Advocaten en notariaat in Leiden en Den Haag
Menu
IT, IE & PrivacyOnderwijsrecht

Tegen het licht houden: beveiliging en toegang leerlingvolgsysteem

Arbeid, Medezeggenschap & Pensioen

Anneloes Korremans

21 maart 2018 - 3 minuten leestijd

Door het gebruik van leerlingvolgsystemen verwerken onderwijsinstellingen een grote hoeveelheid (bijzondere) persoonsgegevens van leerlingen, zoals verzuimgegevens en studieresultaten. Naar aanleiding van onderzoek bij een aantal grote onderwijsinstellingen, roept de Autoriteit Persoonsgegevens (AP) iedereen op de werkwijze met leerlingvolgsystemen tegen het licht te houden en te zorgen dat de beginselen van de Algemene verordening gegevensbescherming (AVG) in acht worden genomen. In het recent door de AP uitgevoerde onderzoek kwam met name het gebrek aan goede beveiliging en toegang van leerlingvolgsystemen naar voren als “valkuil”.

Beveiliging

Onderwijsinstellingen moeten – als verantwoordelijke – passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Onder onrechtmatige verwerking wordt onder meer verstaan onbevoegde kennisneming, wijziging of verstrekking van gegevens.

De AP heeft in haar Richtsnoeren beveiliging van persoonsgegevens nader uitgewerkt wat onder ‘passende technische en organisatorische maatregelen’ moet worden verstaan. Voor onderwijsinstellingen is met name de Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging van belang (NEN 27002).

Onderwijsinstellingen dienen onder andere beveiligingsmaatregelen te treffen om toegang tot persoonsgegevens van leerlingen in leerlingvolgsystemen voor bevoegde medewerkers te bewerkstelligen en onbevoegde toegang tot deze persoonsgegevens te voorkomen.

De volgende aspecten worden door de AP betrokken in de beoordeling of een onderwijsinstelling passende beveiligingsmaatregelen heeft getroffen:

  1. Er dienen procedures te zijn om medewerkers toegang te geven tot persoonsgegevens van leerlingen in het leerlingvolgsysteem die zij voor de uitvoering van hun taken nodig hebben;
    • er dient een formele registratie- en afmeldingsprocedure te zijn om toewijzing van de toegangsrechten aan de medewerkers mogelijk te maken alsmede een formele gebruikerstoegangsverleningsprocedure om toegangsrechten voor alle typen gebruikers toe te wijzen of in te trekken
    • deze procedures dienen te zijn geïmplementeerd.
  2. Er dienen logbestanden te worden gemaakt van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren.
  3. De logbestanden dienen regelmatig te worden beoordeeld.

Toegang

Volgens de privacy wetgeving mogen niet meer mensen toegang hebben tot de persoonsgegevens van leerlingen dan noodzakelijk. Voornoemde Richtsnoeren vereisen dat de medewerkers slechts toegang mogen verkrijgen tot persoonsgegevens van leerlingen in het leerlingvolgsysteem die zij voor de uitvoering van hun taken nodig hebben. Dit betekent dat er grenzen dienen te worden gesteld aan de kring van medewerkers die toegang verkrijgen tot persoonsgegevens van een leerling. Wanneer deze grenzen niet of onvoldoende worden gesteld, dan bestaat er het risico dat medewerkers van een onderwijsinstelling onrechtmatig (bijzondere) persoonsgegevens van leerlingen verwerken.

In het algemeen geldt dat niet alle medewerkers standaard en continu toegang nodig hebben tot persoonsgegevens van (alle) leerlingen voor de uitvoering van hun taken. Gelet hierop dient een onderwijsinstelling in ieder geval de volgende stappen te nemen bij het toewijzen van toegangsrechten aan een medewerker:

  1. Bepaal welke rol(len) een medewerker krijgt;
  2. Bepaal ten aanzien van welke (groep(en)) leerlingen de medewerker zijn taken gaat uitvoeren;
  3. Bepaal welke persoonsgegevens van de leerlingen de medeweker nodig heeft om zijn taken goed te kunnen uitvoeren;
  4. Bepaal binnen welke tijdsperiode de medewerker de persoonsgegevens van de leerlingen nodig heeft om zijn taken goed te kunnen uitvoeren.

Conclusie

Onderwijsinstellingen dienen ten minste formele procedures te hebben om medewerkers toegang te verlenen tot persoonsgegevens van leerlingen in het leerlingvolgsysteem. De toegangsverlening mag slechts betrekking hebben tot persoonsgegevens van leerlingen die de medewerkers voor de uitvoering van hun taken nodig hebben. Verder moeten er logbestanden worden gemaakt van gebeurtenissen binnen het leerlingvolgsysteem en deze logbestanden moeten regelmatig worden beoordeeld. Onderwijsinstellingen die hier niet aan voldoen, handelen in strijd met de privacywetgeving en kunnen forse boetes van de AP verwachten. Wees hier dus goed op voorbereid.

Contact

Wilt u meer weten over privacy in het onderwijs? Neemt u dan contact op met Anneloes Korremans  of een van de andere specialisten van het team IT, IE & Privacy.

Blijf op de hoogte

Ontvang de laatste updates en de beste tips in je inbox

Ook interessant?