© Erik van Roekel
Wat moet je weten over...
privacy en passend onderwijs?
Job Vos (adviseur privacy)
7 december 2017, Eindhoven
Er is al langere tijd voor privacy in het onderwijs
Aandacht voor privacy niet nieuw
1989: Wet persoonsregistratie (WPR)
2001: Wet bescherming persoonsgegevens (WBP)
2018: Algemene Verordening Gegevensbescherming (AVG)
PO-Raad, VO-raad en Kennisnet
2011: wetsvoorstel passend onderwijs
2013: PvE uitgangspunt voor vormgeving regierol namens sector
2014: invoering Wet passend onderwijs
incidenten rondom privacy; privacyconvenant
2015: privacyconvenant 1.0 (leermiddelen)
2016: privacyconvenant 2.0 (leermiddelen+LAS/LVS)
Aanpak IBP (stappenplan om IBP te regelen)
2017: Privacyconvenant 3.0 (aanpassing aan AVG) met
certificeringsschema met beveiligingseisen voor leveranciers
Maar: bestuur blijft aan zet bij het regelen van informatiebeveiliging en privacy2
Wat is privacy?
Eerbiediging van de
persoonlijke levenssfeer
Bescherming van
persoonsgegevens
Informatiebeveiliging is een proces voor het
beschermen tegen risico’s en bedreigingen
met betrekking tot informatie en ict.
Waarom is privacy zo belangrijk? • Het recht op privacy is een fundamenteel
mensenrecht en grondrecht, net zoals het
recht op leven, het verbod op discriminatie,
recht op een eerlijke proces of verbod van
slavernij.
• ‘het staat in de wet’, dus het moet (2018: AVG)
• compliance: accountantscontrole
• imago: datalekken, schade, risico’s
• financieel: hoge boetes, ook voor scholen!
• En…
5
6
Privacy geeft ons de mogelijkheid
tot ontwikkeling en groei
zonder noodzakelijk geconfronteerd te worden
met keuzes (ondersteuning) uit het verleden.
Privacy gaat niet alleen over gegevens
7
De Wet bescherming persoonsgegevens
Dit is het belangrijkste dat u moet weten over de Wbp:
deze wet wordt niet ouder dan 169 dagen
Voorstel uit 2012:
Algemene Verordening Gegevensbescherming (AVG)Volledige titel: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van
27 april 2016 betreffende de bescherming van natuurlijke personen in verband met
verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en
tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)
#GDPR
Dit is Europese wetgeving die nationale wetten overbodig maakt
8
1. Doelbepaling
en doelbinding
2. Grondslag
3. Dataminimalisatie
4. Transparantie (rechten Betrokkene)
5. Data-integriteit
Vuistregels privacy 2.0
Aandachtspunten AVG (25 mei ’18)
10
1. Vuistregels (hiervoor besproken)
2. Bewuster omgaan met persoonsgegevens: gestructureerd
en stelselmatig (zoals privacy by design en by default)gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen
3. Risicobenadering, context relevanter: risico-inventarisatie en
risico-analysePIA (privacy impact assessment wordt gegevensbeschermingseffectbeoordeling)
4. Documentatieplicht: bewijslast bij de verantwoordelijkegeen bewijs, geen toestemming
5. Bewustzijn creëren en actief voorlichting geven Trainingen
Meer transparantie: uitleggen wat je waarom doet met persoonsgegevens
Vervolg Aandachtspunten
6. Minderjarigen: bij sociale media toestemming ouders bij jongere onder de
16 jaarAlleen bij sociale media!
7. Bewerkersovereenkomsten centraler, beschrijving wat wettelijk vereist is Privacyconvenant is de norm voor contracten in het po en vo
8. Meldplicht datalekken blijft bestaan (let op regelen procedure)
9. Functionaris voor Gegevensbescherming (FG): verplicht voor scholen
10.Technische en organisatorische beveiligingsmaatregelen: Aanpak IBP
11
En ook nog…
Rechten betrokkene verstevigd, meer controle bij de burger:
• Recht op informatie
• Recht op inzage
• Recht op rectificatie
• Recht van verzet
• Recht op gegevenswissing (vergetelheid)
• Beperking van de verwerking
• Recht op dataportabiliteit
• Recht niet onderworpen te worden aan geautomatiseerde
besluitvorming
Handhaving:
beter afgestemd en boetes tot 4% wereldwijde jaaromzet of €20 mio
12
Autoriteit Persoonsgegevens: AVG op school• Terughoudend: niet de zweep er over de komende 1 tot 2 jaar
‘Je moet er een potje van maken om een boete te krijgen de eerste jaren’
• Last onder dwangsom: stimuleren om privacy op orde te krijgen
• Accountability: uitleggen waarom je wel/niet voldoet
• Assurance: aantoonbaar in control
• Beter ‘iets’ dan ‘niets’ (voorbeeld: bewerkersovereenkomsten)
• Scholen moeten ‘autoriseren, loggen en controleren’ regelen!
• ‘Zorg dat je bestuurder uitdraagt dat privacy belangrijk is’
• ‘Vertel iedereen hoe je omgaat met privacy’
13
Samenwerkingsverband PaO (bestuur):
Het samenwerkingsverband stelt zich ten doel een samenhangend geheel van
ondersteuningsvoorzieningen binnen en tussen de scholen, (…) te realiseren
en wel zodanig dat leerlingen een ononderbroken ontwikkelingsproces kunnen
doormaken en leerlingen die extra ondersteuning behoeven een zo passend
mogelijke plaats in het onderwijs krijgen.
Het swv passend onderwijs is een aparte rechtspersoon, met een ander doel
van de doelen van een schoolbestuur:
swv passend onderwijs is
voor de aan haar opgedragen taken/doelen
zelfstandig verantwoordelijke
school(bestuur) ≠ swv (bestuur 14
Schoolbestuur en swv passend onderwijs
Bijzondere persoonsgegevens: nee tenzij
Artikel 16 Wbp:
De verwerking van persoonsgegevens betreffende iemands godsdienst of
levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven,
alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging
is verboden (…)
Art. 18a lid 13 Wet primair onderwijs en art. 17a lid 15 Wet voortgezet onderwijs:
Het samenwerkingsverband is bevoegd zonder toestemming van degene die
het betreft persoonsgegevens betreffende iemands gezondheid (…) te
verwerken met betrekking tot leerlingen, voor zover dit noodzakelijk is voor de
uitoefening van de taken:
a) toewijzen van ondersteuningsmiddelen -voorzieningen aan de scholen
b) beoordelen of leerlingen aangewezen zijn op het lwoo, PRO of voortgezet
speciaal onderwijs, op verzoek van het bevoegd gezag van een school
c) adviseren over de ondersteuningsbehoefte van een leerling
Dus… regel het!
Het bestuur is verantwoordelijk om
informatiebeveiliging en privacy (IBP) te regelen
Privacy:
garandeer de privacy van leerlingen, hun ouders én medewerkers
Informatiebeveiliging:
onderwijs en begeleiding moet altijd door kunnen gaan
Kaders:
Wbp, AVG, onderwijswetgeving
ISO 27001 en 27002 voor beveiliging
16
1. organiseren
2. realiseren
3. communiceren
25 mei 2018:
invoering AVG
Aanpak IBP: https://kn.nu/IBPonderwijs
BSN: nee, tenzij…
Artikel 24 lid 1 Wbp:
Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven,
wordt (…) slechts gebruikt ter uitvoering van de betreffende wet dan wel voor
doeleinden bij de wet bepaald.
Voor het samenwerkingsverband is niet geregeld dat het BSN of PGN gebruikt
mag worden. Ze mogen het ‘hebben’…
… maar niet gebruiken. Ook niet voor de TLV! De school die de TLV ontvangt
moet het BSN invullen in de model-TLV van DUO
Niet meer gegevens dan nodig…
Scholen zijn geneigd alles op te slaan, en daarna (jaren later!) uit te wisselen
met een opvolgende school…
Daarom: dataminimalisatie! Niet meer dan strikt noodzakelijk
Zorg voor een aparte bijlage (handelingsgerichte adviezen) voor de school.
De school hoeft dan het niet het ‘hele rapport’ te hebben maar alleen wat voor
hen relevant is
19
Digitale privacy tool: procesplaten
20https://www.passendonderwijsenprivacy.nl/
Proces verkennings- en onderzoeksfase
Bedankt voor uw aandacht!
Job Vos (adviseur privacy)LinkedIN jobavos
Twitter @jobavos
Vragen over IBP? Mail naar de helpdesk IBP: [email protected]
www.poraad.nl www.voraad.nl www.kennisnet.nl
Top Related