Nieuwe Europese regels geven ouders en leerlingen vanaf 25 mei meer controle over hun persoonsgegevens. Het Onderwijsblad beantwoordt zeven vragen over de gevolgen voor leraren.
Waarom een nieuwe wet?
Die is helemaal niet zo nieuw. In 2016 al stemde het Europees Parlement in met de Algemene Verordening Gegevensbescherming (AVG), regelgeving die de persoonsgegevens van alle burgers in de Europese Unie op een uniforme en betere manier moet beschermen. Organisaties, zoals scholen, kregen twee jaar de tijd om aan deze wet te voldoen. Vanaf 25 mei vervangt de AVG alle nationale privacywetgeving, zoals ‘onze’ wet Bescherming persoonsgegevens. Scholen die zich dan niet aan de regels houden, riskeren een forse boete.
Om welke gegevens gaat het?
Op de eerste plaats de NAW-gegevens: namen, adressen, telefoonnummers en e-mailadressen. Nieuw is dat ook de e-mailadressen van je werk onder persoonsgegevens vallen. Al deze gegevens mogen dus niet zomaar zonder toestemming in een schoolgids of in een klassenlijst verspreid worden. Daarnaast gaat het om gegevens als BSN-nummer, geloofsovertuiging of medische gegevens. Voor dit soort gevoelige informatie gelden nog strengere regels.
Wat verandert er?
Een school is verplicht te onderbouwen waarom ze gegevens van leerlingen wil verzamelen en hoe lang ze die wil bewaren. Daarbij mag je niet meer gegevens vragen dan strikt noodzakelijk en na beëindiging van het gebruik heeft iedereen het recht ‘te worden vergeten’. Dat betekent dat een school de gegevens ook weer moet verwijderen. De school moet daarnaast zorgen voor een goede beveiliging van de leerlingadministratie- en leerlingvolgsystemen en moet laten vastleggen wie welke bestanden heeft gelezen of aangepast.
Het uitdrukkelijker vragen van toestemming is een ander punt, bijvoorbeeld bij het gebruik van foto’s. Voor leerlingen die jonger zijn dan 16 jaar is een handtekening nodig van de ouders. Het moet duidelijk zijn waarmee ze instemmen (specifiek doel), de toestemming moet elk jaar opnieuw gevraagd worden en net zo eenvoudig weer ingetrokken kunnen worden. Het is dus niet: eens gegeven, blijft gegeven.
Wat betekent dit voor je werk?
Elke school moet duidelijke afspraken maken wie wanneer en met welk doel toegang heeft tot leerlinggegevens. Je mag alleen toegang krijgen tot gegevens die voor jou relevant zijn, tenzij anders is afgesproken. Als leraar mag je dan alleen bij de gegevens van jouw klas en een intern begeleider mag alleen bij de dossiers van leerlingen die extra zorg of begeleiding nodig hebben. Een invaller krijgt slechts tijdelijk toegang tot relevante informatie: voor de duur van zijn contract.
Hoe zit het met social media en app-groepen?
De privacy van bijvoorbeeld WhatsApp is niet gegarandeerd: want gegevens zoals telefoonnummers zijn voor iedere deelnemer zichtbaar. Leraren moeten leerlingen of hun ouders toestemming vragen voor het delen van gegevens via WhatsApp. Daarnaast moeten er met aanbieders van apps en sociale media afspraken worden gemaakt over wat zij met gegevens doen. Dat lijkt niet eenvoudig, maar een app als Parro is in elk geval veiliger.
Wie controleert wat?
De school is verantwoordelijk voor het waarborgen van de privacy van leerlingen en moet risicoanalyses uitvoeren. Het zogeheten privacyconvenant helpt scholen om makkelijker afspraken te maken met leveranciers en uitgevers over hoe zij veilig met leerlinggegevens omgaan. De nieuwe ‘functionaris voor de gegevensbescherming’ (FG) zal hier een grote rol in gaan spelen. De Autoriteit Persoonsgegevens houdt toezicht op de naleving van deze privacywetgeving. De toezichthouder kan de FG om tekst en uitleg vragen en heeft de bevoegdheid om boetes op te leggen.
Wat kan ik zelf doen om privacy te waarborgen?
Wees op de eerste plaats voorzichtig met inloggegevens: gebruik een goed wachtwoord dat uit meerdere letters en tekens bestaat, houd dat geheim en vervang het om de zoveel tijd. Check of de verbinding die je gebruikt, veilig is. Een openbare wifi-verbinding in de bibliotheek of op het station is eenvoudig af te tappen. Denk voor het versturen van persoonsgegevens goed na over het doel en aan wie je ze verstuurt: mogen de ontvangers wel over deze informatie beschikken? Gebruik tot slot geen usb-sticks voor gevoelige informatie, want die raken nog al eens kwijt.
