privacy

De Student Centraal – Door een sterke informatiepositie

Toegegeven, er zijn meer manieren om een student centraal te zetten, maar vandaag sprak ik over de informatiepositie van een student. Wat mij betreft ga ik hier vaker op door in volgende blogs. Zelfsoevereiniteit is voor mij een filosofietje achter privacy en de term informatiepositie helpt om op een bepaalde manier naar persoonsgegevens te kijken.

Vandaar dat ik het leuk vond om namens saMBO-ICT een presentatie te geven op het DUO MBO Congres 2018. Inhoudelijk was het een vervolg op de CVI presentaties over BlockChain. Maar ik kan nu eenmaal niet 2 maanden later exact dezelfde presentatie geven, aangezien ik ondertussen weer nieuwe dingen ontdek en leer. ūüėČ

De presentatie is hier te vinden.

Privacy, ook uw zaak

Vandaag ben ik op het¬†DUO MBO¬†congres en in de 3de ronde “Privacy, ook uw zaak” neemt Leida Berndt ons mee in de gegevensleveringen DUO. Als spin in het web, wisselen ze natuurlijk ontzettend veel persoonsgegevens uit voor BRON, lerarengister, diplomaregister etc. Tijd voor een update.

Het doel van de uitwisseling is bekostiging mogelijk maken, de beleidscyclus ondersteunen, processen voor externe uitvoering (inspectie, belastingdienst, RVO, SVB etc.) mogelijk maken en het doen van onderzoek.

Lijkt vanzelfsprekend maar het is goed dat DUO ook vertelt welke wettelijke grondslag ze hebben: onder andere Wet op Onderwijstoezicht, Wet op HO/WO, WEB. Om de komst van AVG goed voor te bereiden heeft DUO alle registraties en uitwisselingen gescreend op die grondslagen. Verder is er een afdeling ‘Gegevensmanagement’ gekomen met aandacht voor doelmatigheid, beveiliging, bewaartermijnen, schonen/vernietigen en een dataregister natuurlijk etc.

Peter Vermeijs van de MBO Raad vervolgt met doorleveringen BRON. De scholen hebben een wettelijke verplichting gegevens te leveren en deze zijn vanzelfsprekend niet openbaar. We moeten dit de studenten wel vertellen (bijvoorbeeld in de onderwijsovereenkomst, de website of het privacy-handboek).

Als school heb je per 25 mei minimaal nodig: privacybeleid, beleid informatiebeveiliging, protocol datalekken, een overzicht van de verwerkingen, verwerkersovereenkomsten en procedures voor het uitoefenen van je recht als betrokkene. Zelf hebben we veel aan de handreikingen gehad van het IBP netwerk.

Er komen veel voorbeelden van ‘privacy-fijnslijperij’ voorbij. Waarom een geboorteplaats wel op de onderwijsovereenkomst en niet op de praktijkovereenkomst staat bijvoorbeeld. De verwachting is dat dit soort details de komende jaren nog verder uitzuiveren. Onder juristen, accountants, scholen en inspectie verschillen de meningen ook nog eens welke inzage er nodig is. ūüėČ

 

Wat moet ik regelen in de cloud? #samboict

Arnoud Engelfriet sluit de 29ste saMBO-ICT Conferentie af. Ik ben blij hem eindelijk een keer live te horen, als fan van zijn blog.

Cloud is verschillende dingen volgens hem, maar eenvoudig gezegd is het eigenlijk een grote vorm van uitbesteding. Kan ik een stukje harde schijf bij je huren? Als het ware. Arnoud Engelfriet neemt ons mee in de stappen waar je aan moet denken:

  • Over huur heb je heel veel regels. Daarnaast is er sprake van een zekere onderhandeling. Bij cloud-diensten ontbreekt dit vaak. Je kunt akkoord gaan of niet. Vraag je af wat je hier van vindt.
  • Kun je bij de voorwaarden? Lees deze kritisch.
  • Is er een dienstovereenkomst? Probeer je verwachtingen hieraan te spiegelen. Wat wil je afspreken en waar wil je de ander op afrekenen?
  • Van wie is de data bij opslag in de cloud? In zijn algemeenheid is data van niemand. Juridisch gesproken kan er geen eigenaar zijn van iets dat geen fysieke zaak is. Je kunt dus niet op de wet terugvallen. Wat wel kan is goed nadenken over dit onderwerp en verwerken in je contracten.
  • Hoe zit het internationaal? Als je met persoonsgegevens wilt werken moet je kijken naar de WBP. In Europa wordt hier wel aan gesleuteld. Verder hoef je niet de hele tijd om toestemming te vragen, als het overdragen van gegevens nodig zijn in het kader van een bestaande overeenkomst. Alleen wordt dit ver opgerekt door bijvoorbeeld sociale netwerk platforms.
  • Ga je gegevens bewerken? Dan moet je een gegevensbewerkersovereenkomst hebben. Heb je of geef je inzage en wordt export van data ondersteund?
  • Zijn je gegevens adequaat beveiligd? Wat dat is, staat niet in de wet. Je moet zelf kunnen aangeven wat je adequaat vindt en waarom.
  • Als je als docent of leraar zelf acties onderneemt, door met studenten ergens op een site samen te werken met bijvoorbeeld foto’s (profielen-site), moet je oppassen. Dit soort acties doe je automatisch namens de school.
  • Als medewerkers schade aanbrengen kan een school deze dan verhalen, aangezien ze zelf aansprakelijk zijn? Alleen in grove nalatigheid. En wanneer het grof is moet je aantonen. Dat is geen harde definitie.
  • In het privacybeleid moet onder de nieuwe wet ‘duidelijke taal’ worden gebruikt.
  • Binnen het juridische is er op dit moment geen oplossing voor de situatie met onze gegevens in Amerikaanse cloud.

Ik vind Arnoud Engelfriet van @ictrecht inhoudelijk heel sterk. In eenvoudige taal en met droge kwinkslagen weet hij de vinger op, soms onoplosbare, plekken te leggen.

InformatieProducten en vertrouwelijkheid

Al een tijdje ben ik bezig met het bouwen van een InformatiePortfolio. Toen schreef ik al:

Aan elk InformatieProduct worden kenmerken toegekend zoals een code, naam, omschrijving, doel, niveau, status en frequentie. 

Ondertussen krijg ik ook te maken met “informatiebeveiligingsbeleid”, waarin een classificatie van vertrouwelijkheid staat. Vandaar dat ik deze ook als kenmerk wil meegeven aan een InformatieProduct. Deze classificatie kent drie niveaus van vertrouwelijkheid:

  • Publiek:¬†Deze informatie kent geen eisen ten aanzien van de vertrouwelijkheid en integriteit en is¬†daardoor voor iedereen binnen de instelling beschikbaar en toegankelijk.
  • Intern:¬†Dit betreft de informatie die toegankelijk mag of moet zijn voor alle medewerkers van de instelling. De eisen ten aanzien van vertrouwelijkheid en integriteit zijn¬†gering.
  • Vertrouwelijk:¬†Dit betreft informatie die alleen toegankelijk mag zijn voor een beperkte groep gebruikers.¬†De informatie wordt beschikbaar gesteld op basis van het “need to know” principe.

Verzuimmelden en privacy

Zoals beloofd zou ik nog terugkomen op het verband tussen verzuimmeldingen en privacy. Toen schreef ik al:

  • Laat de leerling en/of ouder zelf bepalen wat voor privacy niveau gewenst is.
  • Laat de school bepalen wie welke rol heeft op elk niveau.

Enkele voorbeelden van redenen van verzuim bij elk niveau:

  1. Privacy-niveau Laag: het maakt de leerling niet uit als willekeurige medewerkers de reden kennen en beoordelen. Meestal redenen zoals “De bus was te laat.”, “De wekker ging niet af.”, “De brug stond open.” etc. Voor deze gevallen kan iedereen alle 3 de rollen vervullen.
  2. Privacy-niveau¬†Middel: het maakt de leerling wel degelijk uit dat maar een beperkte groep medewerkers de reden kennen en beoordelen. Meestal redenen zoals “Ik moest naar de dokter.”, “In die les zitten leerlingen die me pesten.” etc.
  3. Privacy-niveau¬†Hoog: de leerling wil dat de reden en beoordeling heel vertrouwelijk blijft. Redenen zoals “Ik moest naar de Psychiater.”, “Ik moet naar de dokter vanwege een vriendje en mijn ouders mogen het niet weten.”

De kunst is nu om van te voren voor elk niveau de juiste betrokkenen te bepalen. Hieronder steeds weergegeven met een gekleurde smiley. Enkele voorbeelden:

  • Groen: Bijvoorbeeld balie-, receptie-, administratief medewerker, telefonist of docent in de klas.
  • Oranje: Leerlingbegeleider, mentor, coach of verzuimco√∂rdinator.
  • Rood: Vertrouwenspersoon

Enkele opmerkingen:

  • De redenen hierboven zijn een voorbeeld! Een discussie welke reden op welk niveau hoort is zinloos. Laat de leerling deze zelf bepalen!
  • De betrokkenen hierboven zijn een voorbeeld! Een discussie welke betrokkenen op welke rol zitten is zinvol. Bepaal deze als school. In het geval van onderzoeker en observant kunnen er dat meerdere zijn.
  • Maak de leerlingen hiermee bekend en corrigeer misbruik (Elke keer als de bus te laat is dit alleen tegen de vertrouwenspersoon willen vertellen of zo).