Bescherming tegen hacken en lekken

Scholen moeten na 25 mei 2018 voldoen aan de Algemene Verordening Gegevensbescherming. Dit betekent onder meer dat onderwijsorganisaties hun digitale leerlingvolgsystemen, toetsingsprogramma’s en inzet van sociale media en apps onder de loep nemen en een Functionaris Gegevensbescherming aanstellen.

De wet Algemene Verordening Gegevensbescherming (AVG) is in april 2016 aangenomen door het Europees Parlement en wordt van kracht in mei 2018. De wet vervangt de ‘oude’ wet Bescherming Persoonsgegevens uit 2001 en heeft als doel om privacybescherming beter te laten aansluiten op de technologische ontwikkeling en toenemende globalisering. Voor scholen heeft de nieuwe regelgeving op drie terreinen consequenties: omgaan met leerlinggegevens, het gebruik van digitale systemen en de beveiliging van apparatuur en programma’s. Daarnaast moeten scholen een Functionaris Gegevensbescherming aanstellen. Job Vos, jurist bij Kennisnet en expert op het gebied van privacy en informatiebeveiliging in het onderwijs, noemt privacybeleid een ‘breed en complex’ onderwerp. “Scholen gebruiken meerdere digitale middelen zoals een leerlingvolgsysteem en digitaal leermateriaal. De school is verantwoordelijk voor de gegevens die daarin omgaan. Het is belangrijk dat je privacy, gegevensbeveiliging en de beveiliging van je systemen in samenhang regelt. Ict is één proces. Ga niet ad hoc virussen bestrijden maar richt het in één keer goed in.”

Overstapservice
96 procent van de scholen in het primair en voortgezet onderwijs is aangesloten bij de Overstapservice Onderwijs OSO, het overstapdossier met administratieve gegevens, zorggegevens, begeleidingsgegevens en informatie over leerresultaten. De technische uitvoering van OSO ligt bij Kennisnet. Via de sectorraden hebben scholen een contract met OSO. Dit contract moet aangepast worden en Kennisnet zal de scholen benaderen met het nieuwe contract. OSO gaat over de gegevensoverdracht tussen scholen, maar scholen wisselen ook gegevens uit met bijvoorbeeld Jeugdzorg. Vos: “Dat is toegestaan, mits het veilig gebeurt. Jeugdzorg werkt tegenwoordig vaak met wijkteams en daar zit ook de politie bij. Die mag dan niet met leerlinggegevens aan de haal gaan. Dat moet je goed afspreken. Het Nederlands Jeugdinstituut heeft hiervoor een handreiking ontwikkeld.” Omdat de overheid doorlopende leerlijnen belangrijk vindt, mogen scholen het Onderwijskundig Rapport blijven gebruiken. “Bij een warme overdracht is dat rapport het uitgangspunt”, zegt Vos. “De AVG maakt het transparanter. Scholen bespreken met ouders wat er wordt meegenomen. Ouders kunnen vragen gegevens te verwijderen, maar alleen als het gaat om gegevens die de school niet hoort te hebben.”

Pseudoniem
Leveranciers van digitale leermiddelen hebben leerlinggegevens nodig als naam en adres. Het gebruik van het studiemateriaal levert ook gegevens op als voortgang- en examenresultaten. Dat kan interessant zijn voor de leverancier, en daarom heeft de Tweede Kamer besloten dat leveranciers niet langer het persoonsgebonden nummer mogen gebruiken, maar een door Kennisnet gepseudonimiseerd nummer (keten iD). Dit nummer is niet herleidbaar tot een individuele leerling en wordt uitsluitend door geautomatiseerde (uitwisselings)processen gebruikt. Omdat het keten iD is gebaseerd op het persoonsgebonden nummer is wetgeving noodzakelijk. Vos: “Het blijft belangrijk beide nummers veilig op te slaan.” Voor scholen geldt dat de invoering van het keten iD zo veel mogelijk op de achtergrond plaatsvindt. Wel dient het schoolbestuur een bewerkersovereenkomst te sluiten met de voorziening die het keten iD aanmaakt.

‘Alle data zijn versleuteld’
“Een paar jaar geleden werden we geconfronteerd met een Ddos-aanval”, vertelt Antoon Fens, ict- coördinator van de Scholen Combinatie Zoetermeer SCZ (vo). “Dan besef je goed hoe kwetsbaar je systemen zijn. Je netwerk ligt plat en leerlinggegevens worden onbereikbaar.” Fens was toen al bezig in kaart te brengen welke digitale systemen op de drie scholen van de SZC gebruikt werden, welke gegevens waar waren opgeslagen en hoe ze werden beveiligd. “Die documentatie is een flinke klus, zeker in het begin. De SZC maakt deel uit van het netwerk Digidac. We hebben ons laten informeren door een expert van Kennisnet en zijn thema’s gaan bespreken als het privacyprotocol, de meldplicht datalekken en het protocol film-foto-camera. Samenwerking is belangrijk, dat raad ik echt aan.” Inmiddels zijn er op de SCZ flinke stappen gezet in de richting van beveiliging van persoonsgegevens, apparatuur en systemen. Alle data zijn versleuteld en naast gebruikersnaam en wachtwoord moeten medewerkers ook een ‘token’ invoeren om bij hun digitale bestanden te kunnen. Het Digidac-netwerk heeft een animatiefilmpje gemaakt over omgaan met persoonsgegevens, dat aan leraren wordt vertoond. Fens: “Op iedere school gebeuren dingetjes, zoals een wachtwoord op het digibord zichtbaar intikken of een USB-stick verliezen. Het bewust maken van collega’s is een belangrijk onderdeel van je ict-beleid.”

Facebook en Whatsapp
Scholen, ouders, leerlingen zelf: vrijwel iedereen ‘zit’ op Facebook. Maar het gebruik van Facebook door de school is wat Vos betreft een absolute no-go. “Als een kind zelf iets op Facebook zet, is dat niet de verantwoordelijkheid van de school. Maar het is onverstandig om als school op Facebook te zitten met een groep of klas. Facebook wordt eigenaar van de foto’s en kan dus foto’s van leerlingen gebruiken om bij een reclame voor snoep te zetten.” Het gebruik van Whatsapp ligt anders. De berichten die daarop worden geplaatst, worden geen eigendom van Whatsapp. Vos: “Scholen die Whatsapp gebruiken, moeten wel regels afspreken. Foto’s of gevoelige informatie, bijvoorbeeld over gezondheid, moet je niet delen.”

Beveiliging
De afhankelijkheid van ict brengt risico’s met zich mee, zoals hacken en datalekken. “Zorg dat je systemen veilig blijven”, zegt Vos. “Met beleid. De school of het bestuur moet een visie ontwikkelen en op alle computers dezelfde aanpak hanteren. Begin met in kaart brengen welke systemen de school gebruikt en welke gegevens die systemen gebruiken. Welke risico’s zitten daaraan vast? Als je alles in ParnasSys of Magister doet, is het belangrijk dat je die systemen als eerste beveiligt tegen hacken. Voor gevoelige systemen kun je bijvoorbeeld een andere opbouw van wachtwoorden afspreken dan voor minder gevoelige systemen.” Wanneer data op straat komen te liggen, kan een school een boete krijgen van 20 miljoen euro. “Dat betekent dat je dit serieus moet nemen”, aldus Vos. “Hacken en lekken kan de beste overkomen, maar je moet aantonen dat je je best hebt gedaan om goed te beveiligen. Als de laptop van de directeur kwijtraakt op 24 december, mag het niet tot 5 januari duren voor de ict-coördinator het account blokkeert.”

Functionaris Gegevensbescherming
Het wordt verplicht om een Functionaris Gegevensbescherming (FG) aan te stellen. Vos: “De FG doet de formele controle. Dat kun je het beste regelen op bestuursniveau. Het kost veel tijd om alle privacybescherming door te voeren. Je moet er contracten voor afsluiten. Een bestuur kan één contract afsluiten voor alle aangesloten scholen. Scholen blijven wel zelf verantwoordelijk. Dus op schoolniveau kun je dan een privacy officer of security officer aanstellen, zoals we dat noemen. Die stemt af met de FG, maar zit dichter op de uitvoering.” Scholen zijn geneigd zelf het wiel uit te vinden, is de ervaring van Vos. Hij adviseert om gebruik te maken van de Aanpak IPB, een online cursus voor schoolbestuurders, ict-coördinatoren en leraren. “Scholen moeten het echt zelf kunnen. Techniek en veiligheid zijn geen gebruikelijke onderwerpen in de lerarenkamer en wij bieden ondersteuning en hulp.”

‘AVG-bewust’
Leraren hoeven niet alles te weten van de hoed en de rand van de privacybescherming, maar ze moeten wel ‘AVG-bewust’ worden gemaakt, zegt AVS-adviseur Jan Stuijver. “Denk aan rondslingerende geprinte mailtjes waarop persoonsgegevens staan. Of een mailtje dat per ongeluk naar de verkeerde persoon is verstuurd. Dat is een datalek en dat moet binnen 72 uur gemeld worden.” Iedere school moet daarom een meldpunt hebben waar het datalek gemeld wordt. Deze privacy officer of security officer – vaak de ict-coördinator – meldt het lek aan de eindverantwoordelijke voor het privacybeleid en vervolgens aan de Autoriteit Bescherming Persoonsgegevens. Ook portretrecht is iets waar het team mee te maken krijgt. “Ouders moeten iedere keer toestemming geven, ook voor het publiceren van foto’s van het schoolreisje op het afgeschermde deel van de website.” Maar Stuijver raadt aan het niet ingewikkelder te maken dan nodig is.“Veel wordt bovenschools georganiseerd. Eenpitters kunnen het beste samenwerken met elkaar of samenwerking zoeken met een groter schoolbestuur. En niet alles hoeft op 25 mei klaar te zijn. Het gaat erom dat een school toewerkt naar goede privacy- en systeembescherming en dat kan laten zien.”

gepubliceerd in Kader Primair 4, december 2017

Meer informatie