Inzage persoonsgegevens bij studenten na 25 mei 2018.

Vorige week was het volle bak bij het Stedelijk Dalton Lyceum voor onze security & privacy awareness sessie. De live hacking demonstraties lokten heel wat consternatie en vragen uit. Zo bijvoorbeeld “in welke persoonsgegevens is er nog inzage na 25 mei en in dewelke niet meer?” en “moet die persoonsdata dan extra worden beveiligd”? Inspiratie genoeg dus voor deze blogpost.

Het antwoord is eigenlijk heel eenvoudig. Medewerkers uit scholen mogen alleen maar de persoonsgegevens van studenten inzien die zij voor hun werk echt nodig hebben. En schooldirecties moeten er voor zorgen dat hun studentenadministratie- en computersystemen goed beveiligd zijn. Het is dan ook handig om alles nog eens door te lichten tegen de 25 ste mei. D-Day for GDPR.

Van toepassing op scholen

Scholen moeten tegen dan voldoen aan deze nieuwe Europese privacywetgeving. En bijkomend de internationale norm voor informatiebeveiliging volgen. Het beveiligen van computersystemen tegen misbruik of verlies van studentengegevens is daarmee niet meer facultatief maar wel verplicht.

Welke maatregelen treffen?

Alle studenten bestanden moeten gelogd worden. Er moet gecheckt kunnen worden wie met welke data wat en wanneer gedaan heeft. Daarnaast zijn schooldirecties verplicht om regelmatig te laten controleren of er datalekken zijn. Want deze kunnen leiden tot het hacken van computersystemen. Ethische hackers bieden hier soelaas.

Wat wel en wat niet?

Docenten, administratieve medewerkers of interne begeleiders mogen dus alleen maar gegevens inzien die zij écht nodig hebben. Zo mogen enkel interne begeleiders toegang krijgen tot de dossiers van studenten die extra zorg of begeleiding ontvangen. En dus niet het administratief personeel of de docenten. Er moet ook worden nagekeken of de toegang tot studentengegevens structureel of occasioneel nodig is. Zo heeft een docent die invalt voor een klas duidelijk geen volledige toegang nodig. Tijdelijk toegang volstaat hier.

Contact

Interesse in een privacy sessie voor uw personeel? Of benieuwd in wat uw organisatie nog moet doen om GDPR compliant te zijn? Neem dan contact met ons via onderstaand formulier. We beantwoorden al uw vragen met veel plezier!