Tegen het licht houden: beveiliging en toegang leerlingvolgsysteem

Lees het onderzoek hier. Onderwijsinstellingen moeten – als verantwoordelijke – passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Onder onrechtmatige verwerking wordt onder meer verstaan onbevoegde kennisneming, wijziging of verstrekking van gegevens.

De AP heeft in haar Richtsnoeren beveiliging van persoonsgegevens nader uitgewerkt wat onder ‘passende technische en organisatorische maatregelen’ moet worden verstaan. Voor onderwijsinstellingen is met name de Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging van belang (NEN 27002).

Onderwijsinstellingen dienen onder andere beveiligingsmaatregelen te treffen om toegang tot persoonsgegevens van leerlingen in leerlingvolgsystemen voor bevoegde medewerkers te bewerkstelligen en onbevoegde toegang tot deze persoonsgegevens te voorkomen.

De volgende aspecten worden door de AP betrokken in de beoordeling of een onderwijsinstelling passende beveiligingsmaatregelen heeft getroffen:

1. Er dienen procedures te zijn om medewerkers toegang te geven tot persoonsgegevens van leerlingen in het leerlingvolgsysteem die zij voor de uitvoering van hun taken nodig hebben;
   • er dient een formele registratie- en afmeldingsprocedure te zijn om toewijzing van de toegangsrechten aan de medewerkers mogelijk te maken alsmede een formele gebruikerstoegangsverleningsprocedure om toegangsrechten voor alle typen gebruikers toe te wijzen of in te trekken
   • deze procedures dienen te zijn geïmplementeerd.
2. Er dienen logbestanden te worden gemaakt van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren.
3. De logbestanden dienen regelmatig te worden beoordeeld.

Volgens de privacy wetgeving mogen niet meer mensen toegang hebben tot de persoonsgegevens van leerlingen dan noodzakelijk. Voornoemde Richtsnoeren vereisen dat de medewerkers slechts toegang mogen verkrijgen tot persoonsgegevens van leerlingen in het leerlingvolgsysteem die zij voor de uitvoering van hun taken nodig hebben. Dit betekent dat er grenzen dienen te worden gesteld aan de kring van medewerkers die toegang verkrijgen tot persoonsgegevens van een leerling. Wanneer deze grenzen niet of onvoldoende worden gesteld, dan bestaat er het risico dat medewerkers van een onderwijsinstelling onrechtmatig (bijzondere) persoonsgegevens van leerlingen verwerken.

In het algemeen geldt dat niet alle medewerkers standaard en continu toegang nodig hebben tot persoonsgegevens van (alle) leerlingen voor de uitvoering van hun taken. Gelet hierop dient een onderwijsinstelling in ieder geval de volgende stappen te nemen bij het toewijzen van toegangsrechten aan een medewerker:

1. Bepaal welke rol(len) een medewerker krijgt;
2. Bepaal ten aanzien van welke (groep(en)) leerlingen de medewerker zijn taken gaat uitvoeren;
3. Bepaal welke persoonsgegevens van de leerlingen de medeweker nodig heeft om zijn taken goed te kunnen uitvoeren;
4. Bepaal binnen welke tijdsperiode de medewerker de persoonsgegevens van de leerlingen nodig heeft om zijn taken goed te kunnen uitvoeren.

Onderwijsinstellingen dienen ten minste formele procedures te hebben om medewerkers toegang te verlenen tot persoonsgegevens van leerlingen in het leerlingvolgsysteem. De toegangsverlening mag slechts betrekking hebben tot persoonsgegevens van leerlingen die de medewerkers voor de uitvoering van hun taken nodig hebben. Verder moeten er logbestanden worden gemaakt van gebeurtenissen binnen het leerlingvolgsysteem en deze logbestanden moeten regelmatig worden beoordeeld. Onderwijsinstellingen die hier niet aan voldoen, handelen in strijd met de privacywetgeving en kunnen forse boetes van de AP verwachten. Wees hier dus goed op voorbereid.

Heeft u vragen over dit artikel, neemt u dan contact op met ons team IT, Privacy & Cybersecurity.