Blog - Social Schools

AVG, daar moet je wat mee? Daar helpen we graag bij. We hebben 10 tips opgesteld en aangegeven hoe wij als Social Schools ermee omgaan.

Voor ons is de privacy van onze gebruikers essentieel. Het belang hiervan neemt alleen maar toe als je ziet wat bijvoorbeeld Facebook met data van haar gebruikers doet. Met Social Schools leveren we een afgesloten en veilig systeem waarbij je echt weet wat er met je data gebeurt. Daar gebeurt namelijk niets mee. Het staat veilig achter slot en grendel. Jij als school bent eigenaar. 

Zo willen we Samenwerken aan beter onderwijs! Bij deze de 10 tips op een rijtje. 

  1. Zorg voor een goed en dichtgetimmerd beleid
  2. Zorg voor duidelijke richtlijnen rondom het delen van beeldmateriaal
  3. Check of je leverancier voldoende technische maatregelen heeft getroffen
  4. Heb jij echt alle data nodig om onderwijs te kunnen geven? En je leverancier?
  5. Is het voldoende als ouders toestemming hebben gegeven?
  6. Moet binnen alle processen van mijn bestuur of school rekening gehouden met de privacywet?
  7. Weet je wanneer je een datalek moet melden?
  8. Werk samen met leveranciers die je actief ondersteunen bij je AVG-implementatie
  9. Werk aan bewustwording bij medewerkers
  10. Verspreid geen persoonsgegevens van leerlingen en collega’s meer via de mail, Whatsapp of USB-stick.

Gelijk onze verwerkersovereenkomst inzien? Ons advies... lees eerst het blog. Dit geeft je een goed  begrip van wat de verwerkersovereenkomst inhoudt. Toch nu al nieuwsgierig? Vraag onze verwerkersovereenkomst aan

 

1. Zorg voor een goed en dichtgetimmerd beleid

Onderwijsinstellingen verwerken per definitie gevoelige gegevens. Om die reden dienen besturen een goed en dichtgetimmerd beleid te hebben om te voldoen aan de AVG. Zet daarom serieuze stappen om te komen tot juridisch kloppende documentatie. Het stappenplan dat de Autoriteit Persoonsgegevens hanteert is als volgt (PDF):

  1. Bewustwording
  2. Rechten van betrokkenen
  3. Overzicht verwerkingen
  4. Data protection impact assessment (DPIA)
  5. Privacy by design & privacy by default
  6. Functionaris voor de gegevensbescherming
  7. Meldplicht datalekken
  8. Verwerkersovereenkomsten
  9. Leidende toezichthouder
  10. Toestemming

Als je hier nog mee moet starten ben je rijkelijk laat. De AVG wordt vanaf 25 mei 2018 gehandhaafd, momenteel zitten we in een overgangsperiode waarin organisaties zaken op orde kunnen brengen.

Wat zijn de gevolgen als je niet klaar bent op 25 mei? In ieder geval moet je op verzoek aan de Autoriteit Persoonsgegevens kunnen aantonen dat je alle mogelijke inspanningen hebt gedaan om op tijd te voldoen aan deze wet. Is dit niet zo, dan kan dit aanleiding zijn voor verscherpt toezicht.

2. Zorg voor duidelijke richtlijnen rondom het delen van beeldmateriaal

Waarschijnlijk is er geen andere verwerking van persoonsgegevens binnen een school die zo in het oog springt als het gebruik van beeldmateriaal van leerlingen. Zijn er binnen je bestuur afspraken over gemaakt? En ligt dit vast in beleid?

Ouders dienen toestemming te geven voor het gebruik van beeldmateriaal van hun kind. De autoriteit persoonsgegevens erkent dat het jaarlijks vragen om toestemming kan zorgen voor een overmatige administratieve last. Daarnaast is de verordening niet duidelijk over hoe vaak deze toestemming gegeven moet worden.

Veel scholen verwerken de vraag om toestemming in het inschrijfformulier. De autoriteit persoonsgegevens geeft aan dat er jaarlijks – in bijvoorbeeld de schoolgids – verwezen dient te worden. En bovenal dient – bij welke vraag om toestemming ook – duidelijk de grondslag genoemd te worden. Wil je foto’s gebruiken voor ‘commerciële’ doeleinden zoals posters voor de open dag? Gaat het alleen om het delen van momenten in een oudercommunicatie-app? Maak transparant waar je je beeldmateriaal voor gaat gebruiken en hou je eraan. Wijzigt dit in de loop van de tijd? Vraag dan opnieuw toestemming.

Bron: https://www.kennisnet.nl/artikel/nieuwe-beleidsregels-voor-gebruik-beeldmateriaal-leerlingen/

Hoe spelen wij als Social Schools hierop in?  

Binnen Social Schools kunnen afbeeldingen per groep gedeeld worden binnen een afgesloten omgeving. Daarnaast kan de actieve keuze worden gemaakt om foto’s te delen via overige kanalen, zoals de website en sociale media. Foto’s die gemaakt worden bínnen de app blijven niet in de camera-roll van het device van de leerkracht staan, maar alleen binnen de (veilige) servers van Social Schools.

Training Social Academy - Interactieve beleidssessie

Social Schools ondersteunt scholen verder bij dit specifieke stuk door interactieve beleidssessies aan te bieden. Hierin wordt op basis van de producten van Social Schools en overige media een beleid gemaakt. Kijk voor meer informatie op: https://www.socialschools.nl/academy/

3. Check of je leverancier voldoende technische maatregelen heeft getroffen

Een verwerker moet kunnen aantonen dat ze voldoen aan vereisten voor technische en operationele gegevensbescherming. Sterker nog, als blijkt dat ze hier niet in redelijke mate bewijs voor kunnen tonen ben je als verwerkingsverantwoordelijke verplicht om niet in zee te gaan. Zeker bij kleine leveranciers kan dit een uitdaging zijn.

Bij elke leverancier ben je verplicht een Data Protection Impact Assessment uit te voeren. Hierin ga je vaststellen welke gegevens verwerkt worden, of deze van gevoelige of bijzondere aard zijn, maar ook welke maatregelen een leverancier treft om de gegevens te beschermen. Op verzoek kun je ook auditrapportages opvragen van bijvoorbeeld beveiligingsnormen. Leveranciers zijn verplicht hier inzicht in te geven.

Hoe spelen wij als Social Schools hierop in? 

De datacenters waarin Social Schools informatie bewaart voldoet aan de ISO27001 standaard voor gegevensbeveiliging. Daarnaast verloopt het verkeer via beveiligde verbindingen (SSL) en wordt voor toegang tot de database door medewerkers two-factor authenticatie gebruikt. Met Guardian360 wordt dagelijks een vulnerabilty check gedaan op de omgeving als preventieve maatregel en worden maandelijks penetratie testen uitgevoerd met Threadstone. Social Schools heeft intern een strikte verdeling in rollen en bevoegdheden. Dit bepaalt welke gegevens voor welke medewerker toegankelijk zijn. Er zijn dus meerdere technische en operationele maatregelen getroffen om ongeoorloofde toegang tot de database te voorkomen.

4. Heb jij echt alle data nodig om onderwijs te kunnen geven? En je leverancier?

De AVG draait onder andere om dataminimalisatie. Dit is een lang woord dat niets anders betekent dan dat je niet méér gegevens verwerkt dan strikt noodzakelijk is voor de uitvoering van je dienst. Onderwijsinstellingen dienen daarom na te denken of het echt nodig is om bijvoorbeeld te vragen naar het vakbondslidmaatschap of de geaardheid van hun medewerkers. Of het opleidingsniveau en sociale klasse van ouders.

Dit betekent dus niet dat je dit soort gegevens niet mag vragen of verwerken. Het betekent alleen dat je er een goede reden voor moet hebben. Dat brengt ons op een andere belangrijke term in de AVG: Grondslag, oftewel de aanleiding waarom je bepaalde gegevens vraagt of verwerkt. Een aantal grondslagen zijn bijvoorbeeld:

  1. Toestemming – elke vrije, specifieke en ondubbelzinnige instemming die iemand heeft gegeven op basis van de juiste informatie
  2. Uitvoering overeenkomst -
  3. Wettelijke plicht – Omdat de wet hierom vraagt
  4. Vitale belangen betrokkenen – Denk hierbij bijvoorbeeld aan levensbedreigende situaties
  5. Uitvoering overheidstaak
  6. Gerechtvaardigd belang – Complexe afwegingen tussen de belangen van de verantwoordelijke, verwerker en de betrokkene.

Alle grondslagen vragen om een bepaalde noodzaak. Hiervoor maak je een afweging in twee stappen:

  1. Zijn deze gegevens  écht noodzakelijk? Dus kan ik echt niet zonder?
  2. Kan ik hetzelfde doel bereiken met minder ingrijpende middelen?

De AVG geeft geen opsomming welke belangen zwaarder wegen dan andere. Het is dus zaak om hier zelf een goed beeld bij te hebben. Als onderwijsbestuur of school ben je eindverantwoordelijk.

Voor leveranciers of verwerkers gelden dezelfde afwegingen.

Hoe spelen wij als Social Schools hierop in?  

Voor de uitvoering van de diensten van Social Schools is minimale data nodig, met als grondslag het kunnen uitvoeren van de overeenkomst tussen school en Social Schools. Inhoudelijke informatie in bijv. portfolio’s wordt op servers bewaard, maar is alleen toegankelijk voor medewerkers als scholen en ouders daar expliciet toestemming voor hebben gegeven. Het valt daarnaast onder uitgebreide beveiligingsmaatregelen. Door het communicatieplatform te gebruiken weet je als bestuur dat er een goede afweging tussen belangen is gemaakt.

5. Is het voldoende als ouders toestemming hebben gegeven?

Toestemming van betrokkenen is een grondslag om persoonsgegevens te mogen verwerken. Er zijn echter wel een aantal dingen te zeggen over de manier waarop toestemming tot stand komt.

Als we kijken naar een definitie van toestemming onder de AVG: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.

Vrije wil geeft aan dat een keuze om geen toestemming te geven geen negatieve gevolgen mag hebben voor de betrokkenen. Anders zou er sprake zijn van dwang, wat natuurlijk in tegenspraak is met het principe van vrije wil.

Hoe spelen wij als Social Schools hierop in?  

Ondubbelzinnig wil zeggen dat de vraag om gegevens te mogen verwerken niet voor meer interpretaties vatbaar mag zijn. Voorbeeld: Social Schools heeft e-mailadressen en namen van ouders nodig om ouders uit te nodigen en ze een beveiligde manier te bieden om met school te communiceren via het communicatieplatform. Als ouders een account aanmaken moeten ze actief aangeven dat hun gegevens voor dat doel gebruikt worden. Social Schools mag deze mailadressen dan niet gebruiken om een nieuwsbrief te versturen.

6. Moet binnen alle processen van mijn bestuur of school rekening gehouden worden met de privacywet?

Ten opzichte van eerdere wetgeving heeft de AVG een aantal belangrijke termen erbij gekregen: privacy by default en privacy by design.

Privacy by default houdt in dat besturen de gewoonte ontwikkelen om zo weinig mogelijk gegevens te verzamelen die vervolgens wel de juiste grondslag hebben.
Privacy by design betekent dat je bij de start van de ontwikkeling van een dienst of product al rekening houdt met de eisen van de privacy wet. Dit gaat zowel om technische aspecten, als organisatorische aspecten.

Hiervoor kan het zijn dat processen opnieuw beschreven of aangepast moeten worden. Daarom die je in de voorbereiding op de AVG een zogenaamd Privacy Impact Assessment voor je organisatie. Je krijgt inzicht in de processen waarin gegevens worden verwerkt en hoe je deze kunt aanpassen. Ditzelfde geldt voor leveranciers. Zorg ervoor dat privacy in het DNA van je verwerkers zit.

Hoe spelen wij als Social Schools hierop in?  

Social Schools zorgt dat bij de productverantwoordelijken wordt nagedacht over verbeterende maatregelen op de roadmap. Er wordt steeds tegen het licht gehouden of technische en organisatorische beveiligingsmaatregelen voldoende zijn. Voorbeeld hiervan is de vraag of toegangsrechten tot gevoelige informatie door medewerkers beperkt moet worden, met name rondom het portfolio.

7. Weet je wanneer je een datalek moet melden?

Binnen berichtgeving over de AVG is veel te doen over het melden van zogenaamde datalekken. Overigens zijn deze meldingen niet nieuw, ook onder de Wet Bescherming Persoonsgegevens was het al verplicht om een datalek te melden bij de Autoriteit Persoonsgegevens.

Wat is een datalek eigenlijk? De AVG spreekt over ‘een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens’. Een datalek kan dus ontstaan door een technisch mankement zoals een onbeveiligd netwerk. Maar datalekken worden vaak veroorzaakt door menselijk handelen. Denk aan de beroemde briefjes met wachtwoorden aan de monitor.

Maar moet je elk lek dan melden? En geldt dat alleen voor de AP, of moet je ook betrokkenen inlichten? Als je een situatie hebt waarin er een mogelijk beveiligingsincident is, kun je het volgende vragenschema volgen:

  • Zijn er persoonsgegevens verloren gegaan of is onrechtmatige verwerking niet uit te sluiten?

    • Zo nee, dan is er geen datalek en hoef je geen melding te doen

    • Zo ja, er is mogelijk een datalek, ga naar de volgende vraag

  • Gaat het om gegevens van gevoelige aard, of is er sprake van (een aanzienlijke kans) op ernstige nadelige gevolgen voor bescherming?

    • Zo nee, melding is niet noodzakelijk

    • Zo ja, melding bij de Autoriteit Persoonsgegevens is noodzakelijk, ga naar de volgende vraag:

  • Geen adequate versleuteling of nadelige gevolgen voor de betrokkenen?

    • o nee, melding bij betrokkenen is niet noodzakelijk

    • Zo ja, melding bij betrokkenen is noodzakelijk

Hoe spelen wij als Social Schools hierop in?  

Social Schools heeft in haar verwerkersovereenkomsten duidelijke procedures beschreven wat er gebeurt als er een gegevenslek is. Alleen, door de systemen van Social Schools te gebruiken waarvoor ze bedoeld zijn zorg je ervoor dat er geen datalekken ontstaan.

8. Werk samen met leveranciers die je actief ondersteunen bij je AVG-implementatie

Goede leveranciers houden je zelf op de hoogte van de inspanningen die ze doen om jou te laten voldoen aan de AVG. Natuurlijk, op dit moment is het voor elke organisatie een uitdaging om alles vóór 25 mei op orde te krijgen. Juist op dit soort momenten is de kracht van samenwerking belangrijk.

Geven jouw leveranciers je openheid over wat ze doen met de data waarvoor jij verantwoordelijk bent? Komen ze proactief met een verwerkersovereenkomst? Beantwoorden ze je vragen op een duidelijke manier? Het zijn enkele vragen die je als bestuur kunt gebruiken om te toetsen waar je verwerkers staan ten opzichte van de relatie.

Daarnaast is het erg handig als leveranciers kennis hebben van de processen binnen het onderwijs. Hierdoor wordt het voor beide partijen makkelijker om de principes van Privacy-by-design en Privacy-by-default toe te passen. Met name in software-trajecten is dit dus een steeds belangrijker onderdeel geworden. En ook van een Functionaris Gegevensbescherming wordt bijvoorbeeld gevraagd dat hij kennis heeft van de processen, zodat hij belangen, grondslagen en gevoeligheid van gegevens beter kan beoordelen. Waarom zou je dit principe ook niet toepassen op leveranciers?

Hoe spelen wij als Social Schools hierop in?  

Social Schools maakt producten speciaal voor het onderwijs en exclusief voor het onderwijs. Hierdoor is het nadenken over wat scholen nodig hebben een tweede natuur voor elke medewerker. Door beveiligingsmaatregelen constant op het netvlies – en de roadmap – te zetten en mee te denken over oplossingen die werken met de AVG eenvoudiger maken, is Social Schools dus een partner, in plaats van alleen een verwerker.
 

9. Werk aan bewustwording bij medewerkers

De meeste datalekken ontstaan door menselijk handelen. Briefjes met wachtwoorden aan monitoren, te gemakkelijke wachtwoorden voor LVS- of LAS-software. Maar ook het absentieregister op de tafel in de teamkamer, waar ouders in en uit lopen. Het zijn allemaal potentiële manieren waarop gegevens bij personen komen die hier geen inzage in hoeven te hebben.

Iedere leerkracht heeft ooit gekozen voor dit vak omdat ze het beste uit leerlingen willen halen. Een belangrijk aspect in deze drive is dat leerkrachten dan ook voorzichtig omspringen met de gegevens van leerlingen. Je wilt niet dat een leerling die in bijvoorbeeld groep 4 een rekenachterstand heeft na zijn studie geen baan bij een bank kan krijgen omdat je als school ooit onvoorzichtig met zijn gegevens bent omgegaan.

Besturen zijn druk bezig op papier te voldoen aan de AVG en dat zijn goede inspanningen. Nóg belangrijker is de implementatie tussen de oren van medewerkers, zodat bewust omgaan met gevoelige gegevens een tweede natuur wordt.

Hoe spelen wij als Social Schools hierop in?  

Training Social Academy - Online bewustwordingstrainingen voor leerkrachten

Online bewustwordingstrainingen voor leerkrachten van 60 minuten, verrijkt met filmpjes en quiz. Aan de hand van 10 cases worden het nut en de meest voorkomende vragen/termen/uitdagingen besproken. Deze voorbeelden maken het praktisch.

10. Verspreid geen persoonsgegevens van leerlingen en collega’s meer via de mail, Whatsapp of USB-stick.

Het is erg makkelijk, even de rapporten delen met een duo-collega via een USB-stick. Of het handelingsplan van een leerling per mail versturen aan de ouders of externe begeleiders. Maar hoe weet je zeker dat dit een veilige manier van overdracht is? Dat kun je niet altijd met volledige zekerheid zeggen. Nieuwsberichten over verloren USB-sticks of laptops met persoonsgegevens zeggen wat dit betreft erg veel. Als bestuur wil je daarom zorgen voor systemen waarmee je deze zekerheid wél kunt krijgen.

Voor communicatie met ouders is het daarom noodzakelijk dat er gebruik gemaakt wordt van middelen voor 1-op-1 communicatie die veilig. Wel moet de software zo gemakkelijk zijn dat andere alternatieven (dropbox, e-mail etc.) niet eens meer nodig zijn. Op die manier biedt je de beste ervaring voor de betrokkenen, maar zorg je er ook voor dat je voldoet aan de AVG. Ditzelfde geldt voor het inzichtelijk maken van leerresultaten via bijvoorbeeld een portfolio.

Voor het delen van kennis tussen leerkrachten geldt hetzelfde. Hoe zorg je ervoor dat je de USB-stick als gegevensdrager uitbant? Door via software zoals een intuïtief intranet een beter alternatief te bieden.

Hoe spelen wij als Social Schools hierop in?  

Social Schools biedt een suite aan producten die besturen helpen om te voldoen aan de AVG én communiceren makkelijk te maken. Het communicatieportaal 3.0 waarborgt veilige communicatie over leerlingen tussen degenen die voor hen verantwoordelijk zijn. Websites die voldoen zorgen voor eenduidige en veilige externe communicatie. Door ook voor interne communicatie gebruik te maken van het intranet van Social Schools wordt het mogelijk om tussen collega’s informatie en kennis te delen op een manier die voldoet aan de eisen die de AVG stelt. Dit voorkomt dat medewerkers persoongegevens gaan verspreiden via kanalen waarvan niet met zekerheid gezegd kan worden dat ze veilig zijn. Als bestuur sluit je één verwerkersovereenkomst voor oudercommunicatie (portaal), inhoud en opbrengsten (portfolio) externe communicatie (website) en interne communicatie (intranet). Met één partij zorg je op vier vlakken voor compliancy. Dat is gemak én een vertrouwd gevoel voor ouders en medewerkers.