Privacy in het onderwijs 

Image
Privacy in het onderwijs

Hoe zorg je als school ervoor dat er veilig met persoonsgegevens wordt omgegaan? Mag ik online surveilleren en meekijken tijdens een examen?

Lees allerlei brandende vragen over privacy in het onderwijs. Advocaten Leila van der Pal en Marlissa Rudolphij geven antwoord!

 

Begin november 2021 vond het webinar plaats over privacy in het onderwijs, dat Schoolfacilities samen met TeekensKarstens Advocaten organiseerde. Tijdens deze bijeenkomst werden er diverse vragen gesteld en behandeld. Een volledig overzicht van vraag en antwoord vind je in de PDF onderaan het artikel.

 

Begin bij het begin. Maak de keuze voor een softwarebedrijf dat veilig met je gegevens omgaat. Maar waar moet je opletten?  

Begin met een DPIA, dat is een soort privacy analyse waarmee privacyrisico’s van gegevensverwerkingen in kaart worden gebracht. Bijvoorbeeld bij de aanschaf van nieuwe software, adviseren Leila en Marlissa. Vervolgens kan je maatregelen treffen om deze risico’s te verkleinen. Een DPIA uitvoeren kan een flinke klus zijn. Het is daarom de moeite waard om bij DPIA’s van grote leveranciers of systemen samen op te trekken zoals bij Microsoft is gedaan. In opdracht van de Rijksoverheid zijn de afgelopen jaren DPIA’s uitgevoerd op Microsoftproducten. De uitkomsten hiervan hebben geleid tot aanbevelingen die ook gelden voor het onderwijs. Ook bij de DPIA van Google is er door verschillende partijen samen opgetrokken. Deze DPIA’s zijn online raad te plegen.

Als onderwijsinstelling moet je de controle houden over je dataverzameling. Zeker gelet op het feit dat het vaak gaat om minderjarige personen en gevoelige gegevens, bijvoorbeeld over hun gezondheid. Kijk ook kritisch naar welk systeem je gaat gebruiken. Als een systeem eenmaal geïmplementeerd is, is het vaak kostbaar en tijdrovend om over te stappen naar een ander systeem. 

Meer tips staan in het document onderaan het artikel.

 

Image
Marlissa

In hoeverre kan een onderwijsinstelling online surveilleren en meekijken tijdens een examen zonder de privacy van leerlingen te schenden?

Marlissa: “Veel onderwijsinstellingen werken nu met online proctoring, ook wel surveilleren op afstand genoemd. Het maakt het mogelijk om online tentamens af te nemen door middel van software. Zolang er niet volledig op locatie gewerkt kan worden, is het mogelijk om gebruik te maken van dit soort software. Er zijn grofweg drie verschillende soorten proctoring software te onderscheiden: live proctoring, proctoring na afloop en geautomatiseerde proctoring.” Deze varianten staan uitgewerkt in het document onderaan het artikel.

 

Stel er vindt een datalek plaats. Wat moet ik dan doen?

Marlissa: “Begin met het inhoudelijk beoordelen en onderzoeken van het datalek. Breng het lek in kaart: wat is de oorzaak geweest, welke gegevens zijn gelekt en om hoeveel persoonsgegevens gaat het? Probeer het datalek vervolgens te beëindigen en neem maatregelen om de gevolgen te beperken. Bijvoorbeeld door een laptop op afstand te wissen, een bestand offline te halen of een verkeerde ontvanger te vragen om te bevestigen dat de e-mail is verwijderd. 

 

Image
Leila

Leila: “Stel een dataprotocol op, zodat duidelijk is wie het aanspreekpunt is. In principe moet je een lek melden bij de Autoriteit Persoonsgegevens (AP) binnen 72 uur. Alleen wanneer het onwaarschijnlijk is dat de inbreuk gevolgen voor de betrokkenen heeft veroorzaakt, hoeft er geen melding te worden gedaan. Hoe dan ook maak je een melding in je eigen register van het lek. Moet het datalek ook gemeld worden aan de betrokkene? Dat ligt eraan. Je hoeft de betrokkene alleen te informeren er een hoog risico is voor hun rechten en vrijheden. Kun je aannemelijk maken dat dit niet zo is? Dan hoef je het datalek niet te melden.”

 

Let op: meldt de onderwijsinstelling een datalek ten onrechte niet bij de AP of aan de betrokkenen? Dan kan de AP een boete opleggen. 

 

Lees in de bijlage bij het artikel verder over DPIA’s, online proctoring en datalekken, maar ook over enkele andere belangrijke en relevante privacyrechtelijke onderwerpen voor onderwijsinstellingen, zoals verwerkersovereenkomsten, cameratoezicht in en rond het schoolterrein en het delen van foto’s van leerlingen.