Privacy
Privacy en gegevensbescherming bij de scholen van OPOO
Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming in werking getreden. Dit is de nieuwe privacywetgeving voor de landen in de Europese Unie. Uiteraard vallen ook onze scholen onder deze wetgeving.
De scholen van het Openbaar Primair Onderwijs Oegstgeest werken op het terrein van informatiebeveiliging en privacy met de protocollen van Stichting Kennisnet. Deze zijn bewerkt, toegesneden op OPOO en voorgelegd aan de Gemeenschappelijke Medezeggenschapsraad. In de protocollen is o.a. vastgelegd:
Waarom persoonsgegevens verwerken?
Hierbij gaat het om het goed kunnen nakomen van de verplichtingen die wij als onderwijsinstelling ten opzichte van u en de leerling hebben en het nakomen van de wettelijke verplichtingen die de school heeft. Voorbeelden zijn de aanmeldgegevens, het bijhouden van de leerontwikkeling en aanwezigheid.
Welke gegevens de school verwerkt.
Wij verwerken diverse gegevens van uw kind. Het merendeel daarvan hebben we rechtstreeks - doorgaans bij aanmelding - van u gekregen.
Hoe omgaan met de gegevens?
Het uitgangspunt is dat wij niet méér gegevens verwerken dan strikt noodzakelijk is voor het uitvoeren voor onze taak als school.
Met wie gegevens delen?
Dat is, behalve met u, met de instanties aan wie we dit wettelijk verplicht zijn (denk bijvoorbeeld aan leerplicht, schoolinspectie, DUO). We delen ook gegevens met commerciële partijen als dit voor het onderwijs noodzakelijk is. Een voorbeeld hiervan zijn leveranciers van leermiddelen, de schoolfotograaf en de leverancier van ons leerlingvolgsysteem Cito. Daarbij gaat het uitsluitend om de gegevens die voor het specifieke doel nodig zijn. We delen nooit gegevens over uw kind met derde partijen voor andere doeleinden dan onderwijs.
Wijze waarop gegevens beheren en de bewaartermijnen.Uw wettelijke rechten: u heeft het recht om de gegevens van uw kind in te zien en kunt de school verzoeken om rectificatie of het wissen van gegevens.
Wat betekent dit in de praktijk?
Het omgaan met privégegevens van kinderen en ouders vraagt om bewustwording van iedereen die met deze gegevens werken: dat zijn alle medewerkers van de school. Iedere medewerker voldoet aan de volgende algemene normen voor ‘zorgvuldigheid’:
-
zij voorkomen het lekken van interne en vertrouwelijke informatie;
-
zij zorgen voor een goede fysieke en technische bescherming van bedrijfsmiddelen;
-
zij voorkomen dat beveiligingsmaatregelen moedwillig worden omzeild;
-
zij melden diefstal of verlies van bedrijfsmiddelen onmiddellijk na constatering;
-
zij leren kinderen dezelfde houding t.a.v. digitale veiligheid aan.
Computergebruik
Voor het uitoefenen van de werkzaamheden stelt OPOO aan de medewerkers computer- en netwerkfaciliteiten ter beschikking. Het gebruik van deze ict-bedrijfsmiddelen is verbonden aan deze werkzaamheden en gaat uit van de volgende afspraken.
De medewerkers
-
zorgen dat privacygevoelige gegevens niet toegankelijk zijn voor onbevoegden;
-
maken gebruik van twee staps verificatie om hun account te openen (afgedwongen door de organisatie)
-
weten welke gegevens er mogen worden gebruikt en welke ICT-voorzieningen kunnen worden ingezet bij het verrichten van de verschillende schoolwerkzaamheden. (noodzaak en veiligheid);
-
slaan (persoons)gegevens alleen op de daarvoor aangewezen systemen op, dus nooit in persoonlijke systemen;
-
versleutelen alle gegevens met betrekking tot OPOO, indien deze gegevens, om welke reden dan ook, elders opgeslagen worden;
-
delen wachtwoorden nooit, ook niet incidenteel. Wachtwoorden zijn altijd persoonlijk;
-
voorkomen dat anderen (onbedoeld) toegang kunnen krijgen tot bedrijfsmiddelen waartoe zij geen rechten hebben en/of laat gegevens niet (onbedoeld) lekken;
-
vergrendelen bij het tijdelijk verlaten van de werkplek de computer.
-
verwijderen interne en vertrouwelijke documenten van het bureau bij het voor langere tijd verlaten van de werkplek;
-
sluiten na gebruik de computer af of loggen uit.
-
voorkomen dat gevoelige en vertrouwelijke informatie zichtbaar is wanneer iemand anders op het beeldscherm (of via een beamer) mee kan kijken. Sluit het e-mail programma af en zorg voor een opgeruimd digitaal bureaublad;
-
laten geen afdrukken bij de printer liggen, zeker niet als er persoonsgegevens op staan;
-
halen overbodig geworden papieren documenten met persoonsgegevens erop altijd door de papierversnipperaar;
-
verwijderen na 2 jaar oude leerlingdossiers uit de administratie (SBO 3 jaar). Alleen de basisgegevens blijven bewaard, dit om een eventuele reünie te kunnen faciliteren. Gegevens betreffende verzuim en in- en uitschrijving moeten 5 jaar bewaard blijven.
Gebruik van eigen devices
Voor ‘eigen devices’ ligt de verantwoordelijkheid voor adequate beveiligingsmaatregelen bij de medewerker zelf. Van de medewerker wordt verwacht dat minimaal de volgende beveiligingsmaatregelen worden genomen:
-
het beveiligen van het device met een wachtwoord, of in het geval van een smartphone of tablet, met een pincode van 6 cijfers of langer of vingerafdruk;
-
er wordt alleen gebruik gemaakt van het inloggen op Chrome met het account van school op het eigen device. Zo gaan gegevens niet door elkaar lopen op het eigen device.
-
het vergrendelen van het device bij het verlaten van de werkplek (windowstoets+L);
-
dat toegang op een eigen device zo geregeld is dat anderen niet zomaar toegang kunnen krijgen tot gegevens van school. Dus geen gezamenlijke accounts op een computer en dat je telefoon door de kinderen wordt gebruikt zonder toezicht.
-
als een medewerker foto’s maakt op school, moeten deze nadat de foto’s op Drive zijn gezet, zo snel mogelijk van de gsm worden verwijderd;
-
het versleutelen van alle gegevens, anders dan persoonsgegevens, met betrekking tot OPOO als deze, om welke reden dan ook, niet op het schoolnetwerk opgeslagen worden.
-
het scheiden van (versleutelde)gegevens, anders dan persoonsgegevens, van OPOO en privégegevens van elkaar. Deze scheiding moet duidelijk herkenbaar zijn op het eigen device;
-
het up-to-date houden van software door het uitvoeren van periodieke updates en het nemen van adequate maatregelen tegen virussen of malware.
-
usb-sticks zijn niet toegestaan.
Software en digitaal lesmateriaal
Het gebruik van digitaal lesmateriaal is niet meer weg te denken bij OPOO. Dit lesmateriaal staat steeds meer online waarbij steeds vaker persoonsgegevens worden uitgewisseld. De privacywetgeving eist dat elke organisatie vooraf aan het gebruik van dergelijk materiaal bekijkt wat de invloed ervan is op de privacy, dit kan specifieke maatregelen tot gevolg hebben.
De onderstaande regels gelden voor installatie en gebruik van software en (online)digitaal lesmateriaal:
-
het installeren van software wordt bij OPOO alleen toegestaan met de juiste licenties en na het nemen van eventuele aanvullende maatregelen;
-
bij het gebruik van online software, apps en digitaal lesmateriaal, wordt gekeken of er persoonsgegevens bij verwerkt worden;
-
een verwerkersovereenkomst wordt afgesloten met elke leverancier van (online)software, die in opdracht van OPOO persoonsgegevens verwerkt.
Gebruik van e-mail
OPOO stelt een e-mailsysteem en een bijbehorende mailbox aan de medewerker ter beschikking voor het uitoefenen van de werkzaamheden. Gebruik van e-mailfaciliteiten is verbonden aan deze werkzaamheden en gaan uit van de volgende afspraken:
-
het e-mailadres wordt alleen voor school gerelateerde zaken gebruikt;
-
het versturen van e-mail moet voldoen aan de normale gedragsregels die gelden voor schriftelijke correspondentie.
Veilig online
We brengen met z’n allen steeds meer tijd online door. Hierbij worden steeds meer mobiele devices gebruikt. Menselijk (online)handelen staat veelal aan de basis van een datalek. OPOO verwacht van medewerkers dat zij:
-
het onderscheid kennen tussen veilige en onveilige netwerken (openbare wifi netwerken) en websites bij het verwerken van persoonsgegevens.
-
alleen gebruik maken van bekende én beveiligde draadloze netwerken.
Sociale media
Sociale media is een verzamelnaam voor alle internettoepassingen die het mogelijk maken om informatie met elkaar te delen op een eenvoudige en vaak leuke manier. Het gaat hierbij niet alleen om informatie in de vorm van tekst (nieuws, artikelen). Ook geluid (podcasts, muziek) en beeld (fotografie, video) worden gedeeld via social media (Instagram, YouTube, Facebook, Twitter enz). De essentie van sociale media is dat iemand er informatie deelt over zichzelf, over anderen of over een bepaald onderwerp.Voor gebruik van sociale media geldt als uitgangspunt dat het digitale gedrag op sociale media niet afwijkt van het real life gedrag binnen de school. Medewerkers zijn altijd de vertegenwoordiger van OPOO ook als zij online een privé mening verkondigen.
Bij OPOO gelden de volgende afspraken voor het gebruik van sociale media:
-
deel op verantwoorde wijze kennis via sociale media rekening houdend met de goede naam van OPOO en iedereen die hierbij betrokken is;
-
maak bij onderwijs gerelateerde onderwerpen duidelijk of publicatie op persoonlijke titel of namens OPOO gedaan wordt;
-
publiceer geen vertrouwelijke informatie op sociale media;
-
publiceer geen beeldmateriaal van leerlingen zonder de uitdrukkelijke voorafgaande aantoonbare toestemming van ouders;
-
weet dat publicaties op sociale media altijd vindbaar (openbaar) en moeilijk vernietigbaar zijn.
-
medewerkers zijn persoonlijk verantwoordelijk voor wat zij publiceren;
-
het is medewerkers niet toegestaan om met een privé account ‘vrienden’ te worden met leerlingen en ouders op sociale media;
-
chatplatforms zoals Whatsapp zijn tussen leerlingen en leerkrachten niet toegestaan.
Aanvullende afspraken rondom social media in het algemeen heeft OPOO vastgelegd in een apart social mediaprotocol.
Gebruik beeld- en geluidsmateriaal
Het gebruiken van beeld- en geluidsmateriaal, het delen van foto's, video's en geluidsfragmenten van leerlingen door medewerkers mag alleen als daar vooraf expliciet toestemming voor gegeven is door de ouders. Zonder deze toestemming mogen geen foto's, video's en geluidsfragmenten van leerlingen gebruikt worden.
-
voor de afspraken rondom het delen van beeld- en geluidsmateriaal via sociale media gelden de richtlijnen die genoemd worden bij het gebruik van sociale media;
-
we vragen eenmalig toestemming aan de ouders bij de plaatsing van de leerling en brengen aan het begin van het schooljaar onder de aandacht dat verlenen of intrekken van de toestemming op elk moment mogelijk is;
-
er wordt toestemming gevraagd voor verschillende vormen van gebruik van beeld- en geluidsmateriaal (zie toestemmingsformulier);
-
de school publiceert alleen op beveiligde websites;
Publiceren van beeldmateriaal door ouders
Wij gaan ervan uit dat ouders terughoudend zijn met het maken van foto’s en video’s en het plaatsen ervan op internet. Het maken van foto’s en video’s in de school is alleen toegestaan na toestemming van de docent en/of schoolleiding, waarbij de volgende specifieke afspraken gelden:
-
maak foto’s en video’s alleen voor eigen gebruik;
-
zet geen foto’s en video’s op publiekelijk toegankelijke websites of social media;
-
maak overzichtsfoto’s, waar individuele kinderen niet of nauwelijks te herkennen zijn;
-
maak een close-up alleen van je eigen kind;
-
maak geen foto’s van kinderen waar je eigen kind niet op staat.
Wachtwoorden en pincodes
Het beveiligen van toegang tot het netwerk, diverse (online) applicaties en devices (pc, laptop, telefoon) begint met een goed wachtwoord. Een lang wachtwoord of een 'wachtzin' is beter dan een kort, complex wachtwoord. Voor het gebruik van wachtwoorden gelden onderstaande afspraken:
-
we gebruiken altijd de wachtwoordmanager van Google om wachtwoorden aan te maken.
-
Voor het Google account geldt dat wachtwoorden minimaal 10 tekens bevatten, met minstens drie van de volgende vier elementen: kleine letter, hoofdletter, cijfer of speciaal teken (!@#$%^&*()
-
pincodes (op telefoon of tablet) moeten minimaal uit 6 tekens bestaan of met vingerafdruk beveiligd worden.
-
wachtwoorden moeten volgens de afspraken binnen OPOO op aangegeven tijden vervangen worden.
-
deel wachtwoorden nooit, ook niet incidenteel. Wachtwoorden zijn persoonlijk.
Camerabeveiliging
Een school moet een zogeheten gerechtvaardigd belang hebben voor het cameratoezicht. Bijvoorbeeld diefstal tegengaan of leerlingen, medewerkers en bezoekers of het gebouw beschermen. Ook moet het cameratoezicht noodzakelijk zijn. Dat wil zeggen dat de school het doel niet op een andere manier kan bereiken. Eerst moet worden nagegaan of er geen andere mogelijkheid is, die minder ingrijpend is voor de privacy van betrokkenen. Ook mag het cameratoezicht niet op zichzelf staan. Het moet onderdeel zijn van een totaalpakket aan maatregelen in het kader van beveiliging en sociale veiligheid.