Wat moet je weten over privacy en passend onderwijs? · - Je schrijft je niet in op 24 mei voor een...
Transcript of Wat moet je weten over privacy en passend onderwijs? · - Je schrijft je niet in op 24 mei voor een...
© Erik van Roekel
Wat moet je weten over...
privacy en passend onderwijs?
Job Vos (adviseur privacy)
20 april 2018, Heusden Altena
Hallo allemaal, wat fijn dat u er bent…
2
Hallo allemaal, wat fijn dat u er bent…
3
…en wie ben jij?
1. Stel jezelf eens voor aan je buurman/buurvrouw. Maar wacht even…
2. Niet zomaar voorstellen… wie ben jij in de digitale wereld?
3. Toon je Facebook, Twitter, LinkedIn, Instagram…
4. Laat je Whatsapp eens zien…
5. En geef je buurman/buurvrouw je telefoon
6. En deel je Tinder… je Secondlove…
What’s up?!
4
Wat is privacy?
Eerbiediging van de
persoonlijke levenssfeer
Bescherming van
persoonsgegevens
Informatiebeveiliging is een proces voor het
beschermen tegen risico’s en bedreigingen
met betrekking tot informatie en ict.
Samengevoegd tot: IBP
Waar gaat privacy over?
Wie gaat er over IBP?
Verantwoordelijke(verwerkingsverantwoordelijke)
Met wie werk je samen?
Bewerker(verwerker)
Privacyconvenant 3.0 (m.i.v. 1 april 2018) Digitale onderwijsmiddelen: digitaal leermateriaal en LAS/LVS
Rolverdeling: schoolbestuur aan het stuur
Doeleinden van de verwerkingen
Gebruik model verwerkersovereenkomst verplicht
- Bijlage 1: privacybijsluiter
- Bijlage 2: beveiligingsbijlage
Comply or explain: advies is om niet af te wijken
Privacy by design en by default: keten-id / ECK-iD (pseudoniem)
Informatieverplichtingen
Vraag vanaf 1 mei je verwerkersovereenkomst op bij je leverancier
Aandacht voor privacy in het onderwijsAandacht voor privacy niet nieuw
1989: Wet persoonsregistratie (WPR)
2001: Wet bescherming persoonsgegevens (WBP)
2018: Algemene Verordening Gegevensbescherming (AVG)
PO-Raad, VO-raad, MBO Raad en Kennisnet
2011: wetsvoorstel passend onderwijs
2013: PvE uitgangspunt voor vormgeving regierol namens sector
2014: invoering Wet passend onderwijs
incidenten rondom privacy
2015: privacyconvenant 1.0 (leermiddelen)
2016: privacyconvenant 2.0 (leermiddelen+LAS/LVS)
Aanpak IBP (stappenplan om IBP te regelen)
2017: Privacyconvenant 3.0 (aanpassing aan AVG) met
certificeringsschema met beveiligingseisen voor leveranciers
2018: Privacyconvenant 3.0 (AVG en invoegen MBO)
Pseudoniem
Maar: bestuur blijft aan zet bij het regelen van informatiebeveiliging en privacy11
Waarom is privacy zo belangrijk? • Het recht op privacy is een fundamenteel
mensenrecht en grondrecht, net zoals het
recht op leven, het verbod op discriminatie,
recht op een eerlijke proces of verbod van
slavernij.
• ‘het staat in de wet’, dus het moet (2018: AVG)
• compliance: accountantscontrole
• imago: datalekken, schade, risico’s
• financieel: hoge boetes, ook voor scholen!
• En…
12
Privacy in het onderwijs
14
15
Privacy gaat niet alleen over gegevens
16
AVG: 25 mei 2018
17
Versterking en uitbreiding
privacyrechtenMeer bevoegdheden
voor Europese
privacytoezichthouders
Meer
verantwoordelijkheden
voor organisaties
1. Doelbepaling
en doelbinding
2. Grondslag
3. Dataminimalisatie
4. Transparantie (rechten Betrokkene)
5. Data-integriteit
Vuistregels privacy 2.0
Aandachtspunten AVG (25 mei ’18)
1. Vuistregels (wordt hierna besproken)
2. Bewuster omgaan met persoonsgegevens: gestructureerd en stelselmatig
(zoals privacy by design en by default)
- gegevensbescherming door ontwerp en gegevensbescherming door
standaardinstellingen
3. Risicobenadering, context relevanter: risico-inventarisatie en risico-analyse
- DPIA (gegevensbeschermingseffectbeoordeling)
4. Documentatieplicht: bewijslast en privacy-administratie
- geen bewijs, geen toestemming
- Dataregister: welke gegevens, welke systemen, welke doelen
5. Bewustzijn creëren en actief voorlichting geven
- Meer transparantie: uitleggen wat je waarom doet met persoonsgegevens
Vervolg Aandachtspunten
6. Minderjarigen: bij sociale media toestemming ouders bij jongere onder de
16 jaar
- Alleen bij sociale media!
7. Verwerkersovereenkomsten centraler, beschrijving wat wettelijk vereist is
- Privacyconvenant is de norm voor contracten in het po en vo
6. Meldplicht datalekken blijft bestaan (let op regelen procedure)
7. Functionaris voor Gegevensbescherming (FG): verplicht voor scholen
8. Technische en organisatorische beveiligingsmaatregelen: Aanpak IBP
Autoriteit Persoonsgegevens: AVG op school
Context van het onderwijs:
- Leerlingen zijn een kwetsbare groep
- Scholen hebben veel informatie en systemen
- Gegevens worden intern en extern uitgewisseld (op wettelijke basis)
Terughoudend: niet de zweep er over de komende 1 tot 2 jaar
- ‘Je moet er een potje van maken om een boete te krijgen de eerste
jaren’
Accountability: uitleggen waarom je wel/niet voldoet (leg vast!)
- Assurance: aantoonbaar in control
- Beter ‘iets’ dan ‘niets’ (begin gewoon!)
Scholen moeten ‘autoriseren, loggen en controleren’ regelen!
‘Zorg dat je bestuurder uitdraagt dat privacy belangrijk is’
‘Vertel iedereen hoe je omgaat met privacy’
Dus… regel het!
Het bestuur is verantwoordelijk om
informatiebeveiliging en privacy (IBP) te regelen
Privacy:
garandeer de privacy van leerlingen, hun ouders én medewerkers
Informatiebeveiliging:
onderwijs en begeleiding moet altijd door kunnen gaan
Kaders:
Wbp, AVG, onderwijswetgeving
ISO 27001 en 27002 voor beveiliging
22
1. organiseren
2. realiseren
3. communiceren
AVG
Aanpak IBP: https://kn.nu/IBPonderwijs
Stap 1: organiseer een beleid
De bestuurder stelt een beleidsplan op met daarin afspraken:
Uitgangspunten
Duidelijke doelen
Vastgelegde verantwoordelijkheden: wie gaat wat wanneer doen
Rapportage-afspraken: verslag aan bestuurder
Het beleidsplan is de kapstok om IBP te regelen: en dan… aan de slag!
Stap 2: realiseren (neem maatregelen)
Scholen hebben onder de AVG een documentatieplicht. Dus je moet vooral
vastleggen hoe je zorgt voor privacy:
Inventariseer wat de grootste risico’s voor de school zijn in het algemeen
(risico-inventarisatie)
Zet op een rij welke persoonsgegevens in welke systemen worden
verwerkt, in een dataregister
Bepaal welke systemen een hoog risico* hebben
Bepaal voor in ieder geval voor die systemen dat je juiste maatregelen zijn
getroffen, en voer zo nodig een DPIA uit.
25
*systemen die “bijzondere categorieën van persoonsgegevens” hebben
of vallen onder “stelselmatige en grootschalige monitoring”
Functionaris voor gegevensbescherming
Functie (aanwijzing door bestuurder), mag extern zijn
Onafhankelijke interne toezichthouder
Gevraagd en ongevraagd advies
Betrokken bij risico-inventarisatie, dataregister,
DPIA
Gesprekspartner bevoegd gezag
Werk slim, werk samen! Regel samen een FG,
of doe dit via het samenwerkingsverband
Stap 3: communiceren
Betrek medewerkers: vertel wat informatiebeveiliging en privacy zijn:
Voorbeeld presenstatie bewustwording
Online training IBP voor medewerkers
Betrek leerlingen: 21e eeuwse vaardigheden zoals
digitale geletterdheid (basis ict-vaardigheden)
Betrek en informeer de ouders en (G)MR: hoe vertel je het de ouders?
27
Zes keer zorgvuldig
Gebruik zorgvuldig: vergrendel je scherm
Deel zorgvuldig: eerst denken dan delen (en dan niet gewoon per mail)
Surf zorgvuldig: klik niet klakkeloos
Beveilig zorgvuldig: wachtwoord is persoonlijk
Verbind zorgvuldig: check veilige verbinding
Sla zorgvuldig op: encryptie en geen USB-sticks
Goede voorbereiding… is het halve werk!
Een marathon loop je niet in één keer…
- Je schrijft je niet in op 24 mei voor een marathon op 25 mei
Je hebt training nodig en goede voeding
- Goede voeding: Aanpak IBP
- Trainen moet je echt zélf doen – maar werk samen waar mogelijk!
Als je vantevoren weet dat een marathon niet gaat lukken, schrijf je dan in
voor de van dam-tot-dam loop
Maak een planning!
30
Dus…
• Ga aan de slag: niet bang maar bewust!
• Leg vast wat je doet, wat moet (beleid), en wat je gaat doen (planning)
• Overleg met de (G)MR/OR en vraag om instemming met het beleid!
• Wijs medewerkers aan die IBP gaan regelen (IBP-team)
• Risico-inventarisatie: wat zijn je risico’s, neem daarvoor maatregelen
• Welke gegevens zitten met wel doel in welke systemen (dataregister)
• Denk (pas later) aan een FG
• Op 25 mei niet klaar… niet erg?
31
Passend onderwijs… heel bijzonder?!
32
Bijzondere persoonsgegevens: nee tenzij
Artikel 16 Wbp:
De verwerking van persoonsgegevens betreffende iemands godsdienst of
levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven,
alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging
is verboden (…)
Art. 18a lid 13 Wet primair onderwijs en art. 17a lid 15 Wet voortgezet onderwijs:
Het samenwerkingsverband is bevoegd zonder toestemming van degene die
het betreft persoonsgegevens betreffende iemands gezondheid (…) te
verwerken met betrekking tot leerlingen, voor zover dit noodzakelijk is voor de
uitoefening van de taken:
a) toewijzen van ondersteuningsmiddelen -voorzieningen aan de scholen
b) beoordelen of leerlingen aangewezen zijn op het lwoo, PRO of voortgezet
speciaal onderwijs, op verzoek van het bevoegd gezag van een school
c) adviseren over de ondersteuningsbehoefte van een leerling
BSN: nee, tenzij…
Artikel 24 lid 1 Wbp:
Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven,
wordt (…) slechts gebruikt ter uitvoering van de betreffende wet dan wel voor
doeleinden bij de wet bepaald.
Voor het samenwerkingsverband is niet
geregeld dat het BSN of PGN gebruikt
mag worden. Ze mogen het ‘hebben’…
… maar niet gebruiken. Ook niet voor de
TLV! De school die de TLV ontvangt moet
het BSN invullen in de model-TLV van DUO
Niet meer gegevens dan nodig…
Scholen zijn geneigd alles op te slaan, en daarna (jaren later!) uit te wisselen
met een opvolgende school…
Daarom: dataminimalisatie! Niet meer dan strikt noodzakelijk
Zorg voor een aparte bijlage (handelingsgerichte adviezen) voor de school.
De school hoeft dan het niet het ‘hele rapport’ te hebben maar alleen wat voor
hen relevant is
35
Digitale privacy tool: procesplaten
36https://www.passendonderwijsenprivacy.nl/
Proces verkennings- en onderzoeksfase
Digitale tool passend onderwijs en privacy: geschiedenis
In 2016: veel vragen bij de helpdesk van het steunpunt: swv-en, scholen en professionals belast met onderzoek
Gesprekken met het veld (welke vragen, ondersteuningsbehoefte)
In 2017: sectorraden, OCW, Kennisnet, NVO, NIP en juridisch experts ontwikkelen ondersteuningtool passend onderwijs en privacy
2017: het inrichten van de tool, testfase en lancering
• https://www.passendonderwijsenprivacy.nl/
Digitale tool passend onderwijs en privacy: doelstellingen
Behandeling privacy aspecten op basis van de meest voorkomende werkprocessen ihkv passend onderwijs: checklist per onderwerp
Vertaling wet- en regelgeving richting de praktijk
Adviezen op basis van de vijf vuistregels
Gemeenschappelijke taal en doorverwijzingen
Los te gebruiken, maar inbedden in eigen website ook mogelijk
• https://www.passendonderwijsenprivacy.nl/
Uitgangspunten
Niet meer informatie delen dan nodig (minimalisatie / wettelijke taak)
Focus op handeling niet de diagnose (uitvoering taak/ grondslag)
Tijdige betrokkenheid ouders/ leerlingen en transparantie
Rollen en taken deskundigen (beroepscode en wettelijke taak
Uitwisseling gegevens (externe partijen en binnen het swv) (oa dataintegriteit)
• https://www.passendonderwijsenprivacy.nl/
Opbouw tool (1)
1. Oplossen binnen school: past binnen basisondersteuning
5. Cluster 1/2: aanmelden Cie van
Onderzoek
3. Oplossen: andere reguliere school zoeken
4. Oplossen (v)so/opdc/sbo/pro/
lwoo
2. Oplossen binnen school: extra
ondersteuning nodig
Fase verkenning en onderzoek
naar ondersteunings-
behoeften
Leerling wordt aangemeld bij
reguliere po of vo
school. Ouders geven aan dat misschien
extra ondersteuning nodig is.
Leerling zit op reguliere school en school of
ouders signaleren dat
misschien extra ondersteuning nodig is.
Samenwerking met externe partners,
bijvoorbeeld jeugdhulp
• https://www.passendonderwijsenprivacy.nl/
Opbouw tool (2):
Opbouw vervolg-
routes
1. Oplossen binnen school: past binnen basisondersteuning
5. Cluster 1/2: aanmelden Cie van
Onderzoek
3. Oplossen: andere reguliere school zoeken
4. Oplossen (v)so/opdc/sbo/pro/lwo
o:
2. Oplossen binnen school: extra
ondersteuning nodig
OPP opstellenAanvragen
TLV/ aanwijzing
OPP opstellenBeoordeling en beslissing
op aanvraag
Zoeken andere school
Overdragen school-school
Beoordelen en beslissing op
aanvraag
Aanmelden nieuwe school
en BRON
Overdragen school-school
Aanvraag indienen Cie v
Onderzoek
Beslissen door Cie
Onderzoeken door Cie
Overdragen school-school
Aanmelden nieuwe school
Indien nodig: OPP opstellen nieuwe school
Samenwerking met externe partners,
bijvoorbeeld jeugdhulp
Afspraken maken over
zorg en regie
OPP opstellen nieuwe school
Intern afspraken maken en eventueel
met zorgpartners
Aanvragen extra
voorzieningen
In de digitale tool:
Startscherm &
Zoekfunctie
>> gezichtspunt:
School/ swv
>> Externe partners
Voorbeeld 1 - vraag
Waaraan moet een toestemmings-verklaring van ouders aan voldoen?
Voorbeeld 2 – proces
Een andere reguliere
school voor de leerling
Tool is online, maar in ontwikkeling
• We evalueren we de opbouw en de teksten: feedback nodig!
• Begin 2018 zijn we gestart met het inrichten van een extra proces rond ‘thuiszitters’
• Nieuwe vragen én antwoorden: tool wordt doorontwikkeld
• Meld je aan bij de tool en wordt op de hoogte gehouden!
• https://www.passendonderwijsenprivacy.nl/
Dank voor de aandacht!
https://kn.nu/IBPonderwijs
https://www.passendonderwijsenprivacy.nl