fbpx
is succesvol aan je winkelwagen toegevoegd.

Winkelmand

BlogNieuws

Voorkom beveiligingsrisico’s: dit moet je weten over het bewaren van persoonsgegevens

By 13 juli 2022 No Comments

De zomervakantie staat voor de deur of is zelfs al begonnen. Het schooljaar is weer ten einde en de rapport- en/of overdrachtsvergadering is weer achter de rug. Maar wat doe je eigenlijk met de gegevens van leerlingen die zijn geslaagd of naar de middelbare school gaan? Cijfers, werkstukken, verzuimgegevens en andere informatie van leerlingen. Tegenwoordig staan veel gegevens in meerdere systemen zoals een leerlingadministratiesysteem (LAS), elo, OneDrive en Google Drive.  Moeten alle gegevens direct verwijderd worden, of mogen die bewaard blijven? Zo ja, hoe lang dan? Geldt dit dan ook voor de collega’s die de school hebben verlaten? Met de digitalisatie van werkprocessen en de steeds strenger wordende regels omtrent het verwerken en opslaan van persoonlijke gegevens in de cloud, is het belangrijk te weten wat je hoe lang mag bewaren. En waar dit dan bewaard moet worden. Wij spraken met Sander van de Molen, jurist en gecertificeerd privacyspecialist bij PrivacyTeam.

Scholen vallen als organisaties onder de AVG, wat betekent dat ze te maken hebben met beginselen, zoals opslagbeperking en dataminimalisatie. Met andere woorden: je mag persoonsgegevens niet langer bewaren of verwerken dan ‘strikt noodzakelijk’. Wat dit inhoudt hangt af van het soort gegevens dat je bewaart. De Autoriteit Persoonsgegevens (AP) stelt bijvoorbeeld dat persoonlijke gegevens van leerlingen en medewerkers 2 jaar nadat zij de school hebben verlaten, verwijderd moeten worden. In sommige situaties staat er een langere termijn in de wet- en regelgeving, zoals bijvoorbeeld het onderwijskundig rapport, wat 5 jaar bewaard moet worden. Voor fiscale gegevens, die opgeslagen worden in HR-systemen, geldt een bewaartermijn van 7 jaar. Let op! De AP kan fikse boetes uitdelen wanneer bewaartermijnen overschreden worden. Zie ook de Bewaartermijnen van Kennisnet voor meer details. Hiernaast zie je een samenvatting. Klik op de afbeelding voor een grotere weergave.

De praktijk van gegevensbewaring
Sander ziet helaas in de praktijk dat onderwijsinstellingen te lang persoonsgegevens bewaren. Waar dit dan door komt? Veelal omdat het verwijderen of archiveren van deze data een handmatige actie is en omdat het simpelweg niet erg interessant wordt gevonden. Het proces zelf is niet ingewikkeld, maar de huiverigheid voor dataverlies blijkt toch een grote rol te spelen. Wat als je per ongeluk te veel verwijderd, of later nog iets nodig hebt?

Gegevens worden binnen scholen en stichtingen onderverdeeld in zogeheten gestructureerde en ongestructureerde omgevingen. Gestructureerde omgevingen worden vooraf bepaald en ingesteld. Denk aan het LAS, bijvoorbeeld ParnasSys, ESIS, Magister en Somtoday. Ongestructureerde omgevingen zijn in te delen door de (medewerkers van de) school zelf, zoals Google of Microsoft. De medewerker bepaalt vaak zelf wat hij of zij hier opslaat. Daar schuilt dan ook het gevaar: soms worden complete schaduwdossiers aangelegd of worden documenten niet opgeruimd. De vraag is dan welke mappen en welke informatie waar en voor hoe lang wordt opgeslagen. Het afstemmen van regels en protocollen is dan ontzettend belangrijk, want juist deze ongestructureerde omgevingen brengen risico’s met zich mee. Denk alleen maar aan een omgeving waar een lo-docent in mappen de Strava-gegevens van leerlingen (bij naam en toenaam) heeft opgeslagen. Hier zouden zelfs bijzondere persoonskenmerken van leerlingen als hartslag en duurvermogen in terug te vinden zijn. Daar moet je extra zorgvuldig mee omgaan.

De nachtmerrie van een schoolbestuurder
Sander vertelt over een praktijkvoorbeeld die deze risico’s maar al te goed schetst. Een phishingmail belandde in de inbox van een medewerker, die de inhoud vertrouwde. Het gevolg was dat de inbox van deze medewerker open stond voor de scammers. Alsof dat niet vervelend genoeg was, bleek deze inbox meer dan 10 jaar aan persoonsgegevens te bevatten. CV’s van sollicitanten, kopieën van ID-kaarten, rapportages en bevindingen van bedrijfsartsen, beoordelingen en pensioenoverzichten lagen nu bloot aan de hacker.

Gelukkig sloeg deze medewerker direct alarm en werd er binnen 72 uur een melding gemaakt aan de AP. Daarna kwam het moeilijke gedeelte: Sander vertelt dat het al met al drie maanden aan onderzoek heeft gekost om in kaart te brengen wat precies de schade was en wie er ingelicht moesten worden. Dat bleken meer dan 1.900 betrokkenen te zijn, die persoonlijk geïnformeerd werden over de hack en de gevolgen daarvan. Dit kost natuurlijk veel tijd en geld, maar ook een hoop negatieve energie!

Gestructureerde en ongestructureerde dataopslag
Na zo’n verhaal ga je je toch wat zorgen maken: is mijn data dan wel zorgvuldig opgeslagen en heb ik gegevens die (veel) te lang worden bewaard? Een ongeluk zit in een klein hoekje en phishingmails worden steeds geloofwaardiger. Het is daarom belangrijk om goed bij te houden hoe lang je bepaalde data bewaart en waar deze opgeslagen is.

Om weer even de gestructureerde en ongestructureerde omgevingen erbij te pakken: maak zoveel mogelijk gebruik van gestructureerde omgevingen. Dit is dus het LAS, zoals ParnasSys of ESIS voor het basisonderwijs, en Magister of Somtoday binnen het voortgezet onderwijs. De bewaartermijn bedraagt over het algemeen 5 jaar, maar kan verschillen afhankelijk van het type gegevens. Binnen deze systemen kunnen persoonsgegevens veilig en overzichtelijk beheerd worden, maar je moet wel zelf zorgen dat het op tijd opgeschoond wordt! Wijs daarom ook een persoon of functie aan die uiteindelijk ‘op de knop drukt’ om alle data ook echt te verwijderen.

Je kunt gebruikmaken van ongestructureerde omgevingen voor de minder gevoelige data, maar dan is het uiterst belangrijk dat je een procedure opstelt voor het benoemen, bewaren en opschonen van gegevens. Prik er bijvoorbeeld een vaste datum voor of organiseer er een event omheen. Zo maak je er een leuke taak van, in plaats van dat het een opgave is. Neem in deze procedure ook op wie welke taak tot zijn of haar rekening gaat nemen en waar een document of bestand aan moet voldoen om bewaard te blijven. Alle medewerkers dragen hier verantwoordelijkheid voor, dus houd elkaar eraan dat gegevens op tijd verwijderd worden.

Hoe houd je het overzicht?
Werk je bijvoorbeeld in Google Drive of Microsoft OneDrive? Geef je mappen dan een jaartal. Zo zijn ze makkelijk te categoriseren en kun je ook eenvoudig bijhouden welke gegevens verwijderd moeten worden. Heb je moeite overzicht te creëren in die (al bestaande) verzameling mappen? Onze Academy kan je adviseren een goede mappenstructuur op te zetten. Geef bestanden ook nooit een leerlingnaam en archiveer deze gegevens alleen in het LAS. Is de map ouder dan 2 jaar? Dan kan deze in principe weg, maar controleer wel nog even wat er precies in staat. Betreft het fiscale gegevens? Ten eerste, die horen niet in een ongestructureerde omgeving. Ten tweede, die moeten 7 jaar bewaard blijven. Sla ze daarom op in een Financieel of HR-systeem.

Het is ook verstandig om er dan een externe back-up op na te houden, zoals Afi. Zo zijn je gegevens veilig, maar wel gemakkelijk bij de hand te houden. Houd dan ook de bewaartermijn voor dit type data in het achterhoofd: bewaar bijvoorbeeld ongestructureerde gegevens maximaal 2 jaar. Kennisnet heeft hier wat handige tools en voorbeelddocumenten voor. Oh ja, en leeg ook de prullenbak- en downloadmappen. Maar bovenal: gebruik je inbox niet als dataopslag!

Tips voor de mailbox
E-mail is nog steeds een veelgebruikt communicatiemiddel voor collega’s, ouders en leerlingen. Menig inbox staat vol met soms erg gevoelige informatie zoals opmerkingen, verslagen over leerlingen en bijlagen van allerlei instanties. Hoe kun je dus het beste omgaan met je mailbox?

  • Let op wat er in je inbox staat en hoe lang dit er blijft staan. Het is een communicatiemiddel, niet een archief of kennissysteem. Staat er gevoelige informatie in die wel bewaard moet blijven? Sla deze bestanden of e-mails dan op in een externe back-up, of archiveer het in het daarvoor bedoelde ‘gestructureerde’ systeem, en verwijder de e-mail uit je mailbox. Verwijder ‘m ook uit je map ‘Verwijderde items’! Dan pas is ‘ie ook echt weg.
  • Laat data-opschoning een serieuze en gedeelde verantwoordelijkheid zijn. Van schoolleiders tot directe collega’s, houd elkaar op de hoogte van deze belangrijke taak. Je kunt ook voor jezelf reminders instellen in je agenda. Zo word je er regelmatig aan herinnerd en is de kans dat het misgaat kleiner. Uiteindelijk zou het een gewoonte moeten worden, maar een regelmatige reminder is nooit verkeerd.
  • Beperk het opruimen niet alleen tot de persoonlijke mailbox, maar ga ook de gedeelde of groepsmailboxen na.
  • Het is ook mogelijk om een automatische opschoning voor e-mails in te stellen. Als ICT’er kun je bijvoorbeeld bepalen dat e-mails die ouder zijn dan 2 jaar automatisch uit de mailbox verwijderd worden. Dat is overigens al vrij lang, er wordt veelal van maar 6 maanden uitgegaan.

Naast mailverkeer voor interne en externe communicatie, zien we ook steeds vaker een toename in het gebruik van chatprogramma’s, kanalen en “spaces” in Microsoft Teams en Google Classroom. Even snel het wachtwoord van het wifi opvragen bij een collega of een linkje delen met het team. Ook hiervoor geldt feitelijk hetzelfde als voor mailverkeer, maar de bewaartermijn zou voor dit soort gegevens nog meer verkort moeten worden. Kijkt er iemand na 2 maanden nog steeds in oude chats, dan schiet dit zijn doel voorbij en ben je meer aan het archiveren dan waar het eigenlijk voor bedoeld is. Maak hierover dus goede afspraken met elkaar.

Het bepalen van de bewaartermijnen
Cloudwise helpt scholen met moderne ICT-oplossingen en daarbij hebben we oog voor complexe zaken, zoals AVG en bewaartermijnen. Samen met experts uit het werkveld, zoals Sander van de Molen, maken we de vertaalslag van juridisch jargon naar de dagelijkse onderwijspraktijk. Heb je behoefte aan verder juridisch advies rond privacy, dan kun je meer informatie opvragen bij Sander via PrivacyTeam.

Over Sander
De heer mr. A.C.M. (Sander) van de Molen is:

  • Jurist en ervaren compliance/privacy officer
  • CIPP/E-gecertificeerd privacyspecialist
  • Functionaris Gegevensbescherming voor o.a. onderwijsinstellingen, en coacht andere FG’s
  • Auteur van het ‘Handboek DPIA’s, theorie en praktijk voor niet juristen’
  • Docent Cursus DPIA aan de Berghauser Pont Academy

Support