Door de maatschappelijke taak van onderwijsinstellingen is het inherent dat zij te maken hebben met een veelheid van belanghebbenden. Dit zijn leerlingen en studenten, maar ook ouders en verzorgers, docenten, toezichthouders, gemeentelijke en sociaal maatschappelijke instellingen en soms zelfs politie en zorgverleners. Onderwijsinstellingen vallen onder een hogere risicoklasse wanneer het gaat om privacybescherming, mede door de aard en complexiteit van de persoonsgegevens die worden verzameld en verwerkt. Hier hoort een passend beveiligingsbeleid bij dat risico's op onrechtmatig en onbevoegd gebruik van (gevoelige) persoonsgegevens moet minimaliseren.
Binnen de onderwijssector wordt al langere periode gefocust op innovatie. Zo werken universiteiten, hogescholen, mbo-instellingen, umc's en onderzoeksinstellingen samen om digitale diensten te faciliteren en kennisdeling te stimuleren In toenemende mate worden digitale leermiddelen beschikbaar gesteld, wat door de coronapandemie extra is versneld. Er wordt veelvuldig gebruik gemaakt van steeds nieuwere applicaties, voor het houden van interactieve lessen en colleges. De inzet van applicaties als onderdeel van het lesmateriaal is soms het initiatief van een docent en niet altijd bekend binnen de organisatie, terwijl deze applicaties mogelijk niet voldoen aan het beveiligingsbeleid. Hoewel het inmiddels voor de meeste onderwijsinstellingen weer mogelijk is om onderwijs (deels) fysiek te laten plaatsvinden, is digitalisering in het onderwijs niet meer weg te denken. Het is daarom van belang dat de verantwoordelijkheid die hiermee gepaard gaat volledig wordt omarmd door onderwijsinstellingen en alle spelers in de keten, zoals brancheorganisaties, leveranciers en toeleverend / vervolgonderwijs.
Naast applicaties ter ondersteuning van het lesmateriaal hebben onderwijsinstellingen ook nieuwe toepassingen ter ondersteuning van het online lesgeven in gebruik genomen. Hierbij is te denken aan applicaties voor videobellen en online proctoring tooling (het digitaal afnemen van toetsen / tentamens waarbij toezicht wordt gehouden door het monitoren van bijvoorbeeld de webcam, microfoon en openstaande tabs op internet). Hoewel het gebruik van dergelijke toepassingen gewenst is om het onderwijs op een zo goed mogelijke manier doorgang te laten vinden en fraude tegen te gaan, maakt het gebruik van dit soort software ook inbreuk op de privacy van medewerkers en studenten. Daarom is het van belang dat er wordt gelet op een gedegen verwerking van de persoonsgegevens die worden verkregen bij het gebruik van nieuwe toepassingen.
Een goed voorbeeld waaruit blijkt dat de ingebruikname van een nieuwe toepassing voor problemen kan zorgen is de datalek dat in januari dit jaar heeft plaatsgevonden bij de Hanzehogeschool in Groningen. Door het niet optimaal beveiligen van de online tentamens was het mogelijk voor onbevoegden om via een link mee te kunnen kijken naar de studenten die bezig waren met het maken van tentamens, wat een vergaande inbreuk is op de privacy van studenten. Een andere valkuil zit bij medewerkers die thuiswerken, waar een goed beveiligd netwerk niet vanzelfsprekend is en ook gevoeliger is voor datalekken.
Onderwijsinstellingen dienen aan te kunnen tonen dat zij de juiste technische en organisatorische maatregelen hebben genomen om de persoonsgegevens van studenten en medewerkers te beschermen bij het gebruik van nieuwe toepassingen. Eén van de concrete handelingen die de Algemene Verordening Gegevensbescherming (AVG) noemt, is het uitvoeren van een zogeheten Data Protection Impact Assessment (DPIA). Dit is een middel waarmee de risico's van gegevensverwerkingen in kaart worden gebracht, waarna vervolgens maatregelen worden getroffen om deze risico's te verkleinen.
Uit ons onderzoek blijkt dat slechts 14% van de onderzochte onderwijsinstellingen het afgelopen jaar een DPIA voor nieuwe gegevensverwerkingen heeft uitgevoerd. Daarnaast heeft het merendeel van de door ons onderzochte onderwijsinstellingen geen verplichte DPIA uitgevoerd om risico’s van gevoelige gegevensverwerkende applicaties (zoals videobellen of online proctoring tooling) in kaart te brengen.
Jan Matto Partner
Vanuit de Autoriteit Persoonsgegevens geldt als vuistregel dat een DPIA moet worden uitgevoerd wanneer een verwerking aan twee of meer onderstaande criteria voldoet:
Maakte u al gebruik van een digitale tool of applicatie, zoals Microsoft Teams, en zet u deze nu (ook) in voor onderwijs op afstand? Dan veranderen mogelijk de risico’s die uit de verwerking voortvloeien. Of heeft u twee van de bovengenoemde criteria als relevant moeten aanvinken? Dan kan het zijn dat u verplicht bent een (nieuwe) DPIA uit te voeren. Daarnaast is het uitvoeren van een DPIA niet een eenmalig iets, het is een continu proces. Ga periodiek na of u de DPIA moet herzien, onder meer om de noodzakelijkheid van de verwerking opnieuw te beoordelen. De aangekondigde versoepelingen ten aanzien van de coronamaatregelen is bijvoorbeeld een goede aanleiding.
Wilt u meer weten over een Data Protection Impact Assessment (DPIA)? Neem dan contact op met Jan Matto, Partner IT Audit & Advisory, per e-mail of per telefoon: +31 (0)88 277 13 99 of Ivar Brouwer, Sectorleider Onderwijs en Senior manager Audit, per e-mail of per telefoon: +31 (0)88 277 21 21. Zij helpen u graag verder.
21 april 2021 – Niet eerder was er zoveel interesse van hackers voor persoonsgegevens bij onderwijsinstellingen. Deze vergrote interesse komt mede door COVID-19, waardoor de onderwijssector van de een op andere dag hoofdzakelijk was aangewezen op digitale middelen. Het is hierdoor voor onderwijsinstellingen extra belangrijk geworden om de vele persoonsgegevens die worden verzameld op een juiste manier te verwerken en te beveiligen. Met een benchmark waarin we de privacyrisico’s bij onderwijsinstellingen blootleggen, wil Mazars een bijdrage leveren aan deze maatschappelijke uitdaging in de onderwijssector.
De maatschappelijke behoefte aan verantwoording over de besteding van publieke middelen is de afgelopen jaren sterk toegenomen. Zo ook in de onderwijssector. Daarnaast zijn werkdruk en de digitalisering van administratieve processen al langere tijd een groot thema binnen het onderwijs. Met de campagne 'Doelmatigheid in perspectief' spelen we met drie verschillende subthema's in op dit thema.
Deze website maakt gebruik van cookies.
Sommige zijn noodzakelijk, andere helpen ons bij het analyseren van het gebruik van de website, dienen advertenties of zorgen voor een gepersonaliseerd websitebezoek.
In onze privacy policy vindt u meer informatie over de cookies die wij gebruiken.
Zonder deze cookies functioneert deze website niet optimaal.
Deze cookies helpen ons deze website te verbeteren door informatie te vergaren over het gebruik hiervan.
Met behulp van deze cookies kunnen wij de relevantie van onze advertenties vergroten.