Privacy-uitdagingen voor het onderwijs

Schrijver

Emma Venema

Onderwerp BlogOnderwijs
Gepubliceerd op

juni 18, 2024

De Autoriteit Persoonsgegevens (AP) heeft onlangs een rapport uitgebracht waarin de belangrijkste trends en ontwikkelingen op het gebied van privacy in de Nederlandse onderwijssector worden geanalyseerd. Dit rapport biedt inzicht in de vooruitgang en uitdagingen die onderwijsinstellingen ervaren bij het naleven van de Algemene Verordening Gegevensbescherming (AVG).

FileFactory is dé oplossing om snel en eenvoudig informatie in documenten en leerling dossiers te vinden en te verwijderen. Voordelen voor onderwijsinstellingen zijn bijvoorbeeld: eenmalig als turn key project alle historische documenten opschonen, structureel alle nieuwe documenten schoon houden en toonaangevende OCR technologie. Voor meer informatie over de FileFactory kan hieronder een demo worden aangevraagd en de brochure worden gedownload.

Belangrijkste trends en uitdagingen

Maatschappelijke uitdagingen en persoonsgegevens

Onderwijsinstellingen worden geconfronteerd met maatschappelijke uitdagingen zoals het psychisch welzijn van lerenden, veiligheid en kansengelijkheid. Het verwerken van persoonsgegevens is vaak noodzakelijk bij deze thema’s, maar instellingen worstelen regelmatig met de vraag of er een wettelijke grondslag is voor deze verwerkingen, vooral als het om gevoelige gegevens gaat.

Opkomst van algoritmes en AI

De integratie van algoritmes en AI in het onderwijs biedt enorme kansen, maar brengt ook risico’s met zich mee zoals bias, verlies van controle over persoonsgegevens en ethische vraagstukken. De AP benadrukt het belang van beleidsstrategieën en beheersingsprocessen om deze technologieën op een verantwoorde manier te implementeren. Ook het vergroten van kennis over AI binnen onderwijsinstellingen wordt als cruciaal gezien.

Uitdagingen van schaduw-ICT

Schaduw-ICT, waarbij docenten en studenten gebruik maken van diverse apps en software buiten de officiële IT-structuur, vormt een grote uitdaging. Dit maakt het moeilijk voor onderwijsinstellingen om overzicht te houden op alle gegevensverwerkingen en brengt risico’s met zich mee voor de privacy van betrokkenen.

Onduidelijkheid rondom onderzoeksgegevens

Er heerst veel onduidelijkheid over het gebruik van onderzoeksgegevens, met name rondom de anonimisering en hergebruik van data voor nieuw onderzoek. Nationale en internationale samenwerkingen voegen extra complexiteit toe aan de naleving van de AVG.

Ontwikkelingen

Sinds de recente cyberaanvallen is de focus op informatiebeveiliging en privacy in het onderwijs sterk toegenomen. Eerder adviseerde de AP de ministers van Onderwijs, Cultuur en Wetenschap (OCW) om een coördinerende rol te spelen in gegevensbescherming binnen het onderwijs en om Data Protection Impact Assessments (DPIA’s) uit te voeren op veelgebruikte digitale middelen. En tevens kondigden de ministers van OCW aan dat ze de digitale veiligheid in onderwijs en onderzoek willen verhogen.

In samenwerking met SURF wordt het toetsingskader privacy verder ontwikkeld voor hoger onderwijs en mbo, zodat instellingen hun volwassenheidsniveau op het gebied van gegevensbescherming kunnen bepalen. Er is geen verplichting om aan een bepaald niveau te voldoen, maar het mbo overweegt een ambitieniveau in te stellen.

Er zijn zorgen of kleinere onderwijsinstellingen de middelen hebben om aan deze normenkaders te voldoen. Samenwerkingsorganisaties zoals SURF/SIVON bieden praktische ondersteuning, maar het blijft een uitdaging.

Toename van samenwerking

Er is een toename in samenwerking om AVG-compliance gezamenlijk te organiseren. Dit omvat het ontwikkelen van gemeenschappelijke diensten om de lasten voor kleine instellingen te verminderen, ondersteuning bij het toetsen van verwerkersovereenkomsten, het uitvoeren van DPIA’s op softwareapplicaties en de ontwikkeling van een Computer Emergency Response Team (CERT). Er zijn ook zorgen over de macht van grote (inter)nationale leveranciers in het gedigitaliseerde onderwijs en het vaststellen van adequate waarborgen voor gegevensbescherming.

Zelfbeoordeling door de onderwijssector

De AP constateert dat de onderwijssector over het algemeen positief staat tegenover de naleving van de AVG, maar dat er uitdagingen zijn zoals beperkingen in tijd, geld en capaciteit. Grote instellingen zijn meestal verder in hun privacy-compliance dan kleinere instellingen. Hoewel er vooruitgang is in leiderschap, risicobeoordelingen en transparantie, blijven de uitvoering van beleid en zelfmonitoring uitdagingen.

Lees ook: Leerlinggegevens ook interessant voor hackers

Conclusies en toekomstige focus

De AP concludeert dat de basis voor AVG-compliance verbetert, maar nog steeds verbetering nodig heeft. Belangrijke aandachtspunten zijn awareness, beleid voor de werkvloer en dataminimalisatie. De AP benadrukt dat onderwijs de ideale plek is om kennis over veilig omgaan met digitale technologie over te dragen.

Voor de toekomst richt de AP zich op het toezicht op het gebruik van algoritmes en AI, het ontwikkelen van nadere richtlijnen over de verwerking van persoonsgegevens voor onderzoek en het volgen van cross-sectorale gegevensdeling. Ondanks beperkte middelen en capaciteit blijft het toezicht op online bescherming van lerenden een uitdaging.

De onderwijssector heeft aanzienlijke stappen gezet om de naleving van de privacywetgeving te verbeteren, maar er blijft werk aan de winkel. De toegenomen samenwerking en zelfregulering zijn positieve ontwikkelingen, maar voortdurende inspanningen zijn nodig om de privacybescherming in het onderwijs verder te versterken.