U bent hier

Datalek en de schade wordt op ú verhaald

Inkoop
PO | VO | MBO | HBO | WO

Persoonsgegevens van uw leerlingen en personeel komen op straat te liggen omdat het systeem waarin u die opslaat is gehackt. Misschien is het datalek bij de leverancier ontstaan, misschien veroorzaakt door een leerling (want ja, dat gebeurt!). Hoe dan ook: betrokkenen kunnen de schade op ú verhalen. Maak afspraken over de beveiliging van uw gegevens.

Steeds vaker maakt het onderwijs gebruik van digitale (leer)middelen. Er worden contracten gesloten met leveranciers van allerlei programma’s die via apps gebruikt kunnen worden. En we maken gebruik van digitale hulpmiddelen waarbij gegevens in een cloud worden opgeslagen, bijvoorbeeld roostersystemen, afspraken tussen ouders en docenten (ouderportalen), leerresultaten en toetsen. Digitale leermiddelen brengen nieuwe mogelijkheden met zich en zorgen voor meer efficiëntie. 

Onderwijsinstelling verantwoordelijk bij datalek

Helaas gaat deze digitalisering niet zonder verlies van privacy. Een onderwijsinstelling beschikt over veel persoonsgegevens van haar leerlingen en personeel. Zij is ‘verantwoordelijke’ in de zin van de Wet bescherming persoonsgegevens (Wbp). 

Dit houdt onder andere in dat zij de persoonsgegevens moet beveiligen tegen verlies en onrechtmatige verwerking. Én dat de onderwijsinstelling  verantwoordelijk wordt beschouwd als er een datalek ontstaat, bijvoorbeeld doordat de cloud is gehackt, waarbij persoonsgegevens plotseling elders opduiken. 

Een datalek dat waarschijnlijk ongunstige gevolgen heeft voor de levenssfeer van degenen van wie de persoonsgegevens zijn gelekt (de betrokkenen) moet door de onderwijsinstelling, behalve bij de Autoriteit Persoonsgegevens ook gemeld worden aan deze betrokkenen. 

Schade verhalen bij de onderwijsinstelling

De betrokkenen kunnen de schade die zij hierdoor lijden op de onderwijsinstelling verhalen. Dit geldt ook als het datalek bij de bewerker van de persoonsgegevens (de contractspartij bij het leveren van digitale leermiddelen) is ontstaan. Wellicht dat de onderwijsinstelling op grond van het niet nakomen van de beveiligingsafspraken die met deze contractspartij zijn gemaakt, wel haar schade op deze partij kan verhalen. 

Maak afspraken over de beveiliging

Dit betekent dat de onderwijsinstelling niet zomaar blind kan varen op de beveiligingsmaatregelen die de leverancier van de digitale middelen treft. Er moeten goede afspraken worden gemaakt over het beveiligingsniveau, het aanscherpen hiervan en over de soort persoonsgegevens die bewerkt worden en de wijze waarop deze door de leverancier worden bewerkt. 

De leverancier dient goed aan te geven welke maatregelen hij heeft genomen om de persoonsgegevens optimaal te beveiligen en beveiligd te houden. Het is bijvoorbeeld belangrijk te weten of de persoonsgegevens versleuteld worden. 

Gebruik de modelovereenkomst van de sectorraden

Deze afspraken moeten worden vastgelegd in een bewerkersovereenkomst. De PO-raad, VO-Raad en branchevertegenwoordigers van educatieve uitgeverijen, distributeurs van leermiddelen en digitale dienstverleners in het onderwijs-ict hebben een model bewerkersovereenkomst opgesteld. Het blijkt echter dat diverse dienstverleners toch hun eigen model aan een onderwijsinstelling ter ondertekening aan blijven bieden, hetzij omdat zij zelf al veel tijd hebben gestoken in het opstellen van zo’n model met behulp van hun eigen juristen, hetzij omdat zij niet zijn aangesloten bij de branchevertegenwoordiger. 

Vaak blijken deze eigen modellen nadeliger te zijn dan het model van de sectorraden. Zo gebeurt het dat:

  • alle verantwoordelijkheden van de dienstverlener als een ‘inspanningsverplichting’ omschreven worden en die van de onderwijsinstelling als een ‘resultaatsverplichting’;
  • de dienstverlener het recht behoudt om de data te gebruiken voor de eigen bedrijfsvoering of voor commerciële benadering van leerlingen of ouders;
  • dienstverleners de mogelijkheid voor de onderwijsinstelling om een audit te laten uitvoeren uitsluiten;
  • niet omschreven wordt hoe de persoonsgegevens worden verwerkt, welke veiligheidsmaatregelen zijn getroffen en hoe gehandeld wordt wanneer sprake is van een beveiligingsincident. 

Deze stappen zijn noodzakelijk

Welke stappen zijn in het kader van de bescherming van persoonsgegevens in ieder geval nodig bij het gebruik van digitale (leer)middelen?

  • Er moet met iedere contractant, die een bewerker van de van de onderwijsinstelling verkregen persoonsgegevens is, een bewerkersovereenkomst zijn of worden gesloten. 
  • De inhoud van deze overeenkomst moet kritisch worden nagelopen en de onderwijsinstelling moet zelf kritisch nagaan welke persoonsgegevens zij hierbij gebruikt/laat gebruiken, in hoeverre de persoonsgegevens versleuteld kunnen worden en voor welke doeleinden de persoonsgegevens worden gebruikt. 
  • Het beveiligingsniveau moet adequaat zijn en goed worden omschreven en ook hoe er wordt gehandeld als er desondanks een beveiligingsincident plaatsvindt.

Zesdegroeper hackt het systeem

Helaas kan volkomen veiligheid van persoonsgegevens in de digitale wereld niet 100% gegarandeerd worden. Telkens blijkt het toch weer mogelijk een gat in de beveiliging te schieten. Er is ons een geval bekend van een leerling uit groep 6 die met weinig moeite zich toegang had verschaft tot het vertrouwelijke deel van de data- en documentenopslag van de school, en was gaan “spelen” met de uitkomsten voor zijn klasgenoten van een digitaal onderwijsprogramma. De school had zich via de softwareleverancier volgens alle protocollen beveiligd tegen ‘hacken’…

Pseudonimiseren 

Ook de overheid denkt na over de vraag hoe de persoonsgegevens in het onderwijs verder beveiligd kunnen worden. Onlangs heeft de minister van OCW een wetsvoorstel ingediend over het pseudonimiseren van leerling- of deelnemergegevens voor de toegang tot en het gebruik van digitale leermiddelen. 

Het pseudoniem maakt dataminimalisatie mogelijk. Onderwijsinstellingen hoeven alleen die gegevens uit te wisselen die nodig zijn voor een gebruiksvriendelijke inzet van digitale leermiddelen. Te denken valt aan een voornaam, zodat leerlingen die werken in een digitale leeromgeving die niet in de onderwijsinstelling zelf staat, aangesproken kunnen worden met hun voornaam. 

Nummer als pseudoniem 

Voorgesteld wordt om in de sectorwetgeving op te nemen dat het bevoegd gezag het persoonsgebonden nummer van een leerling kan gebruiken als zijn of haar een pseudoniem. Dit pseudoniem kan dan worden gebruikt voor de toegang tot en het gebruik van digitale leermiddelen. 

Omdat het gebruik van persoonsnummers extra risico’s met zich kan brengen voor de bescherming van de persoonlijke levenssfeer, is in artikel 24 Wbp bepaald dat de verwerking van persoonsnummers voor andere doeleinden dan de uitvoering van de betreffende wet alleen mogelijk is voor zover dat bij de wet is bepaald. 

Daarom is het nodig dat de onderwijswetten worden veranderd voordat een onderwijsinstelling de persoonsgebonden nummers van de leerlingen kan gebruiken om voor de leerling toegang en het gebruik van digitale leermiddelen te creëren. Het is nu wachten tot het wetsvoorstel wordt aangenomen.

Hebt u vragen naar aanleiding van dit bericht? Neem dan contact op met advocaat Elise Visser