Lees het onderzoek hier. Onderwijsinstellingen moeten – als verantwoordelijke – passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Onder onrechtmatige verwerking wordt onder meer verstaan onbevoegde kennisneming, wijziging of verstrekking van gegevens.
De AP heeft in haar Richtsnoeren beveiliging van persoonsgegevens nader uitgewerkt wat onder ‘passende technische en organisatorische maatregelen’ moet worden verstaan. Voor onderwijsinstellingen is met name de Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging van belang (NEN 27002).
Onderwijsinstellingen dienen onder andere beveiligingsmaatregelen te treffen om toegang tot persoonsgegevens van leerlingen in leerlingvolgsystemen voor bevoegde medewerkers te bewerkstelligen en onbevoegde toegang tot deze persoonsgegevens te voorkomen.
De volgende aspecten worden door de AP betrokken in de beoordeling of een onderwijsinstelling passende beveiligingsmaatregelen heeft getroffen:
Volgens de privacy wetgeving mogen niet meer mensen toegang hebben tot de persoonsgegevens van leerlingen dan noodzakelijk. Voornoemde Richtsnoeren vereisen dat de medewerkers slechts toegang mogen verkrijgen tot persoonsgegevens van leerlingen in het leerlingvolgsysteem die zij voor de uitvoering van hun taken nodig hebben. Dit betekent dat er grenzen dienen te worden gesteld aan de kring van medewerkers die toegang verkrijgen tot persoonsgegevens van een leerling. Wanneer deze grenzen niet of onvoldoende worden gesteld, dan bestaat er het risico dat medewerkers van een onderwijsinstelling onrechtmatig (bijzondere) persoonsgegevens van leerlingen verwerken.
In het algemeen geldt dat niet alle medewerkers standaard en continu toegang nodig hebben tot persoonsgegevens van (alle) leerlingen voor de uitvoering van hun taken. Gelet hierop dient een onderwijsinstelling in ieder geval de volgende stappen te nemen bij het toewijzen van toegangsrechten aan een medewerker:
Onderwijsinstellingen dienen ten minste formele procedures te hebben om medewerkers toegang te verlenen tot persoonsgegevens van leerlingen in het leerlingvolgsysteem. De toegangsverlening mag slechts betrekking hebben tot persoonsgegevens van leerlingen die de medewerkers voor de uitvoering van hun taken nodig hebben. Verder moeten er logbestanden worden gemaakt van gebeurtenissen binnen het leerlingvolgsysteem en deze logbestanden moeten regelmatig worden beoordeeld. Onderwijsinstellingen die hier niet aan voldoen, handelen in strijd met de privacywetgeving en kunnen forse boetes van de AP verwachten. Wees hier dus goed op voorbereid.
Heeft u vragen over dit artikel, neemt u dan contact op met ons team IT, Privacy & Cybersecurity.