Digitale leermiddelen zijn niet meer weg te denken uit het onderwijs en binnen samenwerkingsverbanden worden steeds vaker gegevens van leerlingen en studenten uitgewisseld. Onderwijsinstellingen leggen steeds meer gevoelige gegevens vast van leerlingen, hun ouders en het eigen personeel. Denk hierbij bijvoorbeeld aan het plaatsen van foto’s op de website, leerlingvolgsystemen en personeelsdossiers. Het beschermen van de gegevens van leerlingen, studenten, docenten en andere medewerkers wordt steeds belangrijker. Zijn de huidige Privacy Professionals in het onderwijs wel voldoende gefaciliteerd als het gaat om kennis, tijd en middelen? Welke opleidingsbehoefte hebben zij? Wij vroegen het een aantal!
In het onderwijs ligt de focus vooral op lesgeven. Regelmatig horen we van Functionarissen voor Gegevensbescherming en Privacy Officers in het onderwijs (hierna: Privacy Professionals in het Onderwijs: PPO) dat de AVG voor bestuurders en medewerkers vooral voelt als een bureaucratische verplichting. Tegelijkertijd is aandacht voor het zorgvuldig omgaan met persoonsgegevens – bijvoorbeeld door passend onderwijs, online lesgeven en het werken met digitale leermiddelen – belangrijker dan ooit. Maar hoe pak je dat aan en verander je de mindset bij je collega’s op een effectieve manier? Wat doe je eraan om datalekken te voorkomen? Hoe maak je goede afspraken met leveranciers? En hoe krijg en houd je grip en focus op de gehele ‘data life cycle’?
Benodigde kennis
Om zorgvuldig en in overeenstemming met de AVG te kunnen handelen, moet de Privacy Professional in het Onderwijs (PPO) allereerst voldoende kennis hebben over de AVG, maar ook over de sectorspecifieke wetgeving die binnen het onderwijs geldt. De PPO kan te maken hebben met de Wet op het primair onderwijs (WPO), de Wet op het voortgezet onderwijs (WVO), de Wet educatie en beroepsonderwijs (WEC) en de Wet op het hoger onderwijs en wetenschappelijk onderzoek (WHW).
Naast de juridische aspecten vormen de actualiteiten een belangrijk onderdeel van het kennisniveau. Denk hierbij bijvoorbeeld aan het omgaan met corona. Mag een school coronabesmettingen van leerlingen/studenten en medewerkers registreren? Hoe moet de school andere leerlingen/studenten en medewerkers informeren in het geval van een besmetting? En hoe verloopt het contact met de GGD? Er zijn een hoop zaken om rekening mee te houden bij een (mogelijke) coronabesmetting.
Ook het gebruik van onderwijstools en -applicaties zorgt momenteel voor veel discussie. In sommige gevallen is er namelijk sprake van doorgifte van persoonsgegevens (van leerlingen) buiten de Europees Economische Ruimte (EER). Vanwege de Schrems II-uitspraak, waarin het Privacy Shield ongeldig werd verklaard, is het belangrijk dat onderwijsinstellingen onderzoek doen of doorgifte van persoonsgegevens buiten de EER plaatsvindt.
Ook het uitwisselen van gegevens van leerlingen zorgt in de praktijk voor veel vragen bij PPO’s. Mag de school afgaan op de toestemming of weigering van één van de ouders als het gezag wel of niet toekomt aan beide ouders? Wanneer heeft een gescheiden ouder het recht op inzage in het leerlingdossier van zijn of haar kind? Wat mag je wel en niet verwerken van een kind? Wat moet de school doen als de ouders het onderling niet eens zijn over de gegeven toestemming? In de praktijk kan het soms lastig zijn om in dergelijke situaties conform de AVG te handelen.
Uitdagingen
Waar PPO’s in de praktijk tegenaan lopen, is dat voor de gemiddelde medewerker het soms lastig is te beseffen, dat er geen eenduidig antwoord is voor alle vragen. Een PPO kan die frustratie wegnemen door proactief te handelen, bijvoorbeeld door het vooraf verstrekken van informatie die voor medewerkers duidelijk te begrijpen is, dus zonder jargon. Daarnaast kan de PPO proberen om medewerkers meer te attenderen op diens verantwoordelijkheden, voornamelijk op directieniveau. De PPO zal praktische zaken praktisch uit moeten kunnen leggen, waarbij het ook uitvoerbaar of werkbaar blijft. En dat valt niet altijd mee in een snel veranderende omgeving.
Het is voor PPO’s lastig om bij te blijven op hun vakgebied. Daarnaast valt het op dat PPO’s juridisch goed geschoold zijn, maar het aan de implementatie vaardigheden ontbreekt. Implementatie is voor een PPO niet altijd een primaire verantwoordelijkheid, maar kennis hierover is zeer belangrijk voor het geven van adviezen. Tevens merken we dat er vaak nog een gat zit tussen kennis over nieuwe technologieën en gegevensbescherming. Dit is vaak nog een gebied waar PPO’s niet aan toekomen. Samenwerking met Security Officers is hierin ook belangrijk.
Oplossing
Om Privacy Professionals in het onderwijs te ondersteunen bij het beantwoorden van al deze vragen hebben Privacy1 en Privacy Op School de training “Privacy Professional Onderwijs (PPO)” ontwikkeld. De training is een verdieping voor iedere PPO die niet alleen aandacht geeft aan de juridische aspecten, maar ook aan de praktische toepassing van de AVG.
Meer informatie
Kijk hier voor meer informatie over het programma. Download hier onze flyer.
Direct inschrijven
Wil jij je kennis vergroten en praktische handvatten aangereikt krijgen waar je direct mee aan de slag kunt? Schrijf je dan hier in!
