Artikel

Wat betekent de nieuwe AVG-wet voor het onderwijs? En waar begin je?

Er is werk aan de winkel voor scholen rond het informatiebeveiliging- en privacy beleid. Want op 25 mei 2018 is de nieuwe Europese wetgeving AVG (Algemene Verordening Gegevensbescherming) in werking getreden. Maar wat moet er precies gedaan worden en hoe? Drie schoolbesturen dienden een versnellingsvraag in om hierachter te komen en gingen samen met Kennisnet en de PO-Raad aan de slag. Projectmanager Arno Coenders vertelt over de plannen en deelt vast wat tips.

Drie Noord-Limburgse schoolbesturen - Dynamiek, Prisma en SPOV – wilden via stafbureaus gegevens en kennis uitwisselen. “Dat bleken drie verschillende digitale omgevingen te zijn. Er moest via allerlei omwegen gewerkt worden,” vertelt Arno Coenders. Hij is projectmanager van de versnellingsvraag en heeft een onderwijskundig training- en adviesbureau.

De drie besturen merkten dat het uitwisselen van gegevens nog niet zo simpel was en dat er tegelijkertijd goed gelet moest worden op de informatiebeveiliging en privacy.
Coenders: “Dit was aanleiding voor de scholen om vooruit te kijken naar de nieuwe Europese wetgeving AVG, die in mei in werking treedt. Bij iedere school zijn aanpassingen nodig in het IBP-beleid (informatiebeveiliging en privacy) om te voldoen aan deze nieuwe wetgeving. Maar hoe en wat – dat is vaak nog onduidelijk.”

Wat is het startpunt?

Kennisnet bracht eerder de Aanpak IBP uit – een handleiding voor scholen om bezig te gaan met het onderwerp. “Het doel van de versnellingsvraag is onder meer om deze aanpak uit te bouwen met allerlei tools die scholen praktisch helpen tijdens dit veranderingsproces,” zegt Coenders. De aanpak zorgt momenteel met name voor een goede ‘papieren’ basis waar scholen uit kunnen putten.

“Denk bijvoorbeeld aan formulieren of teksten die scholen kunnen gebruiken als ze een foto van een leerling op sociale media willen plaatsen. Dat hoeven ze niet meer zelf in elkaar te zetten.”

Een van de tools die al klaar ligt, is de Checklist Aanpak IBP – die scholen kunnen doorlopen om te kijken of ze aan alle eisen rond IBP voldoen. Coenders: “De checklist bestaat momenteel uit een zestigtal items – dat geeft al een indicatie van de complexiteit van deze materie. Scholen zijn in de eerste instantie natuurlijk op het onderwijs zelf gericht en zo’n nieuwe wetgeving zorgt voor een extra administratieve uitdaging.” Dit is een groeidocument en wordt gaandeweg gedurende de versnellingsvraag uitgebreid.

Wat zijn de volgende stappen?

“In de eerste fase, tot mei 2018, doorlopen we zelf de checklist. Dat geeft inzicht in wat er nog moet gebeuren: waar zit er nog onveiligheid of waar is er risico op bijvoorbeeld datalekken? Welke punten zijn het meest urgent en welke interventies horen daarbij?” Daarnaast wordt er gewerkt aan een concept IBP-beleidsplan voor de drie scholen. Hij benadrukt dat het bij dit onderwerp vooral belangrijk is alle lagen van de organisatie te onderzoeken: “Veiligheid en privacy betreffen iedere afdeling van de school.”

In fase twee van de versnellingsvraag wordt dit nieuwe beleidsplan ingevoerd in de scholen en wordt deze aanpak gedeeld met de sector via concrete producten, presentaties en lessenseries. “Vooral het breed communiceren hiervan is belangrijk. IBP is in grote mate afhankelijk van de bewustwording van het personeel,” vindt Coenders, “betrek de hele keten. Van bestuur tot leerkracht. En wat soms vergeten wordt, zijn de leerlingen zelf. Zet in op mediawijsheid!”

Wat kunnen scholen nu alvast doen?

Coenders: “Waar te beginnen? Doe een risicoanalyse via de checklist en doorloop de Aanpak IBP van Kennisnet – dan kom je al een heel eind. Hou intussen de versnellingsvraag goed in de gaten, we geven regelmatig updates. En mijn belangrijkste tip is: stel dit onderwerp niet uit, want op 25 mei moet het onderwijs er eigenlijk klaar voor zijn. En met de juiste aandacht en tools, kan dat echt!”