Door Harry Dubois
(Hoofd ICT Corderius College Amersfoort en redacteur COS)

 

Over AVG (Algemene verordening gegevensbescherming) is al heel wat informatie beschikbaar gekomen nadat deze vanaf 28 mei 2018 van kracht is geworden. Maar hoe dit in de schoolpraktijk van alledag uitpakt, daar lees je minder over. Vandaar dit artikel over hoe ze dit bij op mijn school, het Corderius College in Amersfoort, hebben opgepakt.

Even opfrissen, wat is de AVG ook alweer?

De AVG gaat over de privacywetgeving die voor heel de EU van kracht is. Bij ons heet het AVG, de Engelse term hiervoor is GDPR (General Data Protection Regulation). In het kort gezegd: de AVG zorgt voor een uniform beleid op het gebied van gegevensbescherming en geldt voor alle organisaties en bedrijven (dus ook scholen en ZZP-ers) binnen de EU. Belangrijk voor mensen die in de school werken, is dat je zelf verantwoordelijk bent voor de verwerking van persoonsgegevens. De AVG noemt dit ‘verantwoordingsplicht’; je moet kunnen aantonen dat je de persoonsgegevens op een veilig wijze opslaat, verwerkt en beschermt. Dat is best een regel die grote impact heeft op alle medewerkers van een schoolorganisatie. Een medewerker kan niet meer zeggen: ‘Ik heb een laptop van mijn school gekregen en ik bepaal zelf wel waar en hoe ik de data van school opsla.’ Dit is nu een gedeelde verantwoordelijkheid. Natuurlijk speelt de organisatie hier een grote rol in, maar AVG heeft ook gevolgen voor jou als docent of OOP-er.

Hoe heeft het Corderius College dit opgepakt?

Omdat ik zelf bij dit college werk, zal ik in het kort beschrijven hoe wij dat als organisatie met de AVG-regels omgaan. Het Corderius is een VO-school met een mavo-, havo- en gymnasiumafdeling. Er zitten 1800 leerlingen op de school met zo’n 180 medewerkers; 140 daarvan zijn docent. De school valt onder de Meerwegen Scholengroep, met scholen in Amersfoort, Nijkerk en Bunschoten. Vanuit de scholengroep zijn er voorafgaand aan de invoering van de AVG in mei 2018 diverse informatiebijeenkomsten geweest voor groepen medewerkers die met het verwerken van persoonsgegevens direct betrokken zijn. Denk daarbij aan mensen van de administratie, maar ook ondersteunende diensten zoals het zorgteam. Daarnaast is er op het personeelsportaal van de scholengroep informatie beschikbaar zoals een privacyreglement en protocol voor het gebruik van ICT, e-mail, internet, en sociale media. In de school zelf zijn posters verspreid en de medewerkers zijn middels een document geïnformeerd over het nieuwe Veilig Werken en de consequenties voor de medewerker en zijn/haar device.

Veilig Werken met privacy

In de ICT-commissie van de school is een notitie besproken over het veilig werken. In deze notitie zijn 9 stappen beschreven om het privacyrisico te verlagen. Zo staat er in stap 2: Houd uw werkplek opgeruimd en in stap 3: Vergrendel uw PC. Werkmail mag alleen nog maar via de beveiligde omgeving van Office 365 verstuurd worden; USB-sticks zijn uit den boze. Naast deze 9 stappen worden er in dit document ook tips gegeven om veiliger te werken. Denk daarbij aan het versleuteld versturen van mail en bestanden, maar wees ook alert op vage mails en bijlagen.

Concrete stappen voor op school

Naast deze eindgebruikersinformatie zijn alle computers onderhanden genomen. De laptops en vaste computers zijn opnieuw geïnstalleerd, en voorzien van de laatste softwareupdates. Bovendien is het beheer weer in handen gekomen van systeembeheer en zijn de apparaten in een MDM geplaatst (Mobile Device Management). Wij gebruiken op school daarvoor Intune, omdat de school al Office 365 gebruikt. Deze MDM controleert of een device voldoet aan specificaties die door de school zijn opgesteld. Denk daarbij aan het versleutelen van de harde schijf of het automatisch vergrendelen van de computer na een aantal minuten van inactiviteit.

Gebruiker en AVG

Naast het onder beheer brengen van het device van de gebruiker, zijn we bezig met gebruikers (lees docenten en ondersteunend personeel) te trainen met het labelen van documenten. In hun Office-documenten zijn labels zichtbaar die gekozen kunnen worden om data te labelen en te versleutelen. Ook hier wordt gebruik gemaakt van de technologie van Microsoft en heet Azure Information Protection.

Tenslotte

Veilig werken gaat verder dan alleen wat technische maatregelen; het is vooral het creëren van een bepaalde ‘mindset’ bij gebruikers. Dat vereist ook alertheid inzake gebruik van apparatuur, maar zeker van bewaren en bewerken van documenten en privacygevoelige gegevens. Dus vooral bewustwording speelt hier een grote rol. Zo liep deze week een leerling met de laptop van zijn docent binnen bij onze afdeling systeembeheer. Of we een programma konden installeren. De laptop zelf was niet vergrendeld en gelukkig was het dit keer een hele brave leerling...

Meer informatie vind je hier.

De nieuwste artikelen wekelijks in je mail? MELD JE AAN voor de PrimaOnderwijs nieuwsbrief.

 

Reacties niet mogelijk

LEES MEER OVER

Onderwijsnieuws

Gerelateerde artikelen

Blijf op de hoogte

Meld je aan voor de PrimaOnderwijs nieuwsbrief

PrimaOnderwijs nieuwsbrief

Ontvang één keer per week de nieuwste artikelen van PrimaOnderwijs in je mail!



Privacy Statement is van toepassing

PrimaOnderwijs.nl maakt gebruik van cookies

Wij vragen uw akkoord voor het gebruik van cookies op onze website. Sommige cookies plaatsen we altijd om de website goed te laten werken. Ook plaatsen we altijd een cookie om volledig anoniem het gebruik van onze website te analyseren. Onze website maakt van meer cookies gebruik die niet noodzakelijk zijn, maar wel nuttig. Zodat u bijvoorbeeld berichten kunt delen op social media. Door op 'Akkoord' te klikken ga je akkoord met het plaatsen van deze cookies. Meer informatie is beschikbaar in ons cookiebeleid.

OK Toestaan Weigeren Lees voor meer informatie onze privacyverklaring privacy » Privacy- en cookiebeleid Dit veld is niet ingevuld De ingevulde tekst is te kort De ingevulde tekst is te lang