„Pas als de usb zoek is, denkt school aan dataveiligheid”
Memobriefjes met een wachtwoord op de monitor: het komt voor op scholen die juist moeten waken over gevoelige gegevens van leerlingen. Het onderwijs heeft de beveiliging van digitale informatie niet altijd goed op orde, waarschuwde Kennisnet gisteren. En voor de strengere Europese regels die vanaf 2018 gelden, zijn ze veelal niet klaar.
Hij maakte mee dat een nieuwsbrief van school aan ouders werd verstuurd terwijl alle e-mailadressen zichtbaar zijn. Er hoeft maar weinig te gebeuren voor leerlingengegevens op straat liggen, zegt Job Vos, adviseur privacy bij Kennisnet, de publieke organisatie voor onderwijs en ict. „Marketingorganisaties weten wel raad met adressen van ouders met kinderen op de basisschool: bedankt voor de database!”
Kennisnet houdt deze maand een campagne om scholen bewust te maken van de strengere regels die gelden vanaf mei 2018. Dan wordt de Wet bescherming persoonsgegevens vervangen door één wet voor alle EU-landen.
Wat betekent de nieuwe Europese wetgeving voor scholen?
„Scholen moeten veel beter onderbouwen waarvoor ze leerlinggegevens gebruiken. Zo zijn ze verplicht om aan ouders die hun kind inschrijven uit te leggen dat hun adres alleen gebruikt wordt om post te versturen, en het telefoonnummer alleen om hen te bereiken als dat nodig is. Het moet duidelijk zijn dat deze data niet naar commerciële partijen of onderzoeksinstanties gaan.”
Dat mag nu toch ook niet?
„Dat klopt. De verandering zit ’m dus vooral in de verantwoording. Leerkrachten leggen steeds meer gegevens digitaal vast, ook gevoelige informatie. Ouders moeten zeker weten dat de school veilig omgaat met data over hun kind.”
Gaat er nu dan zo veel mis met de gegevens van leerlingen?
„Elk jaar krijgen wij na de zomervakantie telefoontjes van docenten over verdwenen laptops, waarop bijvoorbeeld staat dat Klaas is mishandeld, Truusje moeite heeft met wiskunde en Jan dyslexie heeft. Op het moment dat die laptop is gestolen of de usb-stick zoek is, beginnen veel scholen pas over de bescherming van leerlingengegevens na te denken. Dat is jammer, want als je vooraf over deze scenario’s hebt nagedacht, kun je problemen achteraf voorkomen.”
Wat moeten scholen doen om de privacybeveiliging op orde hebben?
„Leveranciers van computerprogramma’s van digitale leermiddelen krijgen soms een kopietje van de leerlingenadministratie, zodat zij inlogaccounts kunnen maken. Wie garandeert dat zo’n softwarebedrijf dat bestand na afloop weggooit? Ook kunnen leveranciers informatie over de vorderingen van leerlingen goed gebruiken om hun programma’s te verbeteren. Maar wie zegt dat zij die data niet doorverkopen? Volgens de nieuwe wet zijn scholen verantwoordelijk voor wat de leverancier met de gegevens doet. Zíj moeten hierover afspraken maken.
Beveiligde wifi is ook nog niet op alle scholen het geval. Zorg voor stevige wachtwoorden en verschillende accounts. De conciërge hoeft niet te weten dat een leerling thuis problemen heeft.”
De nieuwe regels zorgen dus voor een hoop rompslomp.
„We denken dat een kwart van de scholen goed bezig is, maar de helft moet nog veel doen om privacybeveiliging op orde te hebben. Veel bestuurders hikken daartegen aan. Een school die niet aan de eisen voldoet, kan vanaf 2018 rekenen op fikse boetes, oplopend tot 10 miljoen euro. Een dorpsschooltje in Friesland kan een even hoge rekening toegestuurd krijgen als Philips of Google.”
Hoe kan het onderwijs zich concreet voorbereiden?
„Het schoolbestuur moet zich uitspreken over het belang van privacy. Dat vraagt om actie: er moet een privacyreglement komen, waarin rechten en plichten zijn vastgelegd, evenals wie er inzage mag hebben in het leerlingensysteem. Elke school moet iemand aanwijzen die verantwoordelijk is voor gegevensbescherming. Kennisnet biedt een onlinecursus aan waarmee scholen de informatiebeveiliging snel en eenvoudig kunnen regelen.”