Nooit meer in de leerlingendata snuffelen

Schoolbestuur

Lucas Onderwijs in Den Haag kijkt met een ‘data-bril’ op of er nergens meer privacygevoelige leerlinggegevens rondslingeren.

Foto ANP/Beeldbewerking NRC

Even een Amerikaans appje laten installeren dat feedback geeft op huiswerk. Cijferlijsten bewaren op een usb-stick. De maatschappelijk werker het dossier mailen van een leerling met een moeilijke thuissituatie. Een groepspagina openen op Facebook voor de filmpjes van de sportdag van groep 4. De klassenlijst op het prikbord hangen.

Het zijn dit soort handelingen, vertelt Job Vos, privacy-specialist van Kennisnet, die docenten vanaf volgende week niet meer achteloos kunnen uitvoeren. Dan treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. De regels om de privacy van leerlingen te beschermen worden een stuk strenger; de Autoriteit Persoonsgegevens kan boetes opleggen.

Zo moeten scholen afspraken maken met elke leverancier die gegevens van hun leerlingen verwerkt. Denk aan Magister, uitgeverijen of het leerlingvolgsysteem. Leraren mogen niet meer zomaar een foto van hun klas maken voor de nieuwsbrief; ouders moeten daar toestemming voor geven. Scholen moeten die toestemming ook kunnen aantonen.

Vos, die scholen namens Kennisnet helpt met de voorbereiding op de AVG, is „redelijk enthousiast” over de nieuwe wet. „Leerlingen zijn een kwetsbare groep en het onderwijs heeft héél veel gegevens”, zegt hij. „Daarnaast zijn er veel koppelingen tussen systemen en worden veel gegevens uitgewisseld – denk aan het samenwerkingsverband, de GGD of logopedist. Er kan snel iets verkeerd gaan.” Bijvoorbeeld een lek waardoor bekend wordt dat de minister van Financiën spijbelde en slecht was in rekenen. „Dat wil je niet.” Of een leraar die snuffelt in de resultaten van een leerling uit een andere klas.

Cultuurverandering

Bij Lucas Onderwijs, een Haags schoolbestuur met 26 middelbare scholen, 49 basisscholen en vier scholen voor speciaal onderwijs, zijn sinds februari vijf mensen intensief bezig met de voorbereiding op de nieuwe wet. Daar komt binnenkort de verplichte ‘functionaris gegevensbescherming’ bij. Lucas Onderwijs beheert gegevens van 34.000 leerlingen en 4.000 personeelsleden, vertellen directeur Robert Lock en privacy-functionaris Fons Bos op hun kantoor.

„We moesten heel veel dingen regelen”, zegt Lock. De protocollen voor onder meer cameratoezicht en social media-gebruik zijn „AVG-proof” gemaakt. En met alle leveranciers die gegevens verwerken, zijn nieuwe afspraken gemaakt. „We hebben scholen gevraagd: waar heb je contact mee, waar gaan de gegevens naartoe?”, zegt Bos. In totaal leverde dat meer dan honderd partijen op: het administratiesysteem, de ouderportal. Zelfs de schoolfotograaf. „Een foto is een bijzonder persoonsgegeven, omdat je daar het ras van een persoon op herkent. Daarvoor gelden strengere regels.”

Dat is de procedurele kant. Maar het belangrijkste – en ingewikkeldste – is bewustzijn creëren bij werknemers. „We willen niet alleen aan de wet voldoen, maar er vooral voor zorgen dat onze 4.000 werknemers bewust omgaan met gegevens”, zegt Lock. Daarvoor zijn er bijeenkomsten geweest en nieuwsbrieven en flyers verstuurd.

Nog lang niet alle organisaties die dat moeten, hebben een privacy-functionaris aangesteld: Er is een tekort aan privacy-experts

Die cultuurverandering, zegt privacy-expert Vos van Kennisnet, is de grootste opgave voor scholen. „Vijf jaar geleden werden nieuwsbrieven nog zo verstuurd dat alle mailadressen van ouders voor iedereen zichtbaar waren. Nog steeds wordt makkelijk even een dossier naar de logopedist gemaild. Je kunt denken: wat een gedoe allemaal, die AVG, maar privacy is een mensenrecht. Het mooiste zou zijn als mensen niet anders gaan handelen uit angst voor die boetes, maar echt snappen waarom dit nodig is.”

Binnenkort volgt op de scholen van Lucas Onderwijs een ‘risicosessie’: op scholen wordt met „een data-bril” rondgekeken om te zien welke persoonsgegevens rondslingeren. Zoals een geprinte cijferlijst op een bureau, een papier met telefoonnummers aan de muur. Laatst, vertelt Lock, vroeg een gemeente een school om verzuimgegevens. „Toen werd door die school de vraag gesteld: mag dat wel, op welke grondslag vragen ze dit? Dat stelde mij gerust. Dat betekent dat er over privacy wordt nagedacht.”

95 procent van de AVG, zegt hij, is „gewoon gezond verstand”. Maar sommige aspecten zijn ronduit onhandig voor scholen. Zoals de kortere bewaartermijn. In- en uitschrijfgegevens van leerlingen mogen vijf jaar worden bewaard, de rest, waaronder de leerresultaten, twee jaar. „Dat is lastig, want die gebruiken we voor analyses. Het zijn onze bedrijfsgegevens.” Als je bijvoorbeeld iets verandert aan je onderwijs in de brugklas, zegt Bos, dan wil je meten of dat werkt. „We kijken of we die gegevens kunnen anonimiseren.”

Ook de strikte regels over fotografie gaan in tegen de gangbare praktijk. In de klas worden veel foto’s gemaakt – voor de groepsapp met ouders, het schoolboekje, de nieuwsbrief. „We hebben gezegd: wees terughoudend met foto’s maken”, zegt Lock. „Maar we zijn wel een gemeenschap, we moeten ook realistisch zijn.” Ouders mogen hun toestemming altijd intrekken. „Dus wat gebeurt er als iemand zijn toestemming intrekt terwijl het kind al op de klassenfoto staat? Een theoretische vraag, maar het kan.”

Aanvinken

Groepsapps, veel gebruikt door ouders en klassen, mogen niet meer worden geopend op initiatief van de school, zonder toestemming van alle deelnemers. Maar Whatsapp heeft door de nieuwe wet sowieso besloten geen gebruikers meer te accepteren onder de zestien jaar – al vinken veel kinderen volgens docenten gewoon aan dat ze die leeftijd hebben. „We moeten bij elk medium kritisch kijken: voor welk doel gebruiken we dit?”, zegt Vos. „Leraren kunnen ook via Magister of de mail met leerlingen communiceren.”

Was de privacy op scholen tot nu toe zo slecht geregeld? Dat niet, zegt Job Vos van Kennisnet. Na een reeks onthullingen van RTL Nieuws in 2014 over lekken in de beveiliging van de gegevens van leerlingen, is „de bal gaan rollen”. Er kwamen afspraken met leveranciers en de meeste scholen voldoen nu min of meer aan de huidige wet bescherming persoonsgegevens. „De nieuwe wet vraagt nét nog een stap extra. En daarvoor kun je als bestuur nog zulke mooie afspraken maken, maar uiteindelijk gaat het erom of ze in de praktijk worden nageleefd.”

    • Mirjam Remie