Privacy in het Onderwijs

door | 4 juni 2020 | Niet gecategoriseerd | 0 Reacties

Het Convenant Digitale Onderwijsmiddelen en Privacy 

Het onderwijs is in toenemende mate afhankelijk van informatie en ICT. De hoeveelheid informatie, waaronder persoonsgegevens, neemt toe door o.a. ontwikkelingen als gepersonaliseerd leren met ICT. Het is belangrijk om informatie goed te beschermen en veilig en verantwoord met persoonsgegevens om te gaan. De afhankelijkheid van ICT en persoonsgegevens brengt nieuwe kwetsbaarheden en risico’s met zich mee. De PO-Raad, VO-Raad en MBO Raad hebben een convenant ondertekend namens alle aangesloten schoolbesturen. Aanbieders van digitale onderwijsmiddelen tekenen individueel het convenant en passen de afspraken toe in hun verwerkersovereenkomsten met scholen. Informatiebeveiliging en privacy Het goed regelen van informatiebeveiliging en privacy in een beleidsdocument is noodzakelijk om de gevolgen van deze risico’s tot een aanvaardbaar niveau te reduceren en de voortgang van het onderwijs en de bedrijfsvoering optimaal te kunnen waarborgen. Onder informatiebeveiliging en privacy wordt verstaan het nemen en onderhouden van een hoeveelheid samenhangende maatregelen zodat de betrouwbaarheid van de informatievoorziening gegarandeerd kan worden. Informatiebeveiliging richt zich op de volgende aspecten:
  •  Beschikbaarheid: de mate waarin gegevens en/of functionaliteiten beschikbaar zijn op de juiste momenten.
  • Integriteit: de mate waarin gegevens en/of functionaliteiten juist en volledig zijn.
  • Vertrouwelijkheid: de mate waarin de toegang tot gegevens en/of functionaliteiten beperkt is tot degenen die daartoe bevoegd zijn.

Accountability Als verwerkingsverantwoordelijke bent u verantwoordelijk voor de rechtmatige en zorgvuldige omgang met persoonsgegevens. Dit betekent dat u:
    • de plichten uit de Verordening moet naleven; en
    • dat u de goede naleving van deze plichten kunt aantonen.
Deze verantwoordingsplicht (in het Engels accountability) staat centraal in de Verordening en geldt te allen tijden. Als verwerkingsverantwoordelijke bent u verplicht passende en effectieve maatregelen vast te leggen en te zorgen dat de verwerkingen in lijn met de Verordening plaatsvinden. Bij het nemen van maatregelen moet u rekening houden met de aard, de omvang, de context en het doel van de verwerking en de risico’s die uw verwerking voor de rechten en vrijheden van de betrokkene kunnen hebben. De verwerkingsverantwoordelijke is degene die ‘doel en middelen’ bepaalt voor de verwerking. Met andere woorden, de verwerkingsverantwoordelijke bepaalt hoe en waarom er persoonsgegevens worden verwerkt. De verwerkingsverantwoordelijke is de (rechts)persoon die letterlijk de verantwoordelijkheid heeft voor het naleven van de Verordening. De verwerker handelt in opdracht van de verwerkingsverantwoordelijke bij het verwerken van persoonsgegevens, zonder onder diens rechtstreeks gezag te staan.

    • De verwerking moet gebonden zijn aan specifieke verzameldoelen (“doelbinding”)
Persoonsgegevens mogen alleen worden verzameld en verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Wanneer de gegevens later voor een ander doel worden gebruikt, dan moet dat nieuwe doel verenigbaar zijn met het oorspronkelijke verzameldoel.

Digitale technische ondersteuning en Privacy Het Convenant Digitale Onderwijsmiddelen en Privacy vertaalt de Algemene Verordening Gegevensbescherming naar de onderwijspraktijk. Het bevat afspraken over het omgaan met persoonsgegevens bij het gebruik van digitale leermiddelen en toetsen. Dankzij het convenant weten scholen en aanbieders wat ze over en weer van elkaar mogen verwachten, zijn de afspraken werkbaar in de praktijk en heeft iedereen dezelfde gemeenschappelijke uitleg bij deze afspraken.

Voorbeeld: Sportfolio App., Magister, Microsoft Teams, etc.…

Voor deze ondersteuning zijn er specifieke digitale applicaties  ontwikkeld met het doel technische ondersteuning te geven aan Onderwijsinstellingen bij de verwerking- en beveiliging van persoonsgegevens voor de in deze doelbinding vastgelegde verwerkingscriteria.

 De Privacy Management Methode (P.M.M ®)  een Uniforme, gestandaardiseerd aanpak . Voor de aanpak is uit gegaan van een  gestandaardiseerd implementatiemodel waarmee de organisatie ondersteunt wordt bij het formuleren en vastleggen van de verwerkingscriteria zoals bedoeld in de Contouren of compliance. Deze documentatie vormt de basis voor de Accountability documentatie en beschrijft alle criteria die volgens de AVG aantoonbaar moeten zijn vastgelegd.

Het doel is het creëren van een gestandaardiseerd implementatiemodel waarin alle aspecten die noodzakelijk zijn voor het vastleggen van  beleidsprocedures waarin alle criteria van de verwerking- en beveiliging  van persoonsgegevens zijn opgenomen en gedocumenteerd zoals bedoeld in de Contouren of compliance.

De kern van dit document bestaat uit:
    1. Beschrijving van de richtlijnen voor de gegevensverwerkingen: een beschrijving van aspecten die van toepassing zijn voor de verwerking van persoonsgegevens met de AVG criteria als uitgangspunt;
    2. Beschrijving van het beveiligingskader voor de informatiebeveiliging: een beschrijving van alle aspecten voor de beveiliging van persoonsgegevens die noodzakelijk zijn om  de beveiligingsprocedures in relatie tot de verwerkingsdoeleinden vast te leggen;
    3. Beschrijving en beoordeling risico’s voor betrokkenen: een beschrijving van de beleidsprocedures ter beoordeling van de gevolgen en risico’s van de voorgenomen verwerkingen voor de rechten en vrijheden van de betrokkenen.
    4. Beschrijving voorgenomen maatregelen voor datalekken:Een beschrijving van beleidsprocedures ter beoordeling van de voorgenomen maatregelen om deze gevolgen en risico’s van de datalekken vast te leggen en te documenteren.
Met de voor deze aanpak ontwikkelde methode wordt een organisatie ondersteunt bij de uitvoer van het  implementatieproces en het op maat formuleren van beleidsdocumenten om passende en effectieve maatregelen  vast te leggen en te zorgen dat de verwerkingen in lijn met de Verordening plaatsvinden.
  • Door voormalig directeuren van de Autoriteit Persoonsgegevens (A.P) is de Privacy Management Methode (P.M.M ®) omschreven als een compleet, volledig en unieke Toolbox waarmee de functionaris ondersteunt wordt bij de realisatie en implementatie van dit proces.
De richtprijs is 95 euro per uur exclusief btw. Voor meer informatie:

Functionaris voor de gegevensbescherming: Henk Fernald;

Email: [email protected], of  [email protected]

Mobiel: 0031(0)640232495