AP waarschuwt voor privacyrisico’s in het onderwijs - het onderwijs is aan zet

Dec 2, 2021 12:00:00 AM | AP waarschuwt voor privacyrisico’s in het onderwijs - het onderwijs is aan zet

Begin november 2021 heeft de Autoriteit Persoonsgegevens (AP) een paper gepubliceerd waarin zij waarschuwt voor privacyrisico’s in het onderwijs. Volgens de AP digitaliseert het onderwijs, wat veel kansen maar ook risico’s met zich meebrengt. Hoewel de Algemene Verordening Gegevensbescherming (AVG) inmiddels zo’n 3 jaar geleden in werking is getreden, worstelen veel onderwijsinstellingen met het naleven van de AVG. Dat onderwijsinstellingen steeds verder digitaliseren maakt het voldoen aan de privacyregelgeving alleen maar ingewikkelder. Onderwijsinstellingen creëren bijvoorbeeld steeds meer datastromen met (gevoelige) informatie over leerlingen en studenten. De Vereniging van scholen in het voortgezet onderwijs (VO-raad) onderstreept deze bevindingen en benadrukt dat scholen voorzichtig dienen om te gaan met de persoonsgegevens van leerlingen, studenten en hun ouders. De bescherming van persoonsgegevens van kinderen is essentieel gezien hun kwetsbare positie. Echter liggen er ook datalekken op de loer wanneer men zoveel persoonsgegevens verwerkt. Helaas zijn er de afgelopen jaren tal van voorbeelden geweest waarin dit pijnlijk duidelijk werd. 

Maar welke risico’s zijn er precies en hoe kunnen onderwijsinstellingen deze risico’s het beste aanpakken? In deze blog zullen we de verschillende risico’s in kaart brengen. Daarnaast zullen we kort bij enkele aanbevelingen stilstaan hoe deze gemitigeerd kunnen worden. 

Monitoring van leerlingen en studenten

Door de inzet van nieuwe toepassingen in het onderwijs zoals learning analytics, verwerken onderwijsinstellingen steeds meer (persoons)gegevens. Deze gegevens bevatten veel gevoelige informatie over het gedrag en de progressie van leerlingen en studenten. Aan het verwerken van dit soort gegevens zitten risico’s gebonden wegens de gevoelige aard. Misbruik ligt op de loer wanneer dit soort gegevens in de verkeerde handen vallen.  

 

Meer uitwisseling van gegevens in samenwerkingsverbanden en met (grote) leveranciers 

Afgezien van het feit dat onderwijsinstellingen méér gegevens verwerken, delen zij ook vaker gegevens met elkaar door het sluiten van samenwerkingsverbanden of door het gebruik van data-informatieknooppunten zoals gedeelde servers. Met het delen van data liggen er altijd risico’s op de loer. Is de data bijvoorbeeld wel beveiligd verstuurd en is het duidelijk hoe de ontvanger met de gegevens omgaat? Voordat de (persoons)gegevens gedeeld worden, is het essentieel dat hier duidelijke afspraken over gemaakt worden. 

Naast het onderling uitwisselen van gegevens, delen onderwijsinstellingen ook vaker (persoons)gegevens met grote leveranciers die zich veelal buiten Nederland en Europa bevinden en een zekere machtspositie hebben. Door de organisatorische en technische complexiteit van dit soort leveranciers ontstaat het risico dat onderwijsinstellingen niet meer weten waar hun (persoons)gegevens opgeslagen liggen, met als gevolg dat zij er geen passend beveiligingsbeleid op kunnen toepassen. Tevens is door deze ontwikkeling ook het dataminimalisatiebeginsel in het geding; onderwijsinstellingen kunnen immers niet goed toetsen of ze slechts strikt noodzakelijke persoonsgegevens delen of ook andere soorten (persoons)gegevens. 

 

Datalekken: facts & figures

Nederland staat in de top 3 van Europese landen waar de meeste datalekken worden gemeld, met in 2020 zo’n 23.976 meldingen, waarvan 4% in het onderwijs. De grootste oorzaak van datalekken ligt nog steeds bij menselijk handelen. Net als in de afgelopen jaren ontstaan de meeste datalekken (66%) door het versturen van persoonsgegevens naar de verkeerde ontvanger, vaak per e-mail. Naast verkeerd verstuurde berichten zijn datalekken als gevolg van hacking, malware en phishing in opmars met zo’n 1173 meldingen in 2020. Een stijging van zo’n 30% ten opzichte van 2019, waarvan 11% van al deze meldingen uit het onderwijs.

 

Aanbevelingen AP

Om onderwijsinstellingen beter tegen datalekken te bewapenen en te adviseren hoe zij hun gegevens het beste kunnen beschermen, is de AP met enkele aanbevelingen gekomen. Zie hieronder de aanbevelingen in het kort: (klik hier voor de uitgebreide aanbevelingen.)

1. Breng de basis op orde 

  • Verhoog kennis en bewustzijn in alle lagen van het onderwijs
  • Houd documentatie up-to-date en voldoe aan de verantwoordingsplicht
  • Richt governance in en versterk de rol van de FG

2. Versterk samen de positie van de onderwijssector in de digitale maatschappij 

  • Breng proactief risico’s van grote digitaliseringsthema’s in kaart 
  • Verbeter de positie van de sector tegenover grote leveranciers 
  • Zoek (verdere) samenwerking in de sector op

Doordat er steeds meer persoonsgegevens verzameld en gedeeld worden en criminele organisaties steeds geraffineerder te werk gaan, wordt de kans op datalekken met een hoge impact groter. In de komende webinar op 14 december zullen Annemarie Vervoordeldonk en Allard Koers namens PrivacyPerfect bespreken wat onderwijsinstellingen kunnen doen om hun persoonsgegevens beter te beveiligen en hoe zij datalekken kunnen voorkomen. Daarnaast leggen zij ook uit hoe PrivacyPerfect hier een waardevolle rol in kan spelen.  Nieuwsgierig geworden? Meld je dan nu aan! Dat kan via onze website of door op deze link te klikken. We zien jullie daar! 

 

Bronnen: 

VO-raad onderstreept bevindingen Autoriteit Persoonsgegevens: 'Bescherming persoonsgegevens in het onderwijs essentieel' - VO-raad 

rapportage_datalekken_2020.pdf (autoriteitpersoonsgegevens.nl)

paper_autoriteit_persoonsgegevens_digitalisering_in_het_onderwijs_2021.pdf (autoriteitpersoonsgegevens.nl)