Waar ben je naar op zoek?

Verbeterde toegankelijkheid modus

SURF streeft naar een website die voor iedereen toegankelijk is. We werken aan een volledig toegankelijke modus.

Privacy

Direct naar

Privacy uitgelegd

Inhoudsopgave van deze pagina

  1. Wat is privacy en waarom is het belangrijk voor onderwijs en onderzoek?
  2. Privacyrisico’s in onderwijs en onderzoek
  3. Wetgeving en beleid: AVG en privacyregels
  4. Privacyawareness en training
  5. Privacy en technologie: AI, sociale media en apparaten
  6. Privacy by Design en volwassenheidsmodellen

1. Wat is privacy en waarom is het belangrijk voor onderwijs en onderzoek?

Onderwijs- en onderzoeksinstellingen verwerken dagelijks persoonsgegevens van studenten, medewerkers, onderzoekers en personen die meewerken aan onderzoeken. In de digitale leer- en werkomgeving zijn dit vaak gevoelige gegevens, zoals als onderwijsresultaten, medische informatie en andere gegevens waarmee je iemand kunt identificeren.

Privacy gaat over het recht van betrokkenen om regie te houden over deze gegevens. En het is meer dan dat: privacy gaat ook over het vertrouwen dat studenten en medewerkers hebben in hun instelling.

Voor bestuurders, IT-managers en beleidsverantwoordelijken is privacy geen randvoorwaarde, maar een belangrijke verantwoordelijkheid. Het navolgen van wetgeving rond privacy is onderdeel van goed bestuur, risicomanagement en de digitale strategie van hun instelling.

Bewust omgaan met persoonsgegevens

Het is belangrijk om bewust om te gaan met persoonsgegevens. Privacyawareness, oftewel bewustwording van privacy, is een onderdeel hiervan. Het voorkomt bijvoorbeeld een datalek. Maar het bewust omgaan is ook om de volgende redenen belangrijk:

  • Iedereen heeft recht op regie op de eigen persoonlijke gegevens.
  • Digitale systemen en AI-tools verwerken steeds meer persoonsgegevens.

Privacy gaat niet alleen over regels – het gaat over vertrouwen en een veilige (leer)omgeving.

2. Privacyrisico's in onderwijs en onderzoek

Privacy gaat vaak mis door kleine fouten of onduidelijke afspraken. Risico’s op het gebied van privacy in onderwijs en onderzoek zijn bijvoorbeeld: 

  1. Onrechtmatige gegevensverwerking
    Bij instellingen worden soms meer gegevens verwerkt dan nodig of zonder de juiste grondslag, zoals toestemming of gerechtvaardigd belang. Zo ontstaan onnodige privacyrisico’s, bijvoorbeeld het opslaan of verzamelen van medische gegevens zonder dat daar een duidelijke reden voor is.
     
  2. Onvoldoende informatiebeveiliging
    Als de beveiliging van systemen gebrekkig en niet up-to-date is, zoals verouderde software, zwakke wachtwoorden of geen Multi-Factor Authenticatie (MFA), kan dat leiden tot een ernstig datalek. De betrouwbaarheid van de instelling wordt daarmee geraakt.
     
  3. Gebruik van onveilige digitale tools
    Tools die niet aan de Algemene Verordening Gegevensbescherming (AVG) voldoen, bijvoorbeeld gratis apps of platforms die data doorgeven aan derden, worden soms ingezet voor bijvoorbeeld het onderwijs zonder toetsing of Data Protection Impact Assessment (DPIA).
     
  4. Beperkt privacybewustzijn in de organisatie
    Docenten, onderzoekers en stafmedewerkers weten niet altijd goed wat ze wel of niet mogen doen met persoonsgegevens. Zonder structurele training in privacyawareness kan door een gebrek aan kennis een datalek ontstaan of een andere schending van privacy.
     
  5. Onvoldoende controle over onderzoeksdata 
    Gegevens van proefpersonen worden soms onvoldoende beveiligd of verwerkt zonder anonimisering. Dit betekent dat de AVG niet goed wordt nageleefd, maar ondermijnt ook de onderzoeksethiek van de instelling.
     
  6. Gebrek aan transparantie richting betrokkenen 
    Studenten, (oud-)medewerkers, ouders of onderzoeksdeelnemers worden niet altijd goed geïnformeerd over het doel en de bewaartermijn van hun gegevens. Instellingen zijn verplicht hier helder over te communiceren.

Deze risico’s maken duidelijk dat voor privacy de volgende zaken nodig zijn:

  • Privacybeleid dat actueel is en door iedereen begrepen.
  • Regelmatig evalueren van de manier van verwerken van persoonsgegevens.
  • Structureel trainen en bewust maken van collega’s in de hele organisatie.
  • Toepassen van de twee verplichte uitgangspunten van de AVG: Privacy by Design en Privacy by Default.
  • Goed en helder informeren van de betrokkenen.
  • Gebruiken van standaardinstrumenten zoals het Toetsingskader Privacy en de SURF Model Verwerkersovereenkomst.

3. Wetgeving en beleid: AVG en privacyregels

Het uitgangspunt voor het privacybeleid van onderwijs- en onderzoeksinstellingen is de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie en daarop aansluitende Uitvoeringswet. Concreet betekent dit deze organisaties de volgende zaken ingeregeld moeten hebben:

Naleving van gegevensprivacy

DPIA: Data Protection Impact Assessment

Een Data Protection Impact Assessment (DPIA) is een verplicht privacyonderzoek als het verwerken van persoonsgegevens waarschijnlijk een hoog privacyrisico met zich meebrengt. In onderwijs is dit bijvoorbeeld het geval bij het gebruik van learning analytics. Dit is het verzamelen en analyseren van data die aan het leren zijn verbonden.

Een DPIA helpt om risico’s vooraf in kaart te brengen en passende maatregelen te nemen. Dit draagt bij aan transparantie, zorgvuldigheid én naleving van de AVG.

SURF helpt onder meer met de volgende standaarden, hulpmiddelen en richtlijnen voor instellingen:

  • Privacy Expertise Centrum
  • Toetsingskader Privacy
  • Jaarlijkse privacybenchmark via SURFaudit
  • Ondersteuning bij het opstellen van privacybeleid
  • SURF Modelverwerkersovereenkomst en andere templates
  • Sectorbrede samenwerking in de community SCIPR
  • Uitvoeren van DPIA’s op systemen en applicaties

Relevante externe bronnen:

4. Privacyawareness en training

Privacy is mensenwerk. Datalekken kunnen ontstaan als medewerkers of studenten niet weten hoe ze veilig met data en persoonsgegevens moeten omgaan. Voor privacyofficers betekent dit: investeren in het trainen van privacy- en securityawareness in alle lagen van de organisatie.  

Dat betekent onder meer: 

  • Trainen van medewerkers en studenten over veilig omgaan met privacygevoelige data.
  • Bewustwordingscampagnes op het gebied van privacy en security.
  • Inbedden van privacy in onboarding, professionalisering en kwaliteitszorg. 

SURF helpt met:

  • Kant-en-klare bewustwordingscampagnes van Cybersave Yourself. Zoals posters, filmpjes, quizzen, e-learningmodules.
  • SURF Privacy Expertise Centrum (PEC): handreikingen en templates.
  • Toetsingskader Privacy met bijbehorende masterclasses.
  • SURF Community voor Informatiebeveiliging en PRivacy, SCIPR.
  • Workshops en trainingen voor privacyofficers.

5. Privacy en technologie: AI, sociale media en apparaten

Innovaties zoals generatieve AI, digitale toetsplatformen en adaptieve leermiddelen brengen kansen, maar ook risico’s voor privacy. Veel instellingen worstelen met vragen rond privacy, zoals: 

  • Kan mijn instelling AI veilig gebruiken, zoals ChatGPT of Copilot? 
  • Zijn gratis apps als Kahoot wel AVG-compliant? 
  • Kunnen instellingen sociale media zoals Facebook veilig gebruiken in hun communicatie? 
  • Hoe voorkom je als instelling de doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER)? 
  • Hoe ga je als instelling om met het downloaden van niet-privacyvriendelijke apps op zakelijke mobiele telefoons en laptops? 

SURF voert risicoanalyses (DPIA’s) uit en deelt adviezen, onder meer over Zoom, Google for Education en Microsoft.  

De Taskforce Beyond Privacy Shield heeft producten en best practices opgeleverd voor een veilige, verantwoorde internationale uitwisseling van persoonsgegevens. De basis hiervoor is het vijfstappenplan van de Taskforce, gebaseerd op het stappenplan van de EDPB

Deze vragen over governance zijn steeds belangrijker:  

  • Wie is verantwoordelijk voor het gebruik van welke tool? 
  • Hoe borg je de toetsing van privacy in het inkoopproces? 

6. Privacy by Design en volwassenheidsmodellen

Voor de AVG is niet alleen naleving vereist, maar ook privacy als ontwerp. Dat betekent dat:

  • Privacy van begin af aan moet worden meegenomen in (inkoop)processen, systemen, tools en management (Privacy by Design).
  • Standaardinstellingen van systemen privacyvriendelijk moeten zijn (Privacy by Default).

SURF biedt:

  • Een Privacy by Design-framework.
  • Tools voor zelfevaluatie via het Toetsingskader Privacy en jaarlijkse sectorbrede benchmarking.
  • Formats, tooling en praktijkvoorbeelden voor privacyofficers en functionarissen gegevensbescherming (FG’s), inclusief benchmarkinformatie via het Toetsingskader Privacy.

Tip: Wil je weten hoe volwassen je instelling is op het gebied van privacy? Gebruik dan het Toetsingskader Privacy. Daarmee zie je waar je staat, waarin je nog moet investeren en hoe je de PDCA-verbetercyclus kunt inrichten.