De privacy van scholieren en personeelsleden verdient een hoge plek op de agenda van scholen, stelt mr. Wim Voorwinden.
Een gewone, vrolijke schooljongen. Wie Andreas op het schoolplein in Vlaardingen ziet spelen, ziet niets bijzonders. En dat is maar goed ook. Zijn rugzakje is stevig gevuld, maar dat gaat niemand iets aan. Dat Andreas een taalachterstand heeft, dat Jeugdzorg een dik dossier over hem heeft en dat hij geen vooruitgang boekt bij socialevaardigheidstrainingen: het is allemaal veilig opgeslagen. Niemand zou willen dat al die gevoelige informatie op straat komt. Het is een geheim tussen Andreas en zijn juf.
Maar hoe veilig is het daar? Hoelang blijft dit een geheim tussen Andreas en zijn juf? Hoe groot is de kans dat dit vroeg of laat ergens opduikt? Kortom, hoe goed is de privacy beschermd van Andreas en al zijn klasgenoten?
De VGS maakt zich op dit punt best zorgen. In de afgelopen maanden heb ik regelmatig aan schooldirecteuren gevraagd of het privacybeleid op hun school op orde is. En dat blijkt niet altijd het geval te zijn. Vaak is het een onderwerp dat nog op het lijstje ”af te handelen punten” staat.
Op zich is het best begrijpelijk dat scholen het formuleren van beleid over privacygegevens soms voor zich uit schuiven. Juist bij dit onderwerp kan de vraag rijzen: Waar begin je en waar eindig je? Er zijn immers nogal wat privacyregels die de aandacht van de school vragen. Zo geldt er sinds 1 januari 2016 voor scholen een meldplicht datalekken. En daarbij blijft het niet. Vanaf mei 2018 zijn er Europese regels van kracht. Die verplichtingen komen allemaal op het bordje van de school.
De bescherming van leerlingen is echter voluit de verantwoordelijkheid van meesters en juffen, van directies en besturen. Hekjes, rubbermatten, veiligheidsprotocollen, bedrijfshulpverleningscertificaten en internetfilters: allemaal getuigen ze van de grote zorg van scholen voor hun leerlingen. En terecht. Maar hoe zit het met de digitale verbanddoos? Als er een ongeluk gebeurt bij het verwerken van privacygegevens kunnen deze zomaar jarenlang rondzwerven op internet.
Natuurlijk, privacy is ingewikkeld. De bescherming van persoonsgegevens is niet alleen een juridisch mijnenveld, maar plaatst ook nog eens voor grote technische uitdagingen. Het vraagt om zorgvuldige administratieve procedures en doordachte protocollen.
Bij die doordenking is iedereen binnen de school betrokken. Het privacybeleid mag geen papieren tijger worden. Juist in de praktijk van elke dag is het van belang dat iedereen binnen de school weet wat er is afgesproken over het omgegaan met privacygevoelige gegevens. Dat kan gaan over het plaatsen van foto’s van leerlingen op de website van de school of in de schoolgids. Maar ook over de vraag op welke wijze externe instanties omgaan met privacygevoelige gegevens. Welke afspraken heeft de school met leveranciers en aanbieders van digitale onderwijsmiddelen gemaakt?
Gegevens van leerlingen kunnen een goudmijntje zijn voor marktpartijen, waarvoor andere commerciële partijen soms grif willen betalen. Of, om dichter bij huis te blijven, hoe gaat de VGS om met de personeelsgegevens die nodig zijn voor de salarisadministratie? Het is voor scholen van belang om met dergelijke instanties bewerkersovereenkomsten te sluiten, zodat wederzijds helder is wie welke verantwoordelijkheid heeft bij het verwerken van gegevens.
Scholen hebben een grote verantwoordelijkheid op dit punt. In diverse rechterlijke uitspraken is bevestigd dat de school als eindverantwoordelijke gezien moet worden bij het verwerken van privacygevoelige gegevens. En wanneer er sprake is van een datalek, zijn scholen in veel gevallen ook verplicht om dat te melden bij zowel de Autoriteit Persoonsgegevens als bij de personen van wie gegevens zijn gelekt.
Zo’n lek kan ontstaan door een hack, een digitale inbraak, maar ook door het verlies van bijvoorbeeld een usb-stick. Op het niet melden van datalekken staan forse boetes. Hoewel de Autoriteit Persoonsgegevens naar verwachting daar in redelijkheid mee zal omgaan, is het dus wel zaak om in kaart te brengen wat technisch en juridisch nodig is om de digitale privacy van leerlingen en personeelsleden te beschermen.
De VGS roept scholen ertoe op hun digitale verbanddoos snel op orde te brengen. De gegevens van leerlingen en personeelsleden zijn immers geen handelswaar en mogen dat ook niet worden. De privacy van scholieren en personeelsleden verdient een hoge plek op de agenda van de bestuursvergadering.
De auteur is senior beleidsmedewerker bij de VGS.