Politiek

Nooit meer in de leerlingendata snuffelen

Even een Amerikaans appje laten installeren dat feedback geeft op huiswerk. Cijferlijsten bewaren op een usb-stick. De maatschappelijk werker het dossier mailen van een leerling met een moeilijke thuissituatie. Een groepspagina openen op Facebook voor de filmpjes van de sportdag van groep 4. De klassenlijst op het prikbord hangen.

Het zijn dit soort handelingen, vertelt Job Vos, privacy-specialist van Kennisnet, die docenten vanaf volgende week niet meer achteloos kunnen uitvoeren. Dan treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. De regels om de privacy van leerlingen te beschermen worden een stuk strenger; de Autoriteit Persoonsgegevens kan boetes opleggen.

Vanaf 25 mei geldt een strenge Europese privacy-verordening: de Algemene verordening gegevensbescherming (AVG).

Scholen, webwinkels en zorginstellingen zijn kwetsbare organisaties als het gaat om privacyschendingen. Toezichthouder Autoriteit Persoonsgegevens richt daarom z’n voorlichtingscampagne specifiek op deze drie sectoren.

In een drieluik kijkt NRC naar hoe men in deze sectoren de ingewikkelde wetgeving in de praktijk probeert te brengen. Het zijn organisaties met soms achterstallig onderhoud, waar het verwerken van persoonlijke gegevens voor medewerkers niet de core business is.

Deel 1 over het Amphia Ziekenhuis in Breda:‘Er waren Chinezen op de site aan het schieten’

Deel 2 over onlinesupermarkt Picnic: Data in ruil voor ingevuld winkelmandje

Dit is het slot, deel 3.

Zo moeten scholen afspraken maken met elke leverancier die gegevens van hun leerlingen verwerkt. Denk aan Magister, uitgeverijen of het leerlingvolgsysteem. Leraren mogen niet meer zomaar een foto van hun klas maken voor de nieuwsbrief; ouders moeten daar toestemming voor geven. Scholen moeten die toestemming ook kunnen aantonen.

Vos, die scholen namens Kennisnet helpt met de voorbereiding op de AVG, is „redelijk enthousiast” over de nieuwe wet. „Leerlingen zijn een kwetsbare groep en het onderwijs heeft héél veel gegevens”, zegt hij. „Daarnaast zijn er veel koppelingen tussen systemen en worden veel gegevens uitgewisseld – denk aan het samenwerkingsverband, de GGD of logopedist. Er kan snel iets verkeerd gaan.” Bijvoorbeeld een lek waardoor bekend wordt dat de minister van Financiën spijbelde en slecht was in rekenen. „Dat wil je niet.” Of een leraar die snuffelt in de resultaten van een leerling uit een andere klas.

Cultuurverandering

Bij Lucas Onderwijs, een Haags schoolbestuur met 26 middelbare scholen, 49 basisscholen en vier scholen voor speciaal onderwijs, zijn sinds februari vijf mensen intensief bezig met de voorbereiding op de nieuwe wet. Daar komt binnenkort de verplichte ‘functionaris gegevensbescherming’ bij. Lucas Onderwijs beheert gegevens van 34.000 leerlingen en 4.000 personeelsleden, vertellen directeur Robert Lock en privacy-functionaris Fons Bos op hun kantoor.

„We moesten heel veel dingen regelen”, zegt Lock. De protocollen voor onder meer cameratoezicht en social media-gebruik zijn „AVG-proof” gemaakt. En met alle leveranciers die gegevens verwerken, zijn nieuwe afspraken gemaakt. „We hebben scholen gevraagd: waar heb je contact mee, waar gaan de gegevens naartoe?”, zegt Bos. In totaal leverde dat meer dan honderd partijen op: het administratiesysteem, de ouderportal. Zelfs de schoolfotograaf. „Een foto is een bijzonder persoonsgegeven, omdat je daar het ras van een persoon op herkent. Daarvoor gelden strengere regels.”

Dat is de procedurele kant. Maar het belangrijkste – en ingewikkeldste – is bewustzijn creëren bij werknemers. „We willen niet alleen aan de wet voldoen, maar er vooral voor zorgen dat onze 4.000 werknemers bewust omgaan met gegevens”, zegt Lock. Daarvoor zijn er bijeenkomsten geweest en nieuwsbrieven en flyers verstuurd.

Nog lang niet alle organisaties die dat moeten, hebben een privacy-functionaris aangesteld: Er is een tekort aan privacy-experts