© Erik van Roekel

Wat moet je weten over...

privacy en passend onderwijs?

Job Vos (adviseur privacy)

7 december 2017, Eindhoven

Er is al langere tijd voor privacy in het onderwijs

Aandacht voor privacy niet nieuw

1989: Wet persoonsregistratie (WPR)

2001: Wet bescherming persoonsgegevens (WBP)

2018: Algemene Verordening Gegevensbescherming (AVG)

PO-Raad, VO-raad en Kennisnet

2011: wetsvoorstel passend onderwijs

2013: PvE uitgangspunt voor vormgeving regierol namens sector

2014: invoering Wet passend onderwijs

incidenten rondom privacy; privacyconvenant

2015: privacyconvenant 1.0 (leermiddelen)

2016: privacyconvenant 2.0 (leermiddelen+LAS/LVS)

Aanpak IBP (stappenplan om IBP te regelen)

2017: Privacyconvenant 3.0 (aanpassing aan AVG) met

certificeringsschema met beveiligingseisen voor leveranciers

Maar: bestuur blijft aan zet bij het regelen van informatiebeveiliging en privacy2

Wat is privacy?

Eerbiediging van de

persoonlijke levenssfeer

Bescherming van

persoonsgegevens

Informatiebeveiliging is een proces voor het

beschermen tegen risico’s en bedreigingen

met betrekking tot informatie en ict.

Waarom is privacy zo belangrijk? • Het recht op privacy is een fundamenteel

mensenrecht en grondrecht, net zoals het

recht op leven, het verbod op discriminatie,

recht op een eerlijke proces of verbod van

slavernij.

• ‘het staat in de wet’, dus het moet (2018: AVG)

• compliance: accountantscontrole

• imago: datalekken, schade, risico’s

• financieel: hoge boetes, ook voor scholen!

• En…

5

6

Privacy geeft ons de mogelijkheid

tot ontwikkeling en groei

zonder noodzakelijk geconfronteerd te worden

met keuzes (ondersteuning) uit het verleden.

Privacy gaat niet alleen over gegevens

7

De Wet bescherming persoonsgegevens

Dit is het belangrijkste dat u moet weten over de Wbp:

deze wet wordt niet ouder dan 169 dagen

Voorstel uit 2012:

Algemene Verordening Gegevensbescherming (AVG)Volledige titel: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van

27 april 2016 betreffende de bescherming van natuurlijke personen in verband met

verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en

tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)

#GDPR

Dit is Europese wetgeving die nationale wetten overbodig maakt

8

1. Doelbepaling

en doelbinding

2. Grondslag

3. Dataminimalisatie

4. Transparantie (rechten Betrokkene)

5. Data-integriteit

Vuistregels privacy 2.0

Aandachtspunten AVG (25 mei ’18)

10

1. Vuistregels (hiervoor besproken)

2. Bewuster omgaan met persoonsgegevens: gestructureerd

en stelselmatig (zoals privacy by design en by default)gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen

3. Risicobenadering, context relevanter: risico-inventarisatie en

risico-analysePIA (privacy impact assessment wordt gegevensbeschermingseffectbeoordeling)

4. Documentatieplicht: bewijslast bij de verantwoordelijkegeen bewijs, geen toestemming

5. Bewustzijn creëren en actief voorlichting geven Trainingen

Meer transparantie: uitleggen wat je waarom doet met persoonsgegevens

Vervolg Aandachtspunten

6. Minderjarigen: bij sociale media toestemming ouders bij jongere onder de

16 jaarAlleen bij sociale media!

7. Bewerkersovereenkomsten centraler, beschrijving wat wettelijk vereist is Privacyconvenant is de norm voor contracten in het po en vo

8. Meldplicht datalekken blijft bestaan (let op regelen procedure)

9. Functionaris voor Gegevensbescherming (FG): verplicht voor scholen

10.Technische en organisatorische beveiligingsmaatregelen: Aanpak IBP

11

En ook nog…

Rechten betrokkene verstevigd, meer controle bij de burger:

• Recht op informatie

• Recht op inzage

• Recht op rectificatie

• Recht van verzet

• Recht op gegevenswissing (vergetelheid)

• Beperking van de verwerking

• Recht op dataportabiliteit

• Recht niet onderworpen te worden aan geautomatiseerde

besluitvorming

Handhaving:

beter afgestemd en boetes tot 4% wereldwijde jaaromzet of €20 mio

12

Autoriteit Persoonsgegevens: AVG op school• Terughoudend: niet de zweep er over de komende 1 tot 2 jaar

‘Je moet er een potje van maken om een boete te krijgen de eerste jaren’

• Last onder dwangsom: stimuleren om privacy op orde te krijgen

• Accountability: uitleggen waarom je wel/niet voldoet

• Assurance: aantoonbaar in control

• Beter ‘iets’ dan ‘niets’ (voorbeeld: bewerkersovereenkomsten)

• Scholen moeten ‘autoriseren, loggen en controleren’ regelen!

• ‘Zorg dat je bestuurder uitdraagt dat privacy belangrijk is’

• ‘Vertel iedereen hoe je omgaat met privacy’

13

Samenwerkingsverband PaO (bestuur):

Het samenwerkingsverband stelt zich ten doel een samenhangend geheel van

ondersteuningsvoorzieningen binnen en tussen de scholen, (…) te realiseren

en wel zodanig dat leerlingen een ononderbroken ontwikkelingsproces kunnen

doormaken en leerlingen die extra ondersteuning behoeven een zo passend

mogelijke plaats in het onderwijs krijgen.

Het swv passend onderwijs is een aparte rechtspersoon, met een ander doel

van de doelen van een schoolbestuur:

swv passend onderwijs is

voor de aan haar opgedragen taken/doelen

zelfstandig verantwoordelijke

school(bestuur) ≠ swv (bestuur 14

Schoolbestuur en swv passend onderwijs

Bijzondere persoonsgegevens: nee tenzij

Artikel 16 Wbp:

De verwerking van persoonsgegevens betreffende iemands godsdienst of

levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven,

alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging

is verboden (…)

Art. 18a lid 13 Wet primair onderwijs en art. 17a lid 15 Wet voortgezet onderwijs:

Het samenwerkingsverband is bevoegd zonder toestemming van degene die

het betreft persoonsgegevens betreffende iemands gezondheid (…) te

verwerken met betrekking tot leerlingen, voor zover dit noodzakelijk is voor de

uitoefening van de taken:

a) toewijzen van ondersteuningsmiddelen -voorzieningen aan de scholen

b) beoordelen of leerlingen aangewezen zijn op het lwoo, PRO of voortgezet

speciaal onderwijs, op verzoek van het bevoegd gezag van een school

c) adviseren over de ondersteuningsbehoefte van een leerling

Dus… regel het!

Het bestuur is verantwoordelijk om

informatiebeveiliging en privacy (IBP) te regelen

Privacy:

garandeer de privacy van leerlingen, hun ouders én medewerkers

Informatiebeveiliging:

onderwijs en begeleiding moet altijd door kunnen gaan

Kaders:

Wbp, AVG, onderwijswetgeving

ISO 27001 en 27002 voor beveiliging

16

1. organiseren

2. realiseren

3. communiceren

25 mei 2018:

invoering AVG

Aanpak IBP: https://kn.nu/IBPonderwijs

BSN: nee, tenzij…

Artikel 24 lid 1 Wbp:

Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven,

wordt (…) slechts gebruikt ter uitvoering van de betreffende wet dan wel voor

doeleinden bij de wet bepaald.

Voor het samenwerkingsverband is niet geregeld dat het BSN of PGN gebruikt

mag worden. Ze mogen het ‘hebben’…

… maar niet gebruiken. Ook niet voor de TLV! De school die de TLV ontvangt

moet het BSN invullen in de model-TLV van DUO

Niet meer gegevens dan nodig…

Scholen zijn geneigd alles op te slaan, en daarna (jaren later!) uit te wisselen

met een opvolgende school…

Daarom: dataminimalisatie! Niet meer dan strikt noodzakelijk

Zorg voor een aparte bijlage (handelingsgerichte adviezen) voor de school.

De school hoeft dan het niet het ‘hele rapport’ te hebben maar alleen wat voor

hen relevant is

19

Digitale privacy tool: procesplaten

20https://www.passendonderwijsenprivacy.nl/

Proces verkennings- en onderzoeksfase

Bedankt voor uw aandacht!

Job Vos (adviseur privacy)LinkedIN jobavos

Twitter @jobavos

Vragen over IBP? Mail naar de helpdesk IBP: ibp@kennisnet.nl

www.poraad.nl www.voraad.nl www.kennisnet.nl