RSS feed
Vraag & antwoord : Informatiebeveiliging en privacy
 

Ja, wanneer de school informatie deelt over een leerling met meer mensen dan alleen de leerling zelf (en de ouders daarvan), dan is er geen grondslag. Dit geldt dus ook voor lijsten met persoonsgegevens die normaliter in de school werden opgehangen, zoa...
Ja, wanneer een school foto’s gebruikt heeft deze altijd toestemming nodig voor het gebruik van foto’s. Volgens de privacywetgeving maakt het gebruik van foto’s namelijk geen onderdeel uit van het onderwijs. Er ontbreekt dan een juridische grondslag en d...
Als een leverancier meerdere producten aanbiedt, dan is één verwerkersovereenkomst voldoende, mits je voor ieder product een aparte privacybijsluiter ontvangt. ------------------------- _Dit antwoord is een korte samenvatting. Hoewel aan de totstandkomin...
Medewerkers moeten voor hun werk simpel en snel gegevens met elkaar uitwisselen. Als je dat probeert te blokkeren vinden ze zelf wel weer een nieuwe manier. Ze kunnen van tientallen sites en middelen gebruik maken om gegevens op te slaan en uit te wissele...
In de aanpak IBP staat dit beschreven, in de uitgebreide handreiking FG: https://maken.wikiwijs.nl/81891/Aanpak_IBP_voor_het_PO_en_VO#!page-3692858 ------------------------- [https://maken.wikiwijs.nl/81891/Aanpak_IBP_voor_het_PO_en_VO#!page-3692858]_Di...
Het schoolbestuur (bevoegd gezag) doorloopt de volgende stappen om een verwerkersovereenkomst af te sluiten: * Kijk of je leverancier is aangesloten bij het privacyconvenant. Is deze nog niet aangesloten? Nodig je leverancier uit om dat te doen. * Vr...
Op de website van de Autoriteit Persoonsgegevens kan je meer informatie vinden over hoe je dient om te gaan met een datalek: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken In de aanpak IBP vind je meer informatie o...
Bij het gebruik van een adressenlijst, kan de volgende voorbeeldtekst voor het verkrijgen van toestemming gebruikt worden: > Op onze school wordt er, per klas, een klassenlijst gemaakt met de > adressen van leerlingen. Deze lijst met contactgegevens is e...
Het is mogelijk om meerdere rollen aan één persoon toe te wijzen. De rollen/functies zijn een suggestie voor verantwoordelijkheden die je kan verdelen over personen met bestaande functies. Door de vergelijkbare werkzaamheden zien we vaak de volgende over...
Het PGN (BSN of onderwijsnummer) mag alleen gebruikt worden als er een specifieke wettelijke grond voor he gebruik is. Deze wettelijke gronden zijn onder andere te vinden in art 178a Wpo en resp. art 103b Wvo. Enkele voorbeelden wanneer het bevoegd geza...
Ja, de wetgeving van de AVG is in de Aanpak IBP verwerkt. Wij zijn continu bezig om de Aanpak IBP bij te werken. Dit doen we aan de hand van de laatste berichtgevingen vanuit Europa, de visie van de Autoriteit Persoonsgegevens. Maar ook aan de hand van ...
Dit kunnen wij als Kennisnet niet beoordelen. Dit moet een school zelf doen. In de aanpak IBP vind je meer informatie over hoe scholen om moeten gaan met datalekken (waaronder een protocol beveiligingsincidenten en datalekken): https://maken.wikiwijs.nl/...
Nog niet, deze wordt in voor de zomer 2018 verwacht en in de aanpak IBP gezet. Houdt deze pagina in de gaten voor (geplande) updates: https://maken.wikiwijs.nl/81891/Aanpak_IBP_voor_het_PO_en_VO#!page-3515806 ------------------------- _Dit antwoord is ee...
Het afsluiten van een cyberverzekering is niet verplicht. Met een cyberverzekering ben je verzekerd voor schade en herstelwerkzaamheden voortkomend uit cybercrime. Als Kennisnet hebben wij geen uitgesproken mening over het wel of niet afsluiten van een cy...
Ja. In het privacyconvenant en de bijbehorende model verwerkersovereenkomst worden alle afspraken gemaakt die een schoolbestuurder, als verantwoordelijke voor de persoonsgegevens, moet maken. Het convenant is voor meer dan de driekwart een invulling van...
Nee, dat is niet voldoende. De privacywetgeving eist dat het schoolbestuur (bevoegd gezag) concrete afspraken maakt over de verwerking en bescherming van persoonsgegevens. Dat gebeurt in een zogenaamde verwerkersovereenkomst. Je moet altijd kunnen bewij...
Een school en samenwerkingsverband passend onderwijs hebben allebei een in de wet opgenomen publiekrechtelijke taak. Het schoolbestuur en het bestuur van het samenwerkingsverband zijn allebei verwerkingsverantwoordelijke voor de gegevens die ze bij het ui...
Kennisnet wordt gefinancierd door het ministerie van OCW, en kan vanwege deze subsidie geen activiteiten kan verrichten die ‘marktverstorend’ zijn: we kunnen geen diensten verlenen of adviezen geven waarvoor scholen zelf juristen, advocaten of ict-adviseu...
Nee, dat kunnen we niet. Kennisnet en de sectorraden detacheren geen experts om scholen te begeleiden. Kennisnet wordt gefinancierd door het ministerie van OCW, en kan vanwege deze subsidie geen activiteiten kan verrichten die ‘marktverstorend’ zijn: we ...
Nee, dat kan (en mag) niet. Volgens de privacywetgeving is in alle gevallen het schoolbestuur (bevoegd gezag) verantwoordelijk om de privacy van leerlingen en medewerkers te garanderen. Dat kan alleen als het bestuur zélf volledige zeggenschap heeft en h...
Nee, dat kunnen we niet. Er is wel een alternatief. Kennisnet is gefinancierd door het ministerie van OCW, en vanwege deze subsidie geen activiteiten kan verrichten die ‘marktverstorend’ zijn: we kunnen geen diensten verlenen of adviezen geven waarvoor s...
Nee, dat kan (en mag) niet. Volgens de privacywetgeving is ieder schoolbestuur verantwoordelijk voor het regelen van de privacy van leerlingen en medewerkers. Dat kan alleen als het bestuur zélf volledige zeggenschap heeft en houdt over de persoonsgegeve...
Op basis van de wettelijke taak van de Inspectie van het Onderwijs mag de inspecteur die gegevens inzien. De inspecteur zal natuurlijk zorgvuldig omgaan met de persoonsgegevens en alleen die (persoons)gegevens gebruiken die hij of zij nodig heeft voor het...
Een fotograaf van de krant mag foto's maken (we spreken hier dan van een gerechtvaardigd belang, namelijk de journalistiek). Wij adviseren om duidelijke afspraken te maken met de krant/fotograaf: de foto's worden enkel gebruikt voor dát artikel en worden...
Ja, dat mag. Een leverancier of schoolbestuur kan altijd een specifieke (beveiligings)maatregel opnemen in de verwerkersovereenkomst. Dit gebeurt in de praktijk vaak wanneer uit ervaringen blijkt dat scholen of leveranciers een bepaalde maatregel niet aa...
Onder bepaalde voorwaarden kan dat prima. Een belangrijke vraag is met welke devices de synchronisatie wordt uitgevoerd en hoe veilig die zijn. Als dat schooldevices zijn, waarbij onder andere schijf encryptie is toegepast, lijkt het datalek risico ons d...
Alleen met toestemming. Op basisscholen worden er vaak klassenlijsten of telefoonlijsten uitgedeeld met namen, adressen en telefoonnummers (van ouders) van leerlingen. Deze gegevens zijn persoonsgegevens en vallen dus onder de privacywetgeving. Het delen...
Ja, het vragen van toestemming aan de ouders is hiervoor niet nodig. De school beslist dat een e-mailadres nodig is voor het onderwijs. De school schakelt ook leveranciers in (zoals bijvoorbeeld Noordhoff of Heutink) die gegevens van de school krijgen; ...
Nee, e-mailen van persoonsgegevens kan niet zonder meer. E-mail kent zelf geen standaard beveiliging en wordt als onveilig beschouwd. Een mogelijkheid om alsnog gegevens via e-mail te versturen zijn: * Versleuteling van de bestanden (en het wachtwoor...
Maak geen gebruik van de Google accounts van de medewerkers zelf, maar regel een omgeving voor je school. Als organisatie wil je zeker zijn dat je gegevens veilig zijn. Dat betekent dat alle medewerkers alleen gegevens opslaan op plekken waarvan je zeker...
Er mag gevraagd worden naar het identiteitsbewijs van de leerling. Maar het is niet toegestaan om die kopie in het dossier te bewaren. Volgens de wet moet de school de identiteit controleren, en dat betekent niet dat een kopie mag worden bewaard. Een pr...
NEe, want een belangrijk uitgangspunt bij het delen van informatie is dataminimalisatie. Een leerplichtambtenaar heeft alleen recht op die informatie die hij/zij strikt noodzakelijk nodig heeft voor de uitoefening van zijn werk. Het geven van een accoun...
Door het briefgeheim is de post een veilige manier van verzenden. Ook wordt fysieke post minder snel onderschept of verkeerd geadresseerd dan een e-mail. ------------------------- _Dit antwoord is een korte samenvatting. Hoewel aan de totstandkoming h...
In standaardgevallen is het antwoord ja, maar wel met een verwerkersovereenkomst. Een schoolfotograaf heeft gegevens nodig van leerlingen om de juiste foto’s bij de juiste klassen terecht te laten komen. Als de fotograaf zelf de foto’s verstuurt naar de ...
Het maken van foto’s en video’s door ouders op school kun je moeilijk verbieden. Je bent als schoolbestuur niet verantwoordelijk voor de foto’s die ouders maken op school. Een ouder die op een schoolfeest een foto maakt en zelf op Facebook zet, is niet ...
Dat mag niet zomaar. Je moet afspraken maken over beveiliging en soms ook toestemming vragen van ouders. Met alle leveranciers waarmee je persoonsgegevens uitwisselt moet je een verwerkersovereenkomst afsluiten. Maar, Google is een grote partij, die (nog...
Met alle leveranciers van software die persoonsgegevens ontvangen van de school (schoolbestuur) en die gegevens voor jouw school/bestuur verwerken, moet je een verwerkersovereenkomst afsluiten. Het maakt niet uit of dat de persoonsgegevens zijn van je lee...
Organisaties met minder dan 250 medewerkers hoeven normaliter geen verwerkingsregister aan te leggen. Enkele uitzonderingen zijn persoonsgegevens die niet incidenteel worden verwerkt en persoonsgegevens die een hoog risico inhouden. Dat is voor scholen ...
Ja. Op grond van de AVG, artikel 37-39, moet een schoolbestuur (bevoegd gezag) een functionaris voor gegevensbescherming (FG) aanstellen.  De verplichting om een FG te hebben geldt per organisatie. Niet iedere school moet een FG hebben, maar ieder school...
De hoofdregel is dat voor het publiceren van beeldmateriaal (foto's/video's) van leerlingen altijd toestemming van de ouders nodig is. Er is geen toestemming nodig bij het maken van opnames in een klas voor bijvoorbeeld opleidings-/coachingsdoelen van ...
Dat hoeft in de meeste gevallen niet. Het bevoegd gezag (schoolbestuur) van de onderwijsinstelling is volgens de privacywetgeving de verwerkingsverantwoordelijke. Deze moet een verwerkersovereenkomst afsluiten met alle leveranciers die persoonsgegevens o...
Met alle leveranciers waarmee je persoonsgegevens uitwisselt moet je een verwerkersovereenkomst afsluiten. Dit geldt dus voor zowel persoonsgegevens van leerlingen als van medewerkers. Het schoolbestuur mag in beide gevallen de model verwerkersovereenkom...
Dat is afhankelijk van de specifieke opdracht en – als er persoonsgegevens worden verwerkt – waar de website uiteindelijk komt te staan. Anders gezegd: kan de websitebouwer bij gegevens van leerlingen en medewerkers? De vraag is of de websitebouwer pers...
Ja, het is verplicht om afspraken te maken met iedere leverancier die persoonsgegevens ontvangen van de school. Microsoft, Apple en Google gebruiken hiervoor hun eigen gebruiksvoorwaarden (‘terms’ in het Engels). Deze partijen zijn niet aangesloten bij ...
Als je sociale media gebruikt als school, dan gebruik je daarbij persoonsgegevens: namen, foto’s of video’s van medewerkers van leerlingen worden online gedeeld. Dat betekent dat je met deze sociale media-leveranciers afspraken moet maken over privacy i...
Het uitgangspunt is dat je per schooljaar toestemming voor het gebruik van beeldmateriaal regelt. Ouders kunnen dan met tussenposen van een jaar weer nadenken of zij willen dat hun zoon of dochter wordt gefotografeerd. Een alternatief is om eenmalig bij...
De optie om groepsauthenticatie aan te zetten in Parnassys is niet verplicht. Maar je moet wel uitleggen waarom alle docenten bij gegevens van alle leerlingen mogen. Uitgangspunt van de wet is dat een medewerker alleen die informatie ziet die je dagelijks...
Ja, want ook netwerkbeheerders zijn op grond van de AVG ook aan te merken als verwerkers van persoonsgegevens. Voor netwerkbeheerders (zoals bijvoorbeeld) Heutink ICT kan er gebruik worden gemaakt van de model verwerkersovereenkomst. Dit vraagt wel aanpa...
Je moet beide zaken regelen. Een bevoegdheden register (of autorisatie matrix) is een procesmaatregel. Je geeft aan wat mensen wel/niet mogen. Dat je uitlegt dat overtredingen leiden tot disciplinaire maatregelen is heel goed. Maar hoe controleer je da...
Nee, je hebt geen toestemming nodig van een leerling van 16 of 17 jaar om diens ouders inzage te geven in zijn/haar vorderingen (studievoortgang). Toestemming is wel nodig zodra de leerling 18 jaar is geworden (meerderjarig en handelingsbekwaam).  In art...
Als verwerkingsverantwoordelijke dien je je te houden aan de AVG die in Nederland geldt, dus moet je ook met buitenlandse leveranciers een verwerkersovereenkomst afsluiten. Meer informatie hierover vind je op de website van het privacyconvenant: https://w...
Dat is niet nodig. Het schoolbestuur (bevoegd gezag) heeft voor alle scholen die onder het bestuur vallen één beleid. Op alle scholen moet daarmee op de zelfde manier met informatiebeveiliging en privacy worden omgegaan. Het IBP-beleidsplan is een plan ...
Ja. Een schoolbestuur hoort met alle partijen die in opdracht van het bestuur persoonsgegevens verwerken, afspraken te maken in een verwerkersovereenkomst. Als er gebruik wordt gemaakt van de diensten van Kennisnet zoals de Entree Federatie of Nummervoo...
Het maken van camerabeelden is aan veel regels gebonden. Vuistregel is dat preventief toezicht (beveiligingscamera’s) is toegestaan als dat vooraf duidelijk ‘kenbaar is gemaakt’ (maar camera’s mogen niet overal hangen). Het gericht volgen van leerlingen o...
Onder bepaalde omstandigheden en voorwaarden kan dat prima. Zolang enkel de docent in beeld is, zal de privacy geen probleem zijn, er vanuit gaande dat natuurlijk de betreffende leerling en de docent akkoord zijn. Als de rest van de klas wel in beeld kom...
De voorwaarden van Whatapp zijn aangepast aan de nieuwe privacywetgeving. Gebruikers moeten voortaan 16 jaar of ouder zijn. Als je op school leerlingen verplicht om in een app-groep met de docent te zitten, dan dwing je leerlingen om de voorwaarden van Wh...
Waarom wordt er naar de onderwijsinstelling gevraagd? In de zoekfunctie kan op schoolnaam, brinnummer of adres worden gezocht. Wij slaan alleen het brinnummer van de onderwijsinstelling op om een benchmark uit te kunnen voeren op basis van de grootte van ...
Of een samenwerkingsverband passend onderwijs met de aangesloten schoolbesturen een verwerkersovereenkomst af moet sluiten, hangt af waarvoor de software gebruikt wordt.  Een school en samenwerkingsverband passend onderwijs hebben allebei een in de wet o...
Eigenlijk is niet de vraag wat publiceren is, maar of je persoonsgegevens gaat verwerken. Een foto van een leerling valt onder de definitie van persoonsgegevens. En publiceren is één van de activiteiten die je kan doen met persoonsgegevens. Alles wat je d...
Namen van personen zijn persoonsgegevens. En die vallen onder de AVG en die mag je niet zomaar openbaar delen. Het is dus belangrijk om na te gaan of het lesrooster persoonsgegevens bevat. Als dat niet zo is, dan mogen lesrooster openbaar worden gepublice...
In principe geldt voor leerlinggegevens een standaard bewaartermijn van 2 jaar nadat de leerling de school verlaten heeft. Er zijn op deze regel echter een aantal uitzonderingen. Op onze Aanpak IBP staat een handreiking bwaartermijnen. In deze handreikin...
In de Aanpak IBP is een instructievideo opgenomen: https://maken.wikiwijs.nl/81891/Aanpak_IBP_voor_het_po_en_vo#!page-3696224 In combinatie met het stappenplan en de handleidingen, worden daar de meeste vragen beantwoord. ------------------------- _Dit ...
Voor het vragen van toestemming mag de school géén gebruik maken van een 'opt-out' optie: wij maken foto’s tenzij u dat niet wilt… Voor alle zaken (nieuwsbrief, website social media et cetera) waarvoor leerling foto's gebruikt kunnen worden, moet apart to...
Kort gezegd moet het schoolbestuur (bevoegd gezag) informatiebeveiliging en privacy (IBP) op orde hebben. Om duidelijk te maken wat dat inhoudt, heeft Kennisnet in samenwerking met de PO-Raad en VO-raad de 'Aanpak IBP [https://kn.nu/IBPonderwijs]' ontwik...
Een bevoegd gezag is zelf verantwoordelijk om een verwerkingsregister aan te leggen. De werkgroepen IBP van de sectorraden proberen een ingevulde versie te maken, maar een bevoegd gezag moet deze alsnog nalopen en controleren. Ieder bevoegd gezag is ook n...
Volgens artikel 37 van de AVG moet je een FG aanstellen als: * je een overheidsinstelling bent * je organisatie 'hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op...
Formeel gezien moeten organisaties al sinds 2001 onder de privacywetgeving IBP op orde hebben. De voorloper van de AVG, de Wet bescherming persoonsgegevens (Wbp) bevatte bepalingen over het beschermen van persoonsgegevens en het regelen van IBP. Onder de...
Bij leerlingen onder de 16 jaar beslissen de ouders (wettelijk vertegenwoordigers) namens de leerling over diens privacy. Op het moment dat een leerling 16 wordt, beslist die zelf over zijn eigen privacy.  In artikel 23b van de wet voortgezet onderwijs i...
In de 'Aanpak IBP' hebben we een wachtwoordbeleid uitgewerkt. https://maken.wikiwijs.nl/81891/Aanpak_IBP_voor_het_PO_en_VO#!page-2690890 [https://maken.wikiwijs.nl/81891/Aanpak_IBP_voor_het_PO_en_VO#!page-2690890] ------------------------- _Dit antwoord...
Een leverancier (die digitale onderwijsmiddelen aanbiedt) is niet verplicht om zicht aan te sluiten bij het privacyconvenant. Het is wel wenselijk. Het schoolbestuur (bevoegd gezag) blijft verplicht om te zorgen voor de juiste afspraken over privacybesch...
Het uitgangspunt van het privacyconvenant is dat zowel leveranciers als onderwijsinstellingen zich aan het model houden. Het model is een getoetste overeenkomst waar veel juristen naar gekeken hebben en het biedt voor alle partijen een goed kader voor het...
Als er in het kader van het onderwijs gebruik wordt gemaakt van digitale leermiddelen, dan is het schoolbestuur (bevoegd gezag) volgens de privacywetgeving eindverantwoordelijk voor de privacy van leerlingen. Dus de school moet er voor zorgen dat er afspr...
De volgende pagina in de aanpak IBP gaat in op de communicatie over digitale vaardigheden en social media richting leerlingen: https://maken.wikiwijs.nl/81891/Aanpak_IBP_voor_het_PO_en_VO#!page-2201400 [https://maken.wikiwijs.nl/81891/Aanpak_IBP_voor_het_...
De GGD heeft twee vormen van informatie vragen: * Voor het plannen van afspraken willen ze weten welke leerling in welke klas zit. Die informatie mogen/moeten GGD’s uit BRON halen (DUO). Dat werkt nu niet goed. Daarom vragen GGD’s lijsten van leerlinge...
Leerplichtambtenaren voeren wettelijke taak uit en hebben dus een wettelijk recht op bepaalde informatie. Daarbij gaat het vooral om verzuim. Belangrijk uitgangspunt bij het delen van informatie is of de wet iets regelt (ja, in dit geval de Leerplichtwe...
Voor persoonsgegevens is de eindverantwoordelijke altijd het bevoegd gezag. Op wiens naam het domein is geregistreerd is daarvoor niet van belang. ------------------------- _Dit antwoord is een korte samenvatting. Hoewel aan de totstandkoming hiervan de...
Het melden van een datalek, is de verplichting van ieder schoolbestuur. Maar er is in het onderwijs afgesproken dat bij grote datalekken, ook de leverancier een datalek kan melden. Denk bijvoorbeeld aan een leverancier van een leerlingadministratiesysteem...
Nee, de school is niet verantwoordelijk voor wat ouders doen. Een ouder die op een schoolfeest een foto maakt van dansende kinderen, en dat op Facebook plaatst, is daar zelf verantwoordelijk voor. Maar er mag wel van de school worden verwacht dat er afs...