangepast. Hele organisaties gingen vanuit huis werken en daarvoor werden in allerijl applicaties aangeschaft. Het uitvoeren van DPIA (risicoanalyse) werd onder die omstandigheden wel eens vergeten of uitgesteld.
Uit de Monitor IBP 2020 (PO-Raad, VO-raad en Kennisnet) blijkt dat 82 procent van de schoolbesturen in het primair onderwijs goed op weg is of (bijna) klaar met de implementatie van beleid omtrent informatiebeveiliging en privacy (IBP). Vrijwel alle scholen hebben procedures opgesteld voor het gebruik van beeldmateriaal. Ook heeft 83 procent van de schoolbesturen een FG (functionaris gegevensbescherming) aangesteld. Een stijging van 19 procent in vergelijking met de vorige Monitor IBP. Bijna alle schoolbesturen geven aan procedures te hebben voor het uitgeven van toegangsaccounts.
Achterstanden in het onderwijs
Uit de monitor blijkt ook dat veel schoolbesturen achterblijven met procedures voor datalekken, het uitvoeren van risicoanalyses (DPIA’s), het borgen van de continuïteit van hun digitale processen en de controle op juistheid van verwerkersovereenkomsten en de afsluiting ervan met alle relevante partijen. Privacy van leerlingen krijgt meer aandacht dan informatiebeveiliging en de risico’s die gebruik van data met zich meebrengen. Denk aan het maken van back-ups, het testen op uitval van systemen en het loggen van het gebruik van kritische systemen.
Uit een steekproef in 2020 onder 601 scholen (door Lumen Groep) bleek dat geen enkel schoolbestuur het AVG-beleid met ondersteunende procedures en protocollen volledig volgens de AVG had geïmplementeerd. De schoolbesturen bevinden zich overwegend nog in de ‘opzet’-fase: losse verplichtingen zijn deels ingevoerd, maar samenhang ontbreekt. Afdoende verwerkersovereenkomsten, het managen van bewaartermijnen, een procedure voor het afhandelen van inzageverzoeken, inzichtelijk autorisatiebeleid voor toegang tot de persoonsgegevens en privacybeleid wat ook de medewerkers betreft, bleek zelden accuraat opgepakt. De AVG in het onderwijs wordt dus nog altijd niet overal op de juiste manier doorgevoerd.
AVG-uitdagingen
De belangrijkste AVG-uitdagingen in het onderwijs in 2021 zijn de omgang met datalekken, het vergroten van het privacy-bewustzijn onder leraren en het treffen van adequate informatiebeveiligingsmaatregelen. Die informatiebeveiliging vergt andere, meer technische kennis binnen een schoolbestuur. Ook is vaak niet duidelijk in welke mate de school hier zelf actie op moet ondernemen, of dat dit de verantwoordelijkheid is van de ICT-leverancier.
Bewustwording van AVG in het onderwijs
Bijna 40 procent van de ondervraagde leraren in de Monitor IBP geeft aan onvoldoende bewust te zijn van informatiebeveiliging en privacy en dus moet er binnen scholen meer aandacht voor komen. Bijvoorbeeld door periodieke trainingen aan te bieden. Scholen kunnen ondersteuning vinden in allerlei IBP-tools en bijbehorende nieuwsbrieven over thema’s als de werkplek, sociale media, werken in de cloud of het gebruik van beeldmateriaal.
Verder is er sprake van een kloof in bewustwording en beschikbaarheid van informatie tussen schoolbestuurders, ICT-verantwoordelijken en leraren. Dit vraagt om een continue bewustwording binnen de hele schoolorganisatie, wat misschien nog wel lastiger is dan het op papier zetten van de juiste procedures.
Onduidelijk
Na drie jaar zijn er op microniveau nog steeds zaken niet helemaal duidelijk. Zo is er bij het gebruik van onderwijsapplicaties soms sprake van doorgifte van persoonsgegevens van leerlingen buiten de Europees Economische Ruimte (EER). In het Schrems II-arrest van juli 2020 bepaalde het Europese Hof van Justitie dat persoonsgegevens van Europese gebruikers niet zomaar in de VS mogen worden verwerkt. Ook onderwijsinstellingen moeten dus weten of er doorgifte van persoonsgegevens buiten de EER plaatsvindt via hun systemen en daar actie op ondernemen.
De ervaring van drie jaar leert ook dat het goed inrichten van autorisaties een blijvend punt van aandacht is. Tot de zomervakantie was het voor buitenlandse studenten bijvoorbeeld mogelijk om een account te krijgen voordat er een ID-check had plaatsgevonden. Het kon lastig zijn om dat Identity en Access Management-proces aan te passen, omdat veel buitenlandse studenten pas een ID aanschaffen als ze zeker weten dat ze naar Nederland mogen komen.
Maar ook in eigen huis kan het uitwisselen van gegevens van leerlingen de FG voor lastige vragen stellen. Mag je bijhouden wie er in de school met corona is besmet? Mag de school afgaan op de toestemming of weigering van één van de ouders als het gezag wel of niet toekomt aan beide ouders? Wanneer heeft een gescheiden ouder het recht op inzage in het leerlingdossier van zijn of haar kind? Wat mag je wel en niet verwerken aan gegevens van een kind? Wat moet de school doen als de ouders het onderling niet eens zijn over de gegeven toestemming? In de praktijk kan het lastig zijn om in dergelijke situaties conform de AVG te handelen.