Wat moet je weten over... privacy en passend onderwijs? MF: Titel aanpassen: iets met Passend onderwijs en privacy Maurits Huigsloot (PO-Raad), Job Vos (adviseur privacy) 18 april 2018, Zeist

Hallo allemaal, wat fijn dat u er bent…

Hallo allemaal, wat fijn dat u er bent… …en wie ben jij? Stel jezelf eens voor aan je buurman/buurvrouw. Maar wacht even… Niet zomaar voorstellen… wie ben jij in de digitale wereld? Toon je Facebook, Twitter, LinkedIn, Instagram… Laat je Whatsapp eens zien… En geef je buurman/buurvrouw je telefoon En deel je Tinder… je Secondlove…

What’s up?!

Wat is privacy? Eerbiediging van de persoonlijke levenssfeer Bescherming van persoonsgegevens Privacy:  400 jaar oud: Hippocrates. Oude begrip: bescherming huis

met rust te worden gelaten gegevens over jezelf te controleren Het recht om met rust te worden gelaten gegevens over jezelf te controleren Informatiebeveiliging is een proces voor het beschermen tegen risico’s en bedreigingen met betrekking tot informatie en ict. Samengevoegd tot: IBP

Waar gaat privacy over?

(verwerkingsverantwoordelijke) Wie gaat er over IBP? Verantwoordelijke (verwerkingsverantwoordelijke)

Met wie werk je samen? Bewerker (verwerker)

Privacyconvenant 3.0 (m.i.v. 1 april 2018) Digitale onderwijsmiddelen: digitaal leermateriaal en LAS/LVS Rolverdeling: schoolbestuur aan het stuur Doeleinden van de verwerkingen Gebruik model verwerkersovereenkomst verplicht Bijlage 1: privacybijsluiter Bijlage 2: beveiligingsbijlage Comply or explain: advies is om niet af te wijken Privacy by design en by default: keten-id / ECK-iD (pseudoniem) Informatieverplichtingen Vraag vanaf 1 mei je verwerkersovereenkomst op bij je leverancier

Aandacht voor privacy in het onderwijs Aandacht voor privacy niet nieuw 1989: Wet persoonsregistratie (WPR) 2001: Wet bescherming persoonsgegevens (WBP) 2018: Algemene Verordening Gegevensbescherming (AVG) PO-Raad, VO-raad, MBO Raad en Kennisnet 2011: wetsvoorstel passend onderwijs 2013: PvE uitgangspunt voor vormgeving regierol namens sector 2014: invoering Wet passend onderwijs incidenten rondom privacy 2015: privacyconvenant 1.0 (leermiddelen) 2016: privacyconvenant 2.0 (leermiddelen+LAS/LVS) Aanpak IBP (stappenplan om IBP te regelen) 2017: Privacyconvenant 3.0 (aanpassing aan AVG) met certificeringsschema met beveiligingseisen voor leveranciers 2018: Privacyconvenant 3.0 (AVG en invoegen MBO) Pseudoniem Maar: bestuur blijft aan zet bij het regelen van informatiebeveiliging en privacy

Waarom is privacy zo belangrijk? Het recht op privacy is een fundamenteel mensenrecht en grondrecht, net zoals het recht op leven, het verbod op discriminatie, recht op een eerlijke proces of verbod van slavernij. ‘het staat in de wet’, dus het moet (2018: AVG) compliance: accountantscontrole imago: datalekken, schade, risico’s financieel: hoge boetes, ook voor scholen! En…

MF: laten denk ik zeker als deze dia gaat over dat vertrouwen tussen alle betrokkenen de basis is om het onderwijs en begeleiding van leerlingen (zeker deze specifieke leerlingen) zorgvuldig en goed in te richten

Privacy in het onderwijs MF: laten 1! Privacy: zin in systemen en dossiers. Op school heeft ¼ van leerlingen zorg o.i.d. Dus daar zit meer in de administratie dan gemiddeld: zorgdossiers. Dus medsiche info. Leg vergelijking met jouw dossier bij de huisarts. Jouw medisch dossier zit ook in een database. En wat vind JIJ er van als je bij de huisarts zit, en er zit een geel briefje op zijn monitor. Daarop staat zijn wachtwoord van JOUW dossier. Dat kan toch niet? Waarom hebben honderden scholen dan wel computers staan met op de monitor een geel briefje met het wachtwoord om in te logggen? Gekkigheid. Spreek je collega aan: de databases van scholen zijn net zo gevoelig als medische systemen. Dus beveiliging moet net zo goed als in ziekenhuis, Dus geen wachtwoorden opschrijven.

Privacy gaat niet alleen over gegevens Plaatje server: privacy gaat ook over ‘weten wat er op je schoolnetwerk gebeurt’. Worden er sexfilmpjes gedeeld, of banga-lijsten? Dit vraagt om de afweging tussen privacy van leerlingen/medewerkers en bescherming van die zelfde leerlingen/medewerkers. Mag en kan je leerlingen de hele dag volgen en alles opslaan wat ze doen? In Europa zijn we hevig verontwaardigd als blijkt dat de NSA allerlei gegevens over ons gebruikt bij de opsporing, maar als we leerlingen de hele dag gaan volgen, doen we dan niet het zelfde? Zoek de balans en informeer medewerkers, leerlingen en ouders over je beleid hierover! Schoolfoto’s: een foto zegt iets over je ras, etniciteit. Daarom is een foto een bijzonder persoonsgegevens: je moet hier nóg voorzichtiger mee omgaan dan met gewone data.

AVG: 25 mei 2018 Versterking en uitbreiding privacyrechten Meer bevoegdheden voor Europese privacytoezichthouders Meer verantwoordelijkheden voor organisaties

Aandachtspunten AVG (25 mei ’18) Vuistregels (wordt hierna besproken) Bewuster omgaan met persoonsgegevens: gestructureerd en stelselmatig (zoals privacy by design en by default) gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen Risicobenadering, context relevanter: risico-inventarisatie en risico-analyse DPIA (gegevensbeschermingseffectbeoordeling) Documentatieplicht: bewijslast en privacy-administratie geen bewijs, geen toestemming Dataregister: welke gegevens, welke systemen, welke doelen Bewustzijn creëren en actief voorlichting geven Meer transparantie: uitleggen wat je waarom doet met persoonsgegevens

Vervolg Aandachtspunten Minderjarigen: bij sociale media toestemming ouders bij jongere onder de 16 jaar Alleen bij sociale media! Verwerkersovereenkomsten centraler, beschrijving wat wettelijk vereist is Privacyconvenant is de norm voor contracten in het po en vo Meldplicht datalekken blijft bestaan (let op regelen procedure) Functionaris voor Gegevensbescherming (FG): verplicht voor scholen Technische en organisatorische beveiligingsmaatregelen: Aanpak IBP

Autoriteit Persoonsgegevens: AVG op school Context van het onderwijs: Leerlingen zijn een kwetsbare groep Scholen hebben veel informatie en systemen Gegevens worden intern en extern uitgewisseld (op wettelijke basis) Terughoudend: niet de zweep er over de komende 1 tot 2 jaar ‘Je moet er een potje van maken om een boete te krijgen de eerste jaren’ Accountability: uitleggen waarom je wel/niet voldoet (leg vast!) Assurance: aantoonbaar in control Beter ‘iets’ dan ‘niets’ (begin gewoon!) Scholen moeten ‘autoriseren, loggen en controleren’ regelen! ‘Zorg dat je bestuurder uitdraagt dat privacy belangrijk is’ ‘Vertel iedereen hoe je omgaat met privacy’

AVG 3. Dataminimalisatie 4. Transparantie (rechten Betrokkene) 2. Grondslag 5. Data-integriteit Doelbepaling en doelbinding MF: laten !! En graag heel uitgebreid bespreken En grondslag ook graag nadruk geven Ps neem aan dat de anderen deze ook kunnen gebruiken in hun werksessie presentaties? Vuistregels privacy 2.0

Dus… regel het! Het bestuur is verantwoordelijk om informatiebeveiliging en privacy (IBP) te regelen Privacy: garandeer de privacy van leerlingen, hun ouders én medewerkers Informatiebeveiliging: onderwijs en begeleiding moet altijd door kunnen gaan Kaders: Wbp, AVG, onderwijswetgeving ISO 27001 en 27002 voor beveiliging MF: laten !!

Aanpak IBP: https://kn.nu/IBPonderwijs AVG 3. communiceren MF: Mogelijk deze laten als handreiking om IPB aanpak te gaan gebruiken maar verder niet per stap uitleggen denk dat je daar te weinig tijd voor hebt. Ik zou ook SWV PaO wijzen op deze aanpak (tenzij dat voor hen niet aansluit)… Hoe regel je het: doel is 25 mei 2018. Alles klaar. Leg uit dat 2018 eigenlijk gek is: want in AVG zit meer dan de helft wat nu al in Wbp zit. Dus scholen hebben meer dan 15 jaar de tijd gehad om zaken te regelen. En nu plotseling haast voor 25 mei 2018?! 3 stappen: organiseer je beleid. Dat is waar de bestuurder vastgesteld dat ibp voor iedereen geldt, dat er een paar mensen ibp gaan regelen en dat ze daar de steun van de bestuurder voor hebben gekregen. Stap 2: beleid moet geen papieren tijger blijven. Daarom: beleid naar praktijk: realiseer maatregelen. Verderop meer uitleg. En stap 3: zorg dat iedereen weeet wat hij/zij moet doen. Communicatie. 2. realiseren 1. organiseren

Stap 1: organiseer een beleid De bestuurder stelt een beleidsplan op met daarin afspraken: Uitgangspunten Duidelijke doelen Vastgelegde verantwoordelijkheden: wie gaat wat wanneer doen Rapportage-afspraken: verslag aan bestuurder Het beleidsplan is de kapstok om IBP te regelen: en dan… aan de slag!

Stap 2: realiseren (neem maatregelen) Scholen hebben onder de AVG een documentatieplicht. Dus je moet vooral vastleggen hoe je zorgt voor privacy: Inventariseer wat de grootste risico’s voor de school zijn in het algemeen (risico-inventarisatie) Zet op een rij welke persoonsgegevens in welke systemen worden verwerkt, in een dataregister Bepaal welke systemen een hoog risico* hebben Bepaal voor in ieder geval voor die systemen dat je juiste maatregelen zijn getroffen, en voer zo nodig een DPIA uit. *systemen die “bijzondere categorieën van persoonsgegevens” hebben of vallen onder “stelselmatige en grootschalige monitoring”

Voorbeeld: gebruik beeldmateriaal leerlingen Toestemming is altijd nodig (dus niet: wie zwijgt stemt toe) Toestemming: 1. Vrijwillig gegeven toestemming (niet onder druk, niet in de voorwaarden, niet in het inschrijfformulier) 2. Specifieke toestemming voor een doel: waar geef je toestemming voor, ook wel gelaagde toestemming) 3. Toestemming mag altijd ingetrokken worden Foto’s delen en opslaan: beveiligd! Vanaf 25 mei 2018: toestemming moet je aantonen Niet per foto, maar jaarlijks… (of: jaarlijks nadrukkelijk aandacht geven aan de gegeven toestemming) TIP: model verklaring in de Aanpak IBP

Functionaris voor gegevensbescherming Functie (aanwijzing door bestuurder), mag extern zijn Onafhankelijke interne toezichthouder Gevraagd en ongevraagd advies Betrokken bij risico-inventarisatie, dataregister, DPIA Gesprekspartner bevoegd gezag Werk slim, werk samen! Regel samen een FG, of doe dit via het samenwerkingsverband

Stap 3: communiceren Betrek medewerkers: vertel wat informatiebeveiliging en privacy zijn: Voorbeeld presenstatie bewustwording Online training IBP voor medewerkers Betrek leerlingen: 21e eeuwse vaardigheden zoals digitale geletterdheid (basis ict-vaardigheden) Betrek en informeer de ouders en (G)MR: hoe vertel je het de ouders?

Zes keer zorgvuldig Gebruik zorgvuldig: vergrendel je scherm Deel zorgvuldig: eerst denken dan delen (en dan niet gewoon per mail) Surf zorgvuldig: klik niet klakkeloos Beveilig zorgvuldig: wachtwoord is persoonlijk Verbind zorgvuldig: check veilige verbinding Sla zorgvuldig op: encryptie en geen USB-sticks

Goede voorbereiding… is het halve werk! Een marathon loop je niet in één keer… Je schrijft je niet in op 24 mei voor een marathon op 25 mei Je hebt training nodig en goede voeding Goede voeding: Aanpak IBP Trainen moet je echt zélf doen – maar werk samen waar mogelijk! Als je vantevoren weet dat een marathon niet gaat lukken, schrijf je dan in voor de van dam-tot-dam loop Maak een planning!

Dus… Ga aan de slag: niet bang maar bewust! Leg vast wat je doet, wat moet (beleid), en wat je gaat doen (planning) Overleg met de (G)MR/OR en vraag om instemming met het beleid! Wijs medewerkers aan die IBP gaan regelen (IBP-team) Risico-inventarisatie: wat zijn je risico’s, neem daarvoor maatregelen Welke gegevens zitten met wel doel in welke systemen (dataregister) Denk (pas later) aan een FG Op 25 mei niet klaar… niet erg?

Passend onderwijs… heel bijzonder?!

Bijzondere persoonsgegevens: nee tenzij Artikel 16 Wbp: De verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging is verboden (…) Art. 18a lid 13 Wet primair onderwijs en art. 17a lid 15 Wet voortgezet onderwijs: Het samenwerkingsverband is bevoegd zonder toestemming van degene die het betreft persoonsgegevens betreffende iemands gezondheid (…) te verwerken met betrekking tot leerlingen, voor zover dit noodzakelijk is voor de uitoefening van de taken: toewijzen van ondersteuningsmiddelen -voorzieningen aan de scholen beoordelen of leerlingen aangewezen zijn op het lwoo, PRO of voortgezet speciaal onderwijs, op verzoek van het bevoegd gezag van een school adviseren over de ondersteuningsbehoefte van een leerling MF: laten !!

BSN: nee, tenzij… Artikel 24 lid 1 Wbp: Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt (…) slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald. Voor het samenwerkingsverband is niet geregeld dat het BSN of PGN gebruikt mag worden. Ze mogen het ‘hebben’… … maar niet gebruiken. Ook niet voor de TLV! De school die de TLV ontvangt moet het BSN invullen in de model-TLV van DUO MF: laten ! En misschien uitbreiden dat school school overdracht OKR wel PGN? Voor het samenwerkingsverband is niet geregeld dat het BSN of PGN gebruikt Mag worden. > zin aanpassen BSN of Onderwijsnummer (= PGN) gebruikt mag worden

Niet meer gegevens dan nodig… Scholen zijn geneigd alles op te slaan, en daarna (jaren later!) uit te wisselen met een opvolgende school… Daarom: dataminimalisatie! Niet meer dan strikt noodzakelijk Zorg voor een aparte bijlage (handelingsgerichte adviezen) voor de school. De school hoeft dan het niet het ‘hele rapport’ te hebben maar alleen wat voor hen relevant is MF: laten !

Digitale privacy tool: procesplaten MF: laten ! Aangeven dat organisaties handen in een geslagen om een tool te maken ter ondersteuning van alle betrokkenen bij passend onderwijs en dat na de koffie we naar de tool zelf gaan kijken > brug naar presentatie Mike Proces verkennings- en onderzoeksfase https://www.passendonderwijsenprivacy.nl/

Digitale tool passend onderwijs en privacy: geschiedenis In 2016: veel vragen bij de helpdesk van het steunpunt: swv-en, scholen en professionals belast met onderzoek Gesprekken met het veld (welke vragen, ondersteuningsbehoefte) In 2017: sectorraden, OCW, Kennisnet, NVO, NIP en juridisch experts ontwikkelen ondersteuningtool passend onderwijs en privacy 2017: het inrichten van de tool, testfase en lancering https://www.passendonderwijsenprivacy.nl/

Digitale tool passend onderwijs en privacy: doelstellingen Behandeling privacy aspecten op basis van de meest voorkomende werkprocessen ihkv passend onderwijs: checklist per onderwerp Vertaling wet- en regelgeving richting de praktijk Adviezen op basis van de vijf vuistregels Gemeenschappelijke taal en doorverwijzingen Los te gebruiken, maar inbedden in eigen website ook mogelijk https://www.passendonderwijsenprivacy.nl/

https://www.passendonderwijsenprivacy.nl/ Uitgangspunten Niet meer informatie delen dan nodig (minimalisatie / wettelijke taak) Focus op handeling niet de diagnose (uitvoering taak/ grondslag) Tijdige betrokkenheid ouders/ leerlingen en transparantie Rollen en taken deskundigen (beroepscode en wettelijke taak Uitwisseling gegevens (externe partijen en binnen het swv) (oa dataintegriteit) https://www.passendonderwijsenprivacy.nl/

Opbouw tool (1) https://www.passendonderwijsenprivacy.nl/

Opbouw tool (2): Opbouw vervolg- routes

In de digitale tool: Startscherm & Zoekfunctie >> gezichtspunt: School/ swv >> Externe partners

Voorbeeld 1 - vraag Waaraan moet een toestemmings-verklaring van ouders aan voldoen?

Voorbeeld 2 – proces Een andere reguliere school voor de leerling

Tool is online, maar in ontwikkeling We evalueren we de opbouw en de teksten: feedback nodig! Begin 2018 zijn we gestart met het inrichten van een extra proces rond ‘thuiszitters’ Nieuwe vragen én antwoorden: tool wordt doorontwikkeld Meld je aan bij de tool en wordt op de hoogte gehouden! https://www.passendonderwijsenprivacy.nl/

Schoolbestuur en swv passend onderwijs Schoolbestuur (bevoegd gezag) verwerkt persoonsgegevens in het kader van: de organisatie of geven van onderwijs; Het leren en begeleiden van leerlingen/studenten; het verstrekken of ter beschikking stellen van leermiddelen; het bekend maken van informatie over leerlingen, deelnemers of studenten (op de eigen website); het bekend maken van informatie over de hierboven genoemde organisatie en leermiddelen; … etc

Schoolbestuur en swv passend onderwijs Samenwerkingsverband PaO (bestuur): Het samenwerkingsverband stelt zich ten doel een samenhangend geheel van ondersteuningsvoorzieningen binnen en tussen de scholen, (…) te realiseren en wel zodanig dat leerlingen een ononderbroken ontwikkelingsproces kunnen doormaken en leerlingen die extra ondersteuning behoeven een zo passend mogelijke plaats in het onderwijs krijgen. Het swv passend onderwijs is een aparte rechtspersoon, met een ander doel van de doelen van een schoolbestuur: swv passend onderwijs is voor de aan haar opgedragen taken/doelen  zelfstandig verantwoordelijke school(bestuur) ≠ swv (bestuur MF: laten !!

Uitwisseling gegevens tussen scholen (=schoolbesturen) Ieder bestuur heeft een ‘eigen’ wettelijke taak bij het leren en begeleiden van leerlingen. Dit is dus een uitwisseling tussen 2 verantwoordelijken. Er is dan geen bewerkersovereenkomst tussen de besturen nodig. Iedere cirkel is dus 1 juridische entiteit (‘de school’) waarbinnen de Wbp geregeld moet worden met eigen bewerkersovereenkomsten. Leerling levert gegevens SCHOOLBESTUUR = bevoegd gezag = verantwoordelijke OKR SCHOOLBESTUUR = verantwoordelijke locatie locatie locatie locatie locatie locatie locatie locatie LAS/LVS = bewerker UITGEVER = bewerker LAS/LVS = bewerker UITGEVER = bewerker bijv. UWLR dit wordt opgenomen in opdracht van bestuur aan uitgever (=bewerkersovereenkomst) = 1 bewerkersovereenkomst, plus bijsluiter en Techn. org. bijlage Uitwisseling tussen LASen, bijv via OSO

Passend onderwijs: scholen schoolbestuur aangesloten bij swv Uitwisselingen gegevens (bv. aanvraag TLV/LWOO en advies) tussen schoolbestuur en swv. Schoolbestuur én swv PaO hebben ieder een eigen wettelijke taak dus er is geen bewerkersovereenkomst tussen 2 verantwoordelijken nodig/mogelijk: ‘de wet regelt de uitwisseling’. Wel afspraken over beveiliging. SCHOOL-BESTUUR = verantwoordelijke (1 entiteit) Aanvraag Samenwerkingsverband = verantwoordelijke (in wet genoemd: dus swv heeft eigen wettelijke taak, bepaalt zelf eigen doel en middelen gegevensverwerking) SCHOOL-BESTUUR = verant-woordelijke (1 entiteit) LAS/LVS (=bewerker) zorgdossier SCHOOL-BESTUUR = verant-woordelijke (1 entiteit) TLV etc. swv heeft een eigen systeem voor administratie Aanvraag ipv aanmelding SCHOOL-BESTUUR = verant-woordelijke (1 entiteit) advies Administratie-systeem = bewerker ondersteuning De cirkels staan voor dezelfde kringen van verantwoordelijken zoals weergegeven in het eerdere plaatje Uitwisseling tussen systemen. Géén aparte bewerkersovereenkomst voor nodig!

Wanneer je school is aangesloten op OSO, kan je OSO-dossiers (OKR) uitwisselen met andere scholen of Samenwerkingsverbanden Passend Onderwijs (SWV PaO) Privacy geborgd: OSO werkt volgens wettelijke richtlijnen. Met OSO weet je zeker dat je alleen wettelijk toegestane informatie doorstuurt.  Veilige overdracht: OSO zorgt ervoor dat een OSO-dossier alleen via een beveiligde verbinding tussen de juiste scholen/systemen wordt overgedragen.  Vrijwel alle scholen (en de administratiesystemen die zij gebruiken) zijn aangesloten op OSO. Voor de overdracht van het OKR tussen scholen is OSO de landelijke standaard (en de enige mogelijkheid voor digitale overdracht).

Voor vragen of meer informatie : www.overstapserviceonderwijs.nl OSO is heel bekend bij scholen voor de overdracht van het OKR wanneer een leerling overstapt naar een andere school.  Ook voor overstap naar speciaal onderwijs. Het gebruik van OSO voor overdracht van het OKR naar het SWV PaO is voor de scholen nog nieuw. VO scholen die in een gezamenlijke administratiesysteem samenwerken met hun SWV PaO kunnen OSO gebruiken. Voor PO scholen komt deze nieuwe overdracht later beschikbaar. Voor vragen of meer informatie : www.overstapserviceonderwijs.nl

Veilige overdracht naar SWV

Bedankt voor de aandacht! Aanpak IBP: kn.nu/IBPonderwijs Privacytool: www.passendonderwijsenprivacy.nl