ITS ondersteunt scholen graag bij een veilige online leeromgeving. In een serie artikelen belichten we elke maand een thema. Dit keer meer over informatiebeveiliging & privacy. AVG, wat is dat eigenlijk en wat heeft het onderwijs ermee te maken?
We horen vaak de term AVG. AVG staat voor de Algemene Verordening Gegevensbescherming, in het Engels the General Data Protection Regulation (GDPR). Deze Europese privacywetgeving is op 25 mei 2018 ingegaan en iedere organisatie, ook scholen, moeten hieraan voldoen. Deze wetgeving gaat over de bescherming van privacygevoelige informatie en persoonsgegevens.
Privacy is het recht om met rust gelaten te worden en om gegevens over jezelf (persoonsgegevens) te kunnen controleren. De privacywetgeving stelt eisen aan het verwerken van persoonsgegevens. Verwerken betekent alles wat je met persoonsgegevens kunt doen, van verzamelen tot vernietigen. Om onderwijs te geven, hebben scholen gegevens nodig. Denk aan personeels- of leerlingdossiers. Volgens de AVG mag je dan alleen gegevens verwerken die noodzakelijk zijn.
Door informatiebeveiliging en privacy (IBP) goed te regelen kunnen we samen de privacy van leerlingen, medewerkers en andere betrokkenen waarborgen. De AVG geeft basisregels voor het omgaan met persoonsgegevens. Die kun je gemakkelijk onthouden aan de hand van vijf vuistregels.
Organisaties mogen persoonsgegevens alleen verzamelen met een gerechtvaardigd doel. Dat doel moet specifiek zijn en vooraf uitdrukkelijk zijn omschreven. Ook dient u de persoonsgegevens alleen te gebruiken voor het doel waarvoor ze verzameld zijn.
Persoonsgegevens mogen alleen worden verwerkt als daarvoor een wettelijke grondslag bestaat. De AVG noemt er zes:
Als uw organisatie persoonsgegevens verwerkt, moet u uitgaan van het principe ‘zo min mogelijk’. De organisatie mag niet meer gegevens verwerken dan noodzakelijk is om het doel te bereiken. Organisaties moeten persoonsgegevens verwijderen zodra die niet langer nodig zijn voor het doel waarvoor ze zijn verzameld.
Als je verantwoordelijk bent voor de verwerking van persoonsgegevens moet je daar transparant over zijn, zowel naar de betrokkenen (ouders, leerlingen, medewerkers) als naar de toezichthouder (Autoriteit Persoonsgegevens). Betrokkenen moeten weten welke organisatie hun persoonsgegevens verwerkt en waarom. Zij moeten volledige en begrijpelijke informatie krijgen over de verwerking van hun persoonsgegevens.
De gegevensverwerking moet op een passende manier worden beveiligd. Voor bijzondere persoonsgegevens, zoals over iemands gezondheid, gelden extra strenge regels. ITS kan u desgewenst ondersteunen in een passende beveiliging.
Persoonsgegevens zijn alle gegevens waarmee je direct of indirect mensen kunt identificeren. Denk bijvoorbeeld aan naam, adres en woonplaats. Gegevens zoals ras, godsdienst of gezondheid worden als bijzondere persoonsgegevens gezien. De wetgever beschermt die extra. Om ervoor te zorgen dat de AVG wordt nageleefd, heeft elk lid van de EU een toezichthouder. In Nederland is dat de Autoriteit Persoonsgegevens (AP).
De AVG geeft meer rechten aan betrokkenen om controle over hun eigen persoonsgegevens te hebben. Betrokkenen zijn bijvoorbeeld medewerkers en leerlingen. In deze video legt Job Vos, privacy-expert bij Kennisnet, uit waarom privacy zo belangrijk is voor scholen.
Volgens de AVG is het bevoegd gezag van een organisatie verantwoordelijk voor de verwerking en beveiliging van persoonsgegevens. In het onderwijs is dit het schoolbestuur. Dat houdt onder meer in dat het moeten kunnen aantonen welke technische en organisatorische maatregelen de school of stichting neemt om de persoonsgegevens van leerlingen te beschermen. Uiteraard kunnen de specialisten van ITS hierin ondersteunen.
ITS is ISO 27001-gecertificeerd, wat een garantie is dat wij voldoen aan de wereldwijd erkende norm op het gebied van informatiebeveiliging. De norm beschrijft hoe wij procesmatig met het beveiligen van informatie omgaan, met als doel de vertrouwelijkheid, beschikbaarheid en integriteit van informatie zeker te stellen. Denk hierbij aan het beschermen van persoons- en/of bedrijfsgegevens, bescherming tegen hackers en inbraak.
Voor scholen toetsen we nieuwe technologieën en toepassingen hiervan aan het normenkader informatiebeveiliging en privacy. Zo anticiperen wij op de verplichtingen van scholen in 2027. Een groot deel van deze verplichtingen genoemd in dit normenkader worden al getoetst in onze ISO 27001-certificering. Wij ondersteunen onze klanten bij goede bescherming van persoons- en/of bedrijfsgegevens. Dit doen wij door het bieden van onder meer beveiligde cloudoplossingen van bijvoorbeeld Microsoft 365, Microsoft Azure en EndpointManager.
Meer info over ‘Veilig online op school’? Neem contact op met ITS!