Gedragscode veilig gebruik ict-middelen en persoonsgegevens
In het IBP-beleid zet je als school uiteen hoe je het veilig en verantwoord omgaan met persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. op school wilt garanderen en organiseren. Maar wat betekent dat voor de dagelijkse gang van zaken? Dat leg je vast in een gedragscode voor medewerkers en voor leerlingen. Deze gedragscodes bevatten regels over hoe je in de praktijk omgaat met persoonsgegevens, het verantwoord gebruik van internet en e-mail, het melden van beveiligingsincidenten en datalekken, de aanschaf van digitaal lesmateriaal en informatiesystemen, online onderwijs en het gebruik van eigen apparaten op school.
Je moet je als school niet alleen aan de Algemene Verordening Gegevensbescherming (AVG) houden, maar je moet ook kunnen aantonen dat je dat doet. Met een gedragscode laat je zien dat je informatiebeveiliging en privacyHet recht om met rust te worden gelaten, om te weten en te bepalen wat er met gegevens over jou gebeurt en om te weten wie de beschikking heeft over jouw persoonsgegevens. niet alleen serieus neemt op papier, maar ook in de dagelijkse praktijk. Het is zo voor iedereen duidelijk wat er van hen verwacht wordt. Ook zorg je er zo voor dat je medewerkers en leerlingen kunt aanspreken op het veilig en verantwoord omgaan met informatiebeveiliging en privacy.
Let op: niet alleen je vaste medewerkers moeten zich aan de gedragscode ict houden. De gedragscode geldt ook voor stagiairs, tijdelijke krachten, ingehuurd personeel, vrijwilligers en leveranciersAanbieders van ict- of leermiddelen.. Dit regel je door dit vast te leggen in de overeenkomst die je met de betreffende persoon of leverancier afsluit.
Is het wettelijk verplicht?
Als je persoonsgegevens verwerkt, moet je kunnen aantonen dat je daar zorgvuldig mee omgaat en je je aan de regels van de AVG houdt. Een van de manieren waarop je dat doet is met een gedragscode ict.
Meer informatie vind je in artikel 5.1 lid f van de AVG. Raapleeg het normenkader IBP po vo voor maatregelen die hierbij horen.
Wie doet wat?
Bij het opstellen van een gedragscode zijn verschillende rollen betrokken met elk hun eigen taken:
- Het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. stelt de gedragscode vast.
- De ict-coördinatorIn het po meestal betrokken bij de praktische uitvoering van IBP. Deze rol kan afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een Privacy Officer, manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder of kwaliteitsmedewerker. of Privacy OfficerIn het vo meestal betrokken bij de uitvoering van IBP. Deze rol kan ook afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder, ict-coördinator of kwaliteitsmedewerker. stelt de gedragscode op.
- De (G)MR stemt in met de gedragscode.
Meer weten over de rol- en taakverdeling voor IBP? Ga naar rollen en verantwoordelijkheden.
Aan de slag
Hoe stel je een gedragscode ict op en wat doe je daarna?
Stap 1 | Gedragscode opstellen
Heb je nog geen gedragscode? Gebruik dan de voorbeeldgedragscode. Gebruik de onderdelen die op jouw school van toepassing zijn. Een gedragscode bevat sowieso afspraken over de volgende onderwerpen:
- beveiligingsincidenten en datalekken
- het gebruik van sociale media
- het werken in de cloudDe cloud (Nederlands: wolk) staat voor een netwerk dat met alle computers die erop aangesloten zijn, een soort “wolk van computers” vormt. Als je op je werkstation bezig bent, weet meestal niet op hoeveel of op welke computer(s) de software draait of waar die computers precies staan.
- het gebruik van een eigen smartphone, tablet of ander device op het werk
- geheimhouding
- veilig gebruikmaken van het internet
- het op een veilige manier delen van informatie en persoonsgegevens
- gedragsregels voor online onderwijs
- een verwijzing naar het protocol voor het gebruik van foto’s en video’s
- hoe gecontroleerd wordt of de gedragscode wordt nageleefd
Stap 2 | Stel de gedragscode vast
Om de gedragscode te kunnen vaststellen is instemming van de (G)MR vereist, omdat het gaat om privacy van leerlingen en medewerkers en omdat naleving van de gedragscode gecontroleerd moet worden.
Stap 3 | Deel de gedragscode met je personeel en je leerlingen
Als je gedragscode is vastgesteld, zorg je ervoor dat al je medewerkers en leerlingen weten dat er een gedragscode is en wat erin staat. Je kunt de gedragscode voor medewerkers bespreken bij de introductie van nieuwe medewerkers, opnemen in het personeelshandboek, deel laten uitmaken van de arbeidsovereenkomst of daarin naar de gedragscode verwijzen. De gedragscode voor leerlingen kun je bijvoorbeeld publiceren in de digitale leeromgeving, net als de huisregels. Verder is het belangrijk dat deze gedragscode ook regelmatig (bijvoorbeeld bij de start van het schooljaar) in de klas wordt besproken.
Stap 4 | Creëer bewustwording
Met één keer delen ben je er niet. Je moet de afspraken uit je gedragscode blijvend onder de aandacht brengen. Dat kan bijvoorbeeld via je interne nieuwsbrief of via een van de animaties van Kennisnet over dit onderwerp.
Tools en voorbeelddocumenten
Hou rekening met
Meekijken op devices van leerlingen
Sommige scholen willen meekijken op de devices van leerlingen. Dat mag niet zomaar. In het artikel Meekijken op de devices van leerlingen staat waarmee je rekening moet houden.
Ondertekening gedragscode
Als school moet je kunnen aantonen dat een gedragscode bekend is bij medewerkers en leerlingen. Dat kan door middel van een handtekening, het opnemen in het personeelshandboek of werkinstructies, de interne website voor medewerkers, de digitale leeromgeving maar het kan ook op andere manieren. Belangrijk is dat je laat zien dat je de gedragscode regelmatig onder de aandacht brengt van je medewerkers en leerlingen.
