Drie grote onderwijsorganisaties hebben hun werkwijzen met een leerlingvolgsysteem zodanig aangepast, dat die nu voldoen aan de Wet bescherming persoonsgegevens. Dat constateert de Autoriteit Persoonsgegevens (AP) na onderzoek. Na technische aanpassingen in het leerlingvolgsysteem hebben medewerkers nu alleen nog toegang tot persoonsgegevens van leerlingen die zij voor de uitvoering van hun taken nodig hebben. En niet meer tot de persoonsgegevens van alle leerlingen van de school. De drie onderzochte onderwijsorganisaties hebben daarnaast de beveiliging van de persoonsgegevens verbeterd door bij te houden welke bestanden van welke leerlingen zijn gelezen of aangepast. De AP roept scholen op hun werkwijze met leerlingvolgsystemen tegen het licht te houden.
Onderwijsorganisaties ASKO, BOOR en MOVARE zijn drie grote afnemers van een webbased leerlingvolgsysteem en leerling-administratiesysteem. Samen verwerken zij de gegevens van meer dan 50.000 leerlingen. Het systeem dat zij gebruiken is een van de meest gebruikte leerlingvolgsystemen door basis- en middelbare scholen. Hiermee verwerken scholen een grote hoeveelheid persoonsgegevens van leerlingen, zoals contactgegevens, burgerservicenummer (bsn), verzuimgegevens, studieresultaten en gegevens over hun gezondheid en welzijn.
Toegang tot gegevens
Volgens de wet mogen niet meer mensen toegang hebben tot de persoonsgegevens van leerlingen dan noodzakelijk. Dat betekent dat niet standaard alle medewerkers toegang mogen hebben tot de gegevens van alle leerlingen. Een leerkracht of een invalkracht zal doorgaans niet (continu) taken uitvoeren met betrekking tot alle leerlingen. Als een leerkracht of invalkracht invalt in een (andere) groep is het veelal op dat moment en voor die periode pas nodig dat de leerkracht of invalkracht toegang krijgt tot persoonsgegevens van de betreffende leerlingen.
Aanvankelijk hadden medewerkers van de scholen die vallen onder de drie onderwijsorganisaties toegang tot de persoonsgegevens van alle leerlingen van de school. Naar aanleiding van het onderzoek van de AP zijn de onderwijsorganisaties in gesprek gegaan met het leerlingvolgsysteem over technische aanpassingen. Die hebben ertoe geleid dat de onderwijsorganisaties medewerkers nu alleen toegang geven tot gegevens die voor hen noodzakelijk zijn.
Beveiliging van gegevens
Onderwijsorganisaties moeten daarnaast passende beveiligingsmaatregelen treffen om de persoonsgegevens van hun leerlingen in een leerlingvolgsysteem te beveiligen. Scholen moeten bijvoorbeeld logbestanden maken van gebruikersactiviteiten (welke bestanden van welke leerlingen zijn gelezen of aangepast) en informatiebeveiligingsgebeurtenissen. Deze logbestanden moeten ook regelmatig door de scholen beoordeeld worden. Tijdens het onderzoek hebben de drie onderzochte onderwijsorganisaties hun werkwijze zodanig aangepast dat zij op beide punten voldoen aan de wet.
