ITS ondersteunt scholen graag bij een veilige online leeromgeving voor leerlingen én medewerkers. In een serie van artikelen belichten we telkens een thema. Deze keer ‘Liever delen, dan mailen’: ofwel hoe krijgt u gegevens veilig bij iemand anders?
‘Liever delen, dan mailen’ betekent dat u beter een link naar een bestand in bijvoorbeeld de beveiligde cloud- of netwerkomgeving van de school kunt sturen, dan de informatie zelf. Daarmee weet u zeker dat alleen iemand met de link én de juiste toegangsrechten bij het bestand kan. Een veelgehoorde term in dit kader is ‘Conditional Access’. Dit is een van de vele mogelijkheden die helpt om medewerkers veilig toegang te geven tot organisatiegegevens.
We delen allemaal, bewust of onbewust, steeds meer informatie over onszelf, leerlingen en hun ouders. Herkent u het telefoontje waarin even tussendoor gevraagd wordt om de geboortedatum en het land van herkomst van een leerling? Of dat mailtje dat u stuurt naar collega’s, met daarin de namen van een aantal dyslectische leerlingen?
Het is belangrijk dat u weet welke gegevens u mag vastleggen, met wie u die mag delen en op welke manier. U mag bijvoorbeeld niet zomaar persoonsgegevens doorgeven aan de gemeente, een collega-school, de leerplichtambtenaar of zelfs uw collega’s. Soms hebben we een wettelijke plicht om een aantal persoonsgegevens te delen. Bijvoorbeeld met DUO. DUO is ook verwerkingsverantwoordelijke, net als de school, en is dan ook zelf verantwoordelijk voor de bescherming van die persoonsgegevens.
Maar we delen ook persoonsgegevens met leveranciers van digitaal lesmateriaal of een app waarbij u inlogt met een e-mailadres en wachtwoord. In die gevallen blijft de school eindverantwoordelijk voor wat de andere partij met de persoonsgegevens doet. De school maakt dan afspraken met de leverancier over het gebruik en de beveiliging van de persoonsgegevens.
Het lijkt misschien gemakkelijk om die collega die erom vroeg, even de lijst te mailen met dyslectische leerlingen. Helaas is e-mail geen veilige manier om persoonsgegevens te delen. Deel privacygevoelige informatie daarom nooit via de mail, ook niet intern.
De vuistregel is: liever delen dan mailen. Om uw collega’s toegang te geven tot bepaalde informatie stuurt u een link naar het bestand in bijvoorbeeld de beveiligde cloud- of netwerkomgeving van de school. Daarmee weet u dat alleen iemand met de link én de juiste toegangsrechten bij het bestand kan. Steeds vaker kunt u documenten via een beveiligde verbinding uploaden naar een andere organisatie. Een beveiligde verbinding kunt u herkennen aan ‘https’ in het webadres en het slotje ervoor.
U mag persoonsgegevens alleen mailen als u het bestand beveiligt met een wachtwoord. Spreek af dat u het wachtwoord op een andere manier doorgeeft, bijvoorbeeld telefonisch. Dat verkleint ook het risico op datalekken.
Als u persoonsgegevens wilt delen met anderen, denk dan eerst na of dit wel zomaar mag. Of vraag het bij twijfel even na. De AVG stelt dat u niet meer gegevens mag delen dan die strikt noodzakelijk zijn voor het beoogde doel. Deel bijvoorbeeld niet alle NAW-gegevens van een leerling als alleen de woonplaats gevraagd wordt. En misschien is het voldoende als u de gegevens anoniem maakt. Dataminimalisatie is een belangrijke basisregel bij het verzamelen, opslaan en delen van persoonsgegevens.
Lees hier de andere artikelen uit de serie ‘Veilig online op school’:
Meer weten over hoe ITS u hierin kan ondersteunen? Neem contact op.