FA authenticatie op hetzelfde device

Transcriptie

1 FAQ AVG2018 Klantendeel We merken dat de Algemene Verordening Gegevensbescherming (AVG) een aantal vragen oproept. Daarom publiceren we vanaf nu alle vragen en antwoorden met betrekking tot de AVG2018 hier op het klantendeel. 1. Meerdere personen met één account Vraag: Een supervisor-account wordt op een aantal scholen door meerdere personeelsleden gebruikt. Is dit verstandig? Antwoord: Nee. Wij raden het gebruik van één account door meerdere personen af. Voor het supervisor-account is het van belang dat de logging van dat account kan worden bekeken bij mogelijk onrechtmatig gebruik en daarmee herleidbaar is tot één natuurlijke persoon. Wanneer meerdere gebruikers met het account inloggen, wordt het bij problemen erg lastig, zo niet onmogelijk om te achterhalen om welke gebruiker het gaat. Aan te raden is dat het supervisor-account alleen door de beheerder wordt gebruikt en dat de andere gebruikers supervisorrechten krijgen op het eigen OOP-account. 2. 2FA authenticatie op hetzelfde device Vraag: Wat is het standpunt van Magister over het inloggen met 2FA via een programma dat is geïnstalleerd op hetzelfde device als het device waarop de gebruiker inlogt in zijn/haar Magisteromgeving? Antwoord: We raden het gebruik van dergelijke vormen van authenticatie af. Op deze manier ontstaat een vorm van schijnveiligheid nu zowel het authenticatie-programma als de Magisteromgeving op hetzelfde device staan. Indien personeelsleden bezwaar hebben tegen het gebruik van een (eigen) smartphone, raden wij aan om over te stappen op het gebruik van hardtokens. Meer informatie over hardtokens en het aanvragen van deze tokens vindt u via 3. Overstapdashboard Vraag: Een MBO school krijgt aanmeldingen van VO leerlingen binnen die op deze school onderwijs willen gaan volgen. De MBO school wisselt de gegevens van deze VO leerlingen uit met het Overstapdashboard ( Dient de school expliciete toestemming van deze leerlingen te ontvangen voor zij de gegevens mag uitwisselen met het Overstapdashboard? Antwoord: De MBO school hoeft van de VO leerlingen geen expliciete toestemming te ontvangen om de gegevens van deze leerlingen uit te mogen wisselen met het Overstapdashboard. De uitwisseling van de leerlinggegevens met het Overstapdashboard is een verwerking ter uitvoering van de Onderwijswet. Bij een dergelijke verwerking ter uitvoering van wetgeving is het niet nodig om daarnaast ook nog expliciete toestemming van de betrokkenen (de VO leerlingen) te

2 ontvangen om tot uitwisseling van de gegevens over te mogen gaan, aldus het eerste lid van artikel 6 van de Algemene Verordening Gegevensbescherming (AVG). Voor overige vragen met betrekking tot het Overstapdashboard kunt u contact opnemen met het Overstapdashboard, via of info@tignl.eu. 4. Recht op dataportabiliteit dataportabiliteit, op grond van artikel 20 van de Algemene Verordening Gegevensbescherming (AVG). Moet de school hierin voorzien, of is Magister hiervoor verantwoordelijk? Antwoord: Het recht op dataportabiliteit geldt alleen voor de persoonsgegevens die zijn verwerkt met expliciete toestemming van de betrokkene of op grond van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke. Dataportabiliteit geldt onder sub a van het eerste lid van artikel 20 van de AVG niet voor persoonsgegevens die zijn verwerkt op grond van een wettelijke taak. Als Magister voorzien wij in het recht op dataportabiliteit met behulp van de Overstapservice Onderwijs (OSO), het Digitaal Overdrachts Dossier (DOD), het Overstapdashboard en Conversie naar andere leerlingenadministratiesystemen conform de bestaande afspraken. Verzoeken tot dataportabiliteit nemen wij alleen aan als deze afkomstig zijn van scholen; betrokkenen dienen een verzoek tot dataportabiliteit in te dienen bij de scholen zelf, aangezien de scholen verwerkingsverantwoordelijke zijn. De school houdt als verwerkingsverantwoordelijke altijd recht op haar eigen database. Bij een overstap naar een ander platform kunnen dan ook afspraken worden gemaakt over de toegang tot deze gegevens. 5. Recht op vergetelheid vergetelheid, op grond van artikel 17 van de Algemene Verordening Gegevensbescherming (AVG). Moet de school hierin voorzien, of is Magister hiervoor verantwoordelijk? Antwoord: Het recht op vergetelheid houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene hierom vraagt. Zo geeft artikel 17 van de AVG in het eerste lid een opsomming van situaties waarin persoonsgegevens gewist dienen te worden. Hierbij gaat het bijvoorbeeld om een situatie waarin de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld, of indien de betrokkene de verleende toestemming voor de verwerking intrekt, waardoor er geen grond meer is om de persoonsgegevens te mogen verwerken. Persoonsgegevens in Magister worden verwerkt op grond van een wettelijke taak. Het eerste lid van artikel 17 is niet van toepassing zolang de gegevens van een betrokkene worden verwerkt op grond van deze wettelijke taak, aldus sub b van het derde lid van dit artikel. Maar mocht bijvoorbeeld de bewaartermijn van deze verwerkte gegevens zijn verlopen, dan is daarmee de

3 grond voor de verwerking komen te vervallen en dient de organisatie deze gegevens te verwijderen. Magister is op grond van artikel 4, sub 8 van de AVG de verwerker en verwerkt uitsluitend in opdracht van de school gegevens. De school is op grond van sub 7 van artikel 4 verwerkingsverantwoordelijke en dient daarmee de gegevens van de betrokkene te verwijderen bij een succesvol beroep op het recht van vergetelheid. Mocht het zo zijn dat de school Magister hierbij nodig heeft, dan zullen wij hier in opdracht van de school natuurlijk volledig aan meewerken. 6. Recht op inzage inzage in de over hem/haar verwerkte persoonsgegevens, op grond van artikel 15 van de Algemene Verordening Gegevensbescherming (AVG). Moet de school hierin voorzien, of is Magister hiervoor verantwoordelijk? Antwoord: In artikel 15 van de Algemene Verordening Gegevensbescherming staat in lid 1 het volgende: De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en de in sub a tot en met h genoemde informatie. Magister is op grond van artikel 4, sub 8 van de Algemene Verordening Gegevensbescherming de verwerker en verwerkt uitsluitend in opdracht van de school gegevens. De school is op grond van sub 7 van artikel 4 verwerkingsverantwoordelijke en dient daarmee de betrokkene inzage te geven in de over hem verwerkte persoonsgegevens. Mocht het zo zijn dat de school Magister hierbij nodig heeft, dan zullen wij hier in opdracht van de school natuurlijk volledig aan meewerken. 7. Recht op rectificatie rectificatie van de over hem/haar verwerkte persoonsgegevens, op grond van artikel 16 van de Algemene Verordening Gegevensbescherming. Moet de school hierin voorzien, of is Magister hiervoor verantwoordelijk? Antwoord: In artikel 16 van de Algemene Verordening Gegevensbescherming staat in lid 1 het volgende: De betrokkene heeft het recht om van de verwerkingsverantwoordelijke onverwijld rectificatie van hem betreffende onjuiste persoonsgegevens te verkrijgen. Met inachtneming van de doeleinden van de verwerking heeft de betrokkene het recht vervollediging van onvolledige persoonsgegevens te verkrijgen, onder meer door een aanvullende verklaring te verstrekken. Magister is op grond van artikel 4, sub 8 van de Algemene Verordening Gegevensbescherming de verwerker en verwerkt uitsluitend in opdracht van de school gegevens. De school is op grond van sub 7 van artikel 4 verwerkingsverantwoordelijke en dient daarmee de gegevens van de betrokkene

4 aan te passen bij een rectificatieverzoek. Mocht het zo zijn dat de school Magister hierbij nodig heeft, dan zullen wij hier in opdracht van de school natuurlijk volledig aan meewerken. 8. Foto- en videobeelden van leerlingen Vraag: Wat zijn de regels omtrent het gebruik van foto- en videobeelden van leerlingen? Antwoord: Foto s en video s waarop personen herkenbaar in beeld zijn, zijn persoonsgegevens. Persoonsgegevens binnen Magister worden verwerkt op grond van een wettelijke taak. Hiervoor is het niet nodig dat de leerling of de ouder ook nog eens toestemming geeft voor de verwerking van deze persoonsgegevens. De verwerking op grond van een wettelijke taak geldt bijvoorbeeld voor de pasfoto s van leerlingen die binnen Magister worden gebruikt. Anders wordt het bij persoonsgegevens die niet worden verwerkt op grond van een wettelijke taak. Hierbij kan het bijvoorbeeld gaan om foto- en videobeelden van leerlingen tijdens een excursie. Als de school deze foto s wil gaan publiceren op de website of op de Facebook-pagina, dan vindt deze verwerking (de publicatie) niet plaats op grond van een wettelijke taak. Voor deze verwerking heeft de school dan ook toestemming nodig van de leerling, of van zijn ouder, verzorger of voogd indien de leerling de leeftijd van 16 jaar nog niet heeft bereikt. 9. Voortgangsrapportage aan ouders Vraag: Klopt de leeftijdsgrens van 18 jaar die bij de helpfunctie in Magister beschreven wordt. Zou dit niet 16 jaar moeten zijn? Antwoord: De leeftijdsgrens van 18 jaar zoals gegeven door de helpfunctie is correct. Op grond van artikel 23b van de Wet op het voortgezet onderwijs is de school verplicht om de vorderingen van de leerlingen aan hun ouders, voogden of verzorgers te rapporteren, totdat deze leerling meerderjarig en handelingsbekwaam is. Zodra de leerling 18 jaar oud is (en hij/zij handelingsbekwaam is), vervalt deze verplichting en is het aan de leerling zelf of er door de school nog aan zijn ouders gerapporteerd dient te worden. De leeftijdsgrens van 16 jaar vinden we terug in het eerste lid van artikel 8 van de Algemene Verordening Gegevensbescherming (AVG). Deze leeftijdsgrens ziet op het verlenen van toestemming voor de verwerking van persoonsgegevens. Zolang een leerling nog geen 16 jaar oud is, dient de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt deze toestemming te verlenen. Belangrijk hierbij is de kanttekening dat persoonsgegevens binnen Magister worden verwerkt op grond van een wettelijke taak. Voor deze verwerking is niet daarnaast ook nog toestemming nodig. Een voorbeeld van een verwerking van persoonsgegevens waarvoor toestemming van de ouder of het kind (indien 16+ jaar) vereist is, is bij het publiceren van foto s van een excursie op de schoolwebsite.

5 10. BSN in uitschrijfverklaring Vraag: Op dit moment staat het BSN van een leerling opgenomen in de uitschrijfverklaring. Blijft dit zo? Antwoord: Ja, het BSN laten we in de uitschrijfverklaring staan. Om te voorkomen dat de verkeerde leerling wordt uitgeschreven, bijvoorbeeld een broer van de leerling, is het belangrijk om het BSN op te nemen in de uitschrijfverklaring. 11. Toestemmingsmodule voor gebruik foto- en videobeelden Vraag: Voor het publiceren van foto- en videobeelden van leerlingen op bijvoorbeeld de schoolwebsite en de Facebookpagina is toestemming van de leerling of zijn/haar ouders nodig. Komt er in Magister een toestemmingsmodule waarin de toestemming voor deze publicatie kan worden vastgelegd? Antwoord: Ja, we gaan binnen Magister een toestemmingsmodule ontwerpen zodat de toestemming voor gebruik van foto- en videobeelden van leerlingen in Magister kan worden vastgelegd. 12. AVG en het papieren archief Vraag: Wat betekent de AVG voor het papieren archief van scholen? Antwoord: De AVG is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. Of het gaat om een papieren archief of een digitaal archief, maakt geen verschil als het gaat om een bestand. Een bestand is elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen. Een papieren archief met bijvoorbeeld de examens van alle leerlingen uit een bepaald jaar is dus ook een bestand. De conclusie is daarmee dat een papieren archief ook onder de reikwijdte van de AVG valt. 13. Peildatum en tijdreizen in Magister 5 en Magister 6 Vraag: In Magister 5 bestaat de mogelijkheid om door middel van het terugzetten van de peildatum, terug in de tijd te reizen en zo gegevens in te zien van leerlingen waar bijvoorbeeld een docent in het vorige jaar les aan heeft gegeven. Komt deze functionaliteit terug in Magister 6? Antwoord: Nee, deze functionaliteit komt niet terug in Magister 6. In de huidige situatie voldoen we aan de eisen van de Algemene Verordening Gegevensbescherming. Het tijdreizen in Magister geeft personeel toegang tot de gegevens van leerlingen aan wie zij bijvoorbeeld geen les meer geven in het huidige schooljaar. Onder de privacywetgeving mag een personeelslid alleen de

6 persoonsgegevens van leerlingen inzien aan wie hij of zij op grond van zijn of haar taken in het huidige schooljaar gekoppeld is. Wel blijft deze mogelijkheid van het terugzetten van de peildatum in de RDP versie van Magister voor OOP (Onderwijsondersteunend Personeel) bestaan ten behoeve van administratieve doeleinden.