Onderwijsadviseur Wim van der Veen helpt schoolbesturen als Privacy Officer

Hoe is deze bal aan het rollen gekomen?

“Veel schoolbesturen hebben behoefte aan specialisten die kunnen helpen bij het ontwikkelen van beleid met betrekking tot Privacy & Security, en bij het controleren op de naleving ervan. Zo kreeg ik vorig jaar van een stichting die gebruik maakt van mijn diensten als ICT-regisseur de vraag of ik ook op dit gebied wilde adviseren en begeleiden. Dat wilde ik zeker wel, maar ik heb er meteen bij gezegd dat ik dan eerst een opleiding wilde volgen. Ik wist best het een en ander van het onderwerp, maar niet genoeg, vond ik zelf. Mijn teamleider vond het een goed idee om daarin te investeren, en zo heb ik bij onderwijsadviesbureau Privacy op School de cursus Privacy Officer/Functionaris Gegevensbescherming kunnen volgen.”

Wat hield die cursus in?

“Het ging vooral over de basis van AVG. Waar komt het vandaan, hoe is het geregeld in Nederland, op basis van welke grondslag verwerken we in het onderwijs bepaalde gegevens en wat wordt er concreet van onderwijsinstellingen verwacht? Verder hebben we gekeken naar het uitvoeren van DPIA’s, met een lang Nederlands woord ook wel een gegevensbeschermingseffectbeoordeling genoemd. Zo’n DPIA is een hulpmiddel waarmee scholen en stichtingen hun privacyrisico's helder in kaart kunnen brengen.”

Word je als Privacy Officer voor onbepaalde tijd ingezet?

“Als het goed is, is mijn rol als Privacy Officer eindig. Als het beleid eenmaal staat, is het aan het bestuur of de school om het te onderhouden en te herijken wanneer dat nodig is. Maar het kan wel nuttig zijn om een beetje te blijven meekijken. Om een voorbeeld te noemen: in 2021 zijn er in het onderwijs enkele toetsen uitgevoerd voor het gebruik van bijvoorbeeld Google en YouTube. Daar zijn diverse adviezen uit voortgekomen, en de afgelopen kerstvakantie heeft Heutink ICT invulling gegeven aan een aantal daarvan. Voor scholen betekende dat onder meer dat kinderen YouTube niet meer zomaar konden gebruiken in de les. Veel van hen gingen een omweg zoeken, maar dat is natuurlijk niet de bedoeling. Op zo’n moment moet de verwerkingsverantwoordelijke – de bestuurder – toestemming geven om YouTube toch weer aan te zetten, ondanks de risico’s. En dan is het handig als er op de achtergrond een deskundige alert is op zulke zaken en de bestuurder erop wijst.”

Gaat Heutink ICT de komende tijd meer Privacy Officers aanbieden?

“Ja, daar wordt aan gewerkt. Het lijkt me ook een goede zaak, want zoals gezegd is er vanuit de scholen veel vraag naar dit soort expertise. Zelf ben ik in ieder geval vast van plan om ook de vervolgcursus van Privacy op School te gaan volgen. En binnen ons team Training & Advies kan ik een mooie voortrekkersrol vervullen. Ik heb mijn mede-teamleden destijds al even meegenomen in wat ik tijdens de eerste cursus had geleerd en waar de focus op lag. Het is een mooie uitbreiding van ons aanbod aan scholen en besturen.”

Dat betekent ook een verschuiving in jullie rol als trainers en adviseurs.

“Zeker. Gaven we eerst alleen trainingen voor het werken met een digibord, straks gaan we bij wijze van spreken ook trainingen geven over hoe je een digibord beveiligt wanneer je even niet in de klas bent. Een datalek komt niet alleen voor als je van afstand wordt gehackt of als iemand wachtwoorden buitmaakt. Het kan ook simpelweg een gevolg zijn van situaties waarin personen bij gegevens kunnen waar ze niet bij móeten kunnen. Die situaties moet je voorkomen. Gelukkig zijn we ons als maatschappij steeds meer bewust van de risico’s en gaan we steeds behoedzamer om met onze eigen gegevens. Ik vind het in deze tijd eigenlijk ook gewoon een taak van Heutink ICT om scholen hierin te ondersteunen.”