digitalisering en dataveiligheid in het onderwijs

Binnen de scholen zijn laptops en tablets niet meer weg te denken en de digitaliseringsgeest is niet meer in de fles te stoppen. Het aantal lesmethodes dat op papier verschijnt neemt jaarlijks verder af. Uitgeverijen hebben hun bakens steeds meer verlegd naar de uitgifte van digitaal lesmateriaal. De digitalisering stimuleert ook de verdere ontwikkeling en deling van open lesmateriaal, zoals te vinden op Wikiwijs. 

Keerzijde van de verdergaande digitalisering is dat er hoge eisen gesteld moeten worden aan de dataveiligheid en privacy. Iedereen waar ook ter wereld kan zich met een digitale koevoet, toegang verschaffen tot de data in die omgeving. De data die bij scholen opgeslagen zijn, blijken voor kwaadwillende goud waard, en dienen uit oogpunt van privacy met alle ter beschikking staande middelen te worden beveiligd.  

Dataveiligheid en bescherming privacy gaan hand in hand; zonder goede beveiliging van de data opgeslagen in de geautomatiseerde omgeving is de privacy niet goed te borgen.  Privacy gaat echter verder dan de digitale omgeving. Hier spelen de medewerkers van de organisatie zelf ook nog een rol. Het al dan niet op andere wijze kunnen en mogen verstrekken van informatie/gegevens over leerlingen en medewerkers aan ouders, leerlingen, andere medewerkers of derden, valt ook onder de AVG.  

Alle scholen moeten voldoen aan de AVG-wetgeving.

Een aantal essentiële zaken dienen zij te hebben geregeld:

• Verantwoordingsplicht – Zij moeten kunnen aantonen welke (juiste) technische en organisatorische maatregelen zij hebben getroffen om persoonsgegevens van leerlingen (en medewerkers) te beschermen.  
• Verwerkingsregister – Een register waarin is vastgelegd welke persoonsgegevens er worden verwerkt.  
• Informatieplicht – Ouders, leerlingen en medewerkers worden geïnformeerd over welke gegevens er worden verzameld, op welke wijze en met welk doel. 
• Privacyrechten borgen – Ouders, leerlingen en medewerkers mogen de geregistreerde persoonsgegevens inzien, laten corrigeren of laten wissen (tenzij dit niet mogelijk is). 

Gezien het belang van dataveiligheid en privacybescherming zullen veel onderwijsorganisaties een fulltime of parttime FG (functionaris gegevensbescherming) hebben.  Deze zal vaak ook een rol hebben in het trainen van bestaand en nieuw personeel in het kader van dataveiligheid en privacy welke voortvloeit uit de AVG-wetgeving. 

Naast scholing van personeel, zal er in kader van AO/IB  periodieke checks gedaan moeten worden op de persoonsgegevens verwerkende systemen en processen. Daarnaast zal het noodzakelijk zijn om genomen technische en organisatorische maatregelen te laten toetsen, middels security risicoanalyse door een extern deskundige; uitgaande dat niet veel scholen over een security officer zullen beschikken.  

De data veiligheid beperkt zich echter niet tot de organisatie zelf, ook de leveranciers waar de onderwijsorganisatie gebruik van maakt, en zeker degene die directe invloed hebben op de digitale omgeving zoals leveranciers van software, als leerlingadministratie en –volgsystemen, leveranciers (digitaal) van lesmateriaal, salarisverwerkers, etc. Met die leveranciers die vanwege hun dienstverlening komen te beschikken over persoonsgegevens van de onderwijsorganisatie, moeten   bewerkersovereenkomsten worden afgesloten. 

Uiteindelijk is een data-lek of hack nooit geheel uit te sluiten. Als de organisatie in die gevallen de gepaste maatregelen neemt en bovendien kan aantonen dat zij op organisatorisch, technisch en juridisch gebied al het mogelijke aan heeft gedaan om het te voorkomen, dan is de kans op financiële en andere vervolgschade in elk geval kleiner.