AVG in de dagelijkse schoolpraktijk

Door Harry Dubois
(Hoofd ICT Corderius College Amersfoort en redacteur COS)

 

Over AVG (Algemene verordening gegevensbescherming) is al heel wat informatie beschikbaar gekomen nadat deze vanaf 28 mei 2018 van kracht is geworden. Maar hoe dit in de schoolpraktijk van alledag uitpakt, daar lees je minder over. Vandaar dit artikel over hoe ze dit bij op mijn school, het Corderius College in Amersfoort, hebben opgepakt.

Even opfrissen, wat is de AVG ook alweer?

De AVG gaat over de privacywetgeving die voor heel de EU van kracht is. Bij ons heet het AVG, de Engelse term hiervoor is GDPR (General Data Protection Regulation). In het kort gezegd: de AVG zorgt voor een uniform beleid op het gebied van gegevensbescherming en geldt voor alle organisaties en bedrijven (dus ook scholen en ZZP-ers) binnen de EU. Belangrijk voor mensen die in de school werken, is dat je zelf verantwoordelijk bent voor de verwerking van persoonsgegevens. De AVG noemt dit ‘verantwoordingsplicht’; je moet kunnen aantonen dat je de persoonsgegevens op een veilig wijze opslaat, verwerkt en beschermt. Dat is best een regel die grote impact heeft op alle medewerkers van een schoolorganisatie. Een medewerker kan niet meer zeggen: ‘Ik heb een laptop van mijn school gekregen en ik bepaal zelf wel waar en hoe ik de data van school opsla.’ Dit is nu een gedeelde verantwoordelijkheid. Natuurlijk speelt de organisatie hier een grote rol in, maar AVG heeft ook gevolgen voor jou als docent of OOP-er.

Hoe heeft het Corderius College dit opgepakt?

Omdat ik zelf bij dit college werk, zal ik in het kort beschrijven hoe wij dat als organisatie met de AVG-regels omgaan. Het Corderius is een VO-school met een mavo-, havo- en gymnasiumafdeling. Er zitten 1800 leerlingen op de school met zo’n 180 medewerkers; 140 daarvan zijn docent. De school valt onder de Meerwegen Scholengroep, met scholen in Amersfoort, Nijkerk en Bunschoten. Vanuit de scholengroep zijn er voorafgaand aan de invoering van de AVG in mei 2018 diverse informatiebijeenkomsten geweest voor groepen medewerkers die met het verwerken van persoonsgegevens direct betrokken zijn. Denk daarbij aan mensen van de administratie, maar ook ondersteunende diensten zoals het zorgteam. Daarnaast is er op het personeelsportaal van de scholengroep informatie beschikbaar zoals een privacyreglement en protocol voor het gebruik van ICT, e-mail, internet, en sociale media. In de school zelf zijn posters verspreid en de medewerkers zijn middels een document geïnformeerd over het nieuwe Veilig Werken en de consequenties voor de medewerker en zijn/haar device.

Veilig Werken met privacy

In de ICT-commissie van de school is een notitie besproken over het veilig werken. In deze notitie zijn 9 stappen beschreven om het privacyrisico te verlagen. Zo staat er in stap 2: Houd uw werkplek opgeruimd en in stap 3: Vergrendel uw PC. Werkmail mag alleen nog maar via de beveiligde omgeving van Office 365 verstuurd worden; USB-sticks zijn uit den boze. Naast deze 9 stappen worden er in dit document ook tips gegeven om veiliger te werken. Denk daarbij aan het versleuteld versturen van mail en bestanden, maar wees ook alert op vage mails en bijlagen.

Concrete stappen voor op school

Naast deze eindgebruikersinformatie zijn alle computers onderhanden genomen. De laptops en vaste computers zijn opnieuw geïnstalleerd, en voorzien van de laatste softwareupdates. Bovendien is het beheer weer in handen gekomen van systeembeheer en zijn de apparaten in een MDM geplaatst (Mobile Device Management). Wij gebruiken op school daarvoor Intune, omdat de school al Office 365 gebruikt. Deze MDM controleert of een device voldoet aan specificaties die door de school zijn opgesteld. Denk daarbij aan het versleutelen van de harde schijf of het automatisch vergrendelen van de computer na een aantal minuten van inactiviteit.

Gebruiker en AVG

Naast het onder beheer brengen van het device van de gebruiker, zijn we bezig met gebruikers (lees docenten en ondersteunend personeel) te trainen met het labelen van documenten. In hun Office-documenten zijn labels zichtbaar die gekozen kunnen worden om data te labelen en te versleutelen. Ook hier wordt gebruik gemaakt van de technologie van Microsoft en heet Azure Information Protection.

Tenslotte

Veilig werken gaat verder dan alleen wat technische maatregelen; het is vooral het creëren van een bepaalde ‘mindset’ bij gebruikers. Dat vereist ook alertheid inzake gebruik van apparatuur, maar zeker van bewaren en bewerken van documenten en privacygevoelige gegevens. Dus vooral bewustwording speelt hier een grote rol. Zo liep deze week een leerling met de laptop van zijn docent binnen bij onze afdeling systeembeheer. Of we een programma konden installeren. De laptop zelf was niet vergrendeld en gelukkig was het dit keer een hele brave leerling...

Meer informatie vind je hier.


Reacties niet mogelijk

Blijf op de hoogte

Meld je aan voor de PrimaOnderwijs nieuwsbrief

Nieuwsbrief
Controle Dit veld is niet juist ingevuld