Informatieveiligheid: plan van aanpak

Overal op onderwijsinstellingen (scholen, centra voor volwassenenonderwijs en internaten) gebruiken we persoonsgegevens: zowel gegevens van leerlingen als van de personeelsleden.

Hoe moeten we met deze persoonsgegevens omgaan in het kader van de vernieuwde privacywetgeving?  

Informatieveiligheid en privacy binnen de onderwijsinstellingen: plan van aanpak

Overal op onderwijsinstellingen (scholen, centra voor volwassenenonderwijs en internaten) gebruiken we persoonsgegevens: zowel gegevens van leerlingen als van de personeelsleden.

Deze persoonsgegevens worden, door scholen maar ook door leveranciers van leerlingadministratiesystemen en leerlingvolgsystemen alsook door aanbieders van leermiddelen en overheidsinstanties, digitaal opgeslagen, bewerkt en uitgewisseld. Dit biedt veel voordelen, maar maakt het ook complexer om privacy van personen te waarborgen.

De Europese overheid heeft een nieuwe regeling uitgewerkt voor de bescherming van persoonlijke gegevens van EU-burgers. Deze Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR), die op 25 mei 2018 van toepassing wordt, geeft een wettelijk kader aan welke verplichtingen scholen moeten voldoen als ze persoonsgegevens verwerken. De AVG houdt een verstrenging in van de privacyregels en zal dus ook voor scholen gevolgen hebben.

Om te voldoen aan deze regelgeving heeft Katholiek onderwijs Vlaanderen dit plan van aanpak ontwikkeld. Zo wil ze de planlast voor de scholen verlagen en willen we er toch voor zorgen dat scholen (en schoolbesturen) toch aan de wetgeving voldoen.

Wettelijke verplichtingen en aanspreekpunt informatieveiligheid

Sinds het e-gov-decreet van 2008 moeten alle gegevensstromen, waarin er persoonsgebonden informatie wordt uitgewisseld tussen overheidsinstanties, gemachtigd worden door de Vlaamse Toezichtcommissie (VTC). De gegevensuitwisseling tussen de onderwijsinstellingen en AGODI alsook de gegevensuitwisseling tussen de  Centra voor Volwassenenonderwijs en het AHOVOKS vallen onder deze bepaling.

De machtiging wordt slechts verleend als de gegevensuitwisseling voldoet aan strikte voorwaarden; van alle uitgewisselde persoonsgegevens moet de proportionaliteit en de finaliteit beargumenteerd worden en de veiligheid van de gegevensstroom moet gegarandeerd worden. Om op deze punten toe te zien is er normaalgezien de verplichting om aan beide kanten van de gegevens­uitwisseling een veiligheidsconsulent te voorzien en dat er een veiligheidsbeleid is.

Gezien het aanstellen van een veiligheidsconsulent door de onderwijsinstellingen en centra moeilijk haalbaar leek, is er indertijd bij de VTC op aangedrongen om een pragmatische oplossing te vinden voor dit probleem. De VTC is hierin tegemoetgekomen door de eis voor een veiligheidsconsulent te vervangen in een eis naar een aanspreekpunt informatieveiligheid.

Op 24 mei 2016 is de Europese privacyverordening in werking getreden die in alle lidstaten vanaf 25 mei 2018 van toepassing wordt. In België was privacy voordien gewaarborgd door de Wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens van 8 december 1992. Het is dus niet zo dat het geheel nieuwe wetgeving is waar scholen aan moeten voldoen. Deze vernieuwde privacywetgeving stelt een aantal vroegere principes scherp en beklemtoont de rol van de verwerkingsverantwoordelijke (ic het school- of centrumbestuur). Artikel 24 van de AVG zegt immers dat de verwerkingsverantwoordelijke “passende technische en organisatorische maatregelen moet nemen om te waarborgen en te kunnen aantonen dat de verwerking van persoonsgegevens in overeenstemming met de verordening is”. School- en centrumbesturen moeten dus kunnen aantonen dat ze persoonsgegevens in overeenstemming met de wetgeving verwerken. Daarnaast staat in deze wetgeving dat de “toezichthoudende autoriteit”, de mogelijkheid heeft om boetes uit te schrijven bij niet nalezen van deze wetgeving. Deze boetes kunnen oplopen tot 20 miljoen euro.

De onderwijskoepels en het GO! willen de planlast, die deze niet-onderwijsgebonden regelgeving met zich meebrengt, verlagen door hun instellingen te voorzien van sjablonen en de nodige richtlijnen en procedures die noodzakelijk zijn voor de uitrol van het veiligheidsbeleid. Daarom hebben we een aanspreekpunt nodig  in deze onderwijsinstellingen om deze richtlijnen, procedures en sjablonen intern te verspreiden of aan te passen aan hun situatie en te daarna implementeren. Deze rol dient te dus te worden ingevuld door het aanspreekpunt informatieveiligheid.

Getrapte verantwoordelijkheid

Om de instellingen maximaal te ondersteunen bij de implementatie van deze regelgeving in hun huidige werking is het noodzakelijk dat het de onderwijskoepels en het GO! deze problematiek samen aanpakken.  Binnen Katholiek Onderwijs Vlaanderen  is er centrale informatieveiligheidsconsulent. Samen met de informatieveiligheidsconsulenten van de andere onderwijskoepels en het GO! heeft de centrale veiligheidsconsulent een rol van brugfiguur tussen de onderwijsinstellingen en overheid en de softwareleveranciers  inzake de verwerking van persoonsgegevens. De veiligheidsconsulent zoekt in samenwerking met alle betrokkenen steeds naar een passende oplossing. Hij is het aanspreekpunt voor de instellingen inzake informatieveiligheid en voorziet de instellingen van sjablonen en de nodige richtlijnen en procedures. Al deze sjablonen, procedures en richtlijnen samen vormen samen een informatieveiligheids- en privacybeleid dat scholen moeten implementeren als ze wettelijk in orde willen zijn.

Om dit informatieveiligheids- en privacybeleid in de instellingen zelf te implementeren is het noodzakelijk dat scholen een aanspreekpunt informatieveiligheid aanstellen.

Wie is het aanspreekpunt informatieveiligheid?

Het aanspreekpunt informatieveiligheid is een personeelslid van de onderwijsinstelling dat voldoende affiniteit vertoont met ict en met de verwerking van persoonsgegevens, maar niet noodzakelijk een opleiding inzake ict gehad heeft. Het aanspreekpunt treedt op als contactpersoon voor de veiligheidsconsulent van de koepelorganisaties, helpt mee aan het bewustmakingsproces over informatieveiligheid in de onderwijsinstelling en helpt mee om samen met directie en bestuur het informatieveiligheids- en privacybeleid in de instelling te implementeren. Daarnaast zal hij/zij het aanspreekpunt zijn bij datalekken en de nodige documenten kunnen opstellen om aan te tonen dat de onderwijsinstelling aan de AVG voldoet. Zo voldoen we aan de eisen van de VTC en tevens aan de vernieuwde privacywetgeving.

Een schoolbestuur kan er voor opteren om één personeelslid als ‘aanspreekpunt informatieveiligheid’ aan te stellen voor alle onderwijsinstellingen die onder haar bevoegdheid vallen, maar kan er ook voor opteren om bijvoorbeeld per onderwijsniveau een aparte personeelslid als ‘aanspreekpunt informatieveiligheid’ aan te stellen of per instellingsnummer een aanspreekpunt aan te stellen. De taakbelasting van het ‘aanspreekpunt informatieveiligheid’ is afhankelijk van het aantal instellingen waar hij/zij wordt aangesteld en van de complexiteit van de gegevensverwerking in die instelling.

De Raad van bestuur van Katholiek Onderwijs Vlaanderen heeft haar engagement uitgesproken (en middelen vrijgemaakt) om tijdens de schooljaren 2017-2018 en 2018-2019 deze aanspreekpunten informatieveiligheid regionaal op te leiden in een nascholingstraject om zo de scholen te ondersteunen bij het opstellen en implementeren van een informatieveiligheids- en privacybeleid.