persoonsgegevens
& ICT beleid
De Europese privacyverordening AVG (algemene verordening gegevensbescherming) gaat over de 'bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens'. In het Engels heet de AVG General Data Protection Regulation (GDPR).
De Lispeltuut werkt met Google Workspace. Google Drive voor alle documenten, spreadsheets, presentaties, formulieren, pdfjes, tekeningen, sites... en aanvullende services zoals YouTube, Zoeken, en Google Photo voor al onze foto's. Dit doen we omdat het voor iedereen, van jong tot oud heel gemakkelijk werkt. We kunnen makkelijk delen; maar over welke content en hoe we delen (bewerken, inzien, suggesties) maken we met elkaar afspraken. Kinderen kunnen thuis gewoon verder werken. Hetzelfde geldt voor alle documenten in hun eigen mapje op Google Drive. Als kinderen thuis inloggen met hun schoolaccount op chrome (en dat kan op elk systeem), is ook het filter Safe Search van Google ingeschakeld. Ook zijn heel veel YouTube filmpjes geblokt vanwege de ingeschakelde ‘beperkte modus’. Let u er dan op dat er niet ook ingelogd is met een privé account. (Wettelijk mogen kinderen pas vanaf hun 16e verjaardag een privé account hebben.)
Principes AVG
transparantie: de persoon van wie de gegevens verwerkt worden, is hier van op de hoogte, heeft hiervoor toelating gegeven en kent zijn rechten.
doelbeperking: de persoonsgegevens worden voor een welbepaald gewettigd doel verzameld, en mogen niet voor andere zaken gebruikt worden
gegevensbeperking: enkel de noodzakelijke gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld
juistheid: de persoonsgegevens moeten correct zijn en blijven
bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel
integriteit en vertrouwelijkheid: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging
verantwoording: de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen
De Autoriteit Persoonsgegevens beschrijft hierover in dit artikel.
Uiteraard gaat ook De Lispeltuut zorgvuldig om met data van u en uw kind en de leraar. Hieronder leest u hoe we dit doen. Deze pagina is zo volledig mogelijk. We stellen het op prijs als u meedenkt.. deel uw vragen met ons, zodat we dit zo goed mogelijk kunnen regelen.
Alle afspraken m.b.t. bewaren gelden algemeen. Maar natuurlijk mag een (oud-) leerling of ouder een verzoek indienen om te worden vergeten. Dan zullen we de betreffende data z.s.m. verwijderen.
We hebben de volgende procedures voor het opslaan van gegevens van leerlingen:
Onze leerlingenadministratie (naw gegevens van kind en ouder, opbrengsten leerlingvolgsysteem) doen we in ParnasSys. ParnasSys is alleen toegankelijk voor het team van De Lispeltuut. Vanuit ParnasSys geven we noodzakelijke gegevens, voor de bekostiging, door aan het ministerie van onderwijs via de beveiligde koppeling van DUO met 'Mijn Bron': De Dienst Uitvoering Onderwijs (DUO) is de uitvoeringsorganisatie van de Rijksoverheid voor het onderwijs. DUO bekostigt onderwijsinstellingen en verzamelt onderwijsgegevens. De Dienst Uitvoering Onderwijs (DUO) beheert BRON. BRON staat voor Basisregister Onderwijs. BRON heeft de gegevens van alle leerlingen in het onderwijs. Het gaat om het basisonderwijs, het voortgezet onderwijs het middelbaar, hoger beroepsonderwijs en het universitair onderwijs. Het Basisregister Onderwijs bevat gegevens over de in- en uitschrijving van leerlingen, en over examens en diploma's.
De Lispeltuut maakt gebruik van GoogleDrive (lees hieronder meer hoe Google die gegevens beschermt). Documenten met persoonlijke gegevens van kinderen zijn alleen toegankelijk voor het schoolteam van De Lispeltuut. We delen documenten met ouders en externe organisaties (logopedist, zorgteam, GGD, CJG), na toestemming van ouders, en altijd tijdelijk (dat gebeurt met een in te stellen 'deeltijd'). We hebben daarvoor een map, waarin de extern gedeelde documenten staan, zodat we altijd weten wat extern gedeeld is en die deling ook direct kunnen stoppen als dat nodig is. Ook verslaglegging van gesprekken gebeurt in documenten in Google Drive voor onze eigen informatie. Deze informatie, zoals alle kind informatie, delen wij alleen met ouders op eigen verzoek.
We gebruiken diverse educacatieve programma's: Rekentuin, Taalzee, Veilig Leren Lezen, Alles Telt Q, verkeer, .. deze worden allemaal gestart via Basispoort. Enkele programma's zijn op een andere wijze in gebruik: Bloon.
Voor de Borgbieb delen we enkele noodzakelijke gegevens (naw, geb.dat en geslacht) met de Flevomeerbibliotheek, t.b.v. het programma Schoolwise. Hiermee wordt het lenen van boeken binnen de Borg georganiseerd en geadministreerd.
Ten behoeve van historisch overzicht en bijvoorbeeld een reünie, blijven lijsten met groepsindelingen bewaard. Zo blijven ook alle foto's die gepubliceerd zijn op de website voor iedereen toegankelijk.
Gegevens over in- en uitschrijving en absentie bewaren we 5 jaar nadat een kind van school is.
Alle berichten in Gmail, SMS en WhatsApp bewaren we 8 jaar.
Kinderen krijgen een print van hun rapport (2x per jaar). In geval van gescheiden ouders kunnen we een extra rapport printen, als dat gewenst is. Gesprekken over een kind doen we 1x. Met de verzorgende ouder, of met beide ouders.
De leerkracht maakt eigen gespreksnotities over een leerling. Bijvoorbeeld voor de overdracht naar collega's, duopartners, IB, directie.. Deze worden niet gedeeld met de ouders. Ook niet op verzoek. We delen wel, ook alleen op verzoek, het leerlingdossier.
Het extern delen met o.a. andere scholen doen we alleen als het strikt noodzakelijk is (denk aan kennisgeving van in- of uitschrijving en onderwijskundig rapport) door een document (meestal een pdf) in een speciale map te plaatsen middels Shift-z (daardoor staat zo'n document in meerder mappen). Delen betekent dan: alleen weergeven. We beperken de deeltijd tot maximaal een maand. Voor externe zorgdossiers geldt ongeveer hetzelfde. Soms zal de deeltijd (langer dan een maand) en deelmanier (soms bewerken) variëren.
Voor speciale zorg aanvragen èn de overgang naar het V.O. delen we noodzakelijke gegevens met de applicatie Digidoor (digitaal doorstromen). Een applicatie die ontwikkeld en onderhouden wordt in opdracht van alle schoolbesturen van Lelystad en Almere.
Voor de eindtoets IEP, delen we via een beveiligde verbinding, de noodzakelijke gegevens van de kinderen van groep 8.
We delen, indien nodig en op aanvraag, namen van leerlingen en leraren en groepsindeling met de GGD, bibliotheek Flevoland en Brood&Spelen.
Op onze website vindt u alleen voornamen van de kinderen en hun groep.
Voor e-mail naar meer ouders tegelijk maken we gebruik van BCC.
Voor op naam gestelde brieven en documenten (merge) gebruiken we de spreadsheet addon Auto Crat. Zie ook hun terms of use.
De bestanden in GoogleDrive worden, na het verlaten van de school, nog 2 jaar bewaard, met uitzondering van ⇒
(M0217834 AVG / GDPR) via het loket van de onderwijsinspectie: Geachte heer Vos, Hartelijk dank voor uw bericht. U vraagt zich af hoe lang de school de gegevens van een leerling moet bewaren.
Een leerlingdossier bestaat onder meer uit informatie over de onderwijskundige en algemene begeleiding van de leerling zoals uitslagen van toetsresultaten en verslagen van gesprekken met ouders. Daarnaast zitten in een leerlingendossier administratieve gegevens zoals verzuim-, in- en uitschrijvingsgegevens en gegevens van leerlingen en hun ouders die nodig zijn voor het berekenen van het formatiebudget. In het algemeen geldt voor leerlinggegevens een bewaartermijn van 2 jaar nadat de leerling de school verlaten heeft. Zowel het onderwijskundig rapport als het psychologisch rapport dienen te worden vernietigd binnen twee jaar nadat een leerling van school is. Er zijn echter bepalingen in de onderwijswet- en regelgeving die een langere termijn voorschrijven. Zo geldt bijvoorbeeld voor het primair en voortgezet onderwijs dat gegevens over absentie, in- en uitschrijving 5 jaar bewaard moeten blijven nadat de leerling is uitgeschreven. Ook de adviezen en beslissingen van de Permanente Commissie Leerlingenzorg zijn hiervan een voorbeeld. Deze gegevens over een leerling die naar een school voor speciaal onderwijs is doorverwezen, moet een school 3 jaar bewaren, na het vertrek van de leerling. Met vriendelijke groet, Ruud van de Werken - Loket Onderwijsinspectie - Inspectie van het Onderwijs, Ministerie van Onderwijs, Cultuur & Wetenschap, www.onderwijsinspectie.nl
Alle kinderen t/m groep 4 hebben een groepsaccount in het domein lispeltuut.nl. Vanaf groep 6 (en soms al vanaf groep 5) heeft elk kind een persoonlijk account.
De leraren hebben toegang tot alle data van alle leerlingen. In onze kleine organisatie vinden wij het nodig dat we weten wat er speelt met kinderen, ook in andere groepen dan je eigen stamgroep. Voor de leraren is er ook een gesloten website, alleen toegankelijk voor de leraren. Hierop komen o.a. ziek- andere absentiemeldingen van kinderen. Deze data wordt na 8 jaar verwijderd.
We hebben de volgende procedures voor het opslaan van gegevens van leraren:
De gegevens van leraren worden, ten behoeve van o.a. de personeels- en salarisadministratie, opgeslagen bij 't Onderwijsbureau Meppel. De leraar heeft zelf zicht op de opgeslagen gegevens (persoonlijke inlog). De directeur kan gegevens aanvullen en of wijzigen, maar in principe gebeurt dat door de leraar zelf. Ook het bestuur en de staf van de stichting (SKO) heeft inzicht in deze gegevens.
Ook ziekmelding, hersteldmelding en verlof wordt gedaan bij 't OB. De regie is in handen van de directeur. Na 6 weken ziekte wordt er een PvA gemaakt door de directeur en de leraar. Dit wordt gedeeld met de ARBO-arts. De directeur is preventiemedewerker.
Op Google Drive werd het bekwaamheidsdossier (diploma's, certificaten, zwanger- en ouderschapsverlof, naw gegevens) voor de leraren bijgehouden. Alleen de leraar en de directeur hebben toegang. Dit is in 2022 overgezet naar 't Onderwijsbureau Meppel.
De gegevens worden, na het verlaten van de school, nog 3 jaar bewaard.
Alle leraren hebben een educatieve @lispeltuut.nl account (GSuite). Leraren moeten minstens 2-traps identificatie instellen. Dat betekent dat zij naast het kiezen van een sterk wachtwoord bij hun account, hun mobiele telefoon gebruiken waarop een 6-cijferige code verschijnt als zij proberen in te loggen op een andere apparaat (behalve een chromebook kan dat vrijwel elk digitaal apparaat zijn).
Op het apparaat kan ook lokaal data worden opgeslagen. Dat gebeurt bijvoorbeeld automatisch bij het maken van een pdf. Op een chromebook is deze lokale schijf gekoppeld aan de persoonlijke account en dus evengoed beschermd als hierboven beschreven. Op andere apparaten moet de leraar dus bewust zijn dat hij/zij deze data verwijdert.
De Lispeltuut werkt met Google Workspace. Google Drive voor alle documenten, spreadsheets, presentaties, formulieren, pdfjes, tekeningen, sites... en aanvullende services zoals YouTube, Zoeken, en Google Photo voor al onze foto's. Dit doen we omdat het voor iedereen, van jong tot oud heel gemakkelijk werkt. We kunnen makkelijk delen; maar over welke content en hoe we delen (bewerken, inzien, suggesties) maken we met elkaar afspraken. Kinderen kunnen thuis gewoon verder werken. Hetzelfde geldt voor alle documenten in hun eigen mapje op Google Drive. Als kinderen thuis inloggen met hun schoolaccount op chrome (en dat kan op elk systeem), is ook het filter Safe Search van Google ingeschakeld. Ook zijn heel veel YouTube filmpjes geblokt vanwege de ingeschakelde ‘beperkte modus’. Let u er dan op dat er niet ook ingelogd is met een privé account. (Wettelijk mogen kinderen pas vanaf hun 16e verjaardag een privé account hebben.)
Alle werk van leerlingen en leraren wordt na het verlaten van de school eigendom van de school: de persoonlijke account wordt opgeheven en admin@lispeltuut.nl wordt de nieuwe eigenaar.
Werk van leerlingen komt in een apart mapje, onder de naam van de leerling in een map van het jaar schooljaar waarop de leerling de school verliet. Oud-leerlingen kunnen een verzoek doen om hun eigen werk, tijdelijk, met een persoonlijke account te delen, zodat zij een kopie kunnen maken waarvan zij zelf eigenaar zijn.
Accounts van oud-leraren worden opgeheven. Hun data wordt eigendom van admin@lispeltuut.nl. Deze staat daarna nog steeds verspreid in de mappenstructuur en blijft gebruik worden door de collega's van dat moment.
Omdat deze data geen persoonlijke gegevens bevat is hiervoor geen bewaartermijn, maar zullen we na enkele jaren ook deze data verwijderen.
Wilt u dat alle persoonsgegevens verwijderd worden; geeft u dat dan aan via dit formulier:
De vraag of dat digitaal werken in the cloud allemaal wel veilig is nemen wij zeer serieus. Om die reden is Hans aanwezig geweest bij bijeenkomsten waar Google uitleg gaf en besprak hij met Google medewerkers hoe die veiligheid is geregeld. O.a. bij Google Cloud Next Amsterdam op wo 21 juni 2017 en Go2017 in Amsterdam op woensdagmiddag 27 september 2017. En op 28 november 2018 bij Google Cloud Summit Experience in Taets (Zaandam).
Google houdt zich aan GDPR. Dat betekent in eenvoudige woorden:
Google gebruikt géén data voor analyses .
educatieve accounts blijven gevrijwaard van reclames
Specifiek beschrijft Google hier het beleid. En hier kunt u nog veel meer lezen.
En leest u hier alle informatie over het privacy beleid. Google werkt met diverse subverwerkers.
APS info november 2017
AVG = Algemene Verordening gegevensbescherming
update 11 december 2021:
Eind 2021 volgde Hans diverse online bijeenkomsten, o.a.: sofasessie AVG en meer en veilig leren.
Lees hier meer over de Google - privacy policy.
On January 5, 2022, we’re making some changes to our Terms of Service. These changes won’t affect the way you use Google services, but they’ll make it easier for you to understand what to expect from Google — and what we expect from you — as you use our services. You can review the new terms here. At a glance, here’s what this update means for you:
More clarity on what you can expect from Google and what we expect from you: We’re providing more examples to describe the mutually respectful conduct that we expect from all our users.
Improved readability: While our terms remain a legal document, we’ve done our best to make them easier to understand, including reorganizing some topics so that they’re easier to find.
Thank you for using Google!
update 2 maart 2021
N.a.v. vragen van kamerleden is de conclusie getrokken dat Google Workspace niet veilig genoeg is volgens AVG. Leest u meer info in een artikel van de NOS, de Volkskrant en Emerce. Volgens Google ligt dit genuanceerder. Uiteraard volgen we het debat hierover. NB we moeten dit wel relativeren. Het gaat niet over de data (teksten, spreadsheets, presentaties enz). Dat is persoonlijk en veilig. Het gaat over metadata. In de obo en mibo werken met groepsaccounts en is dit dus niet relevant. In de bobo werken we met individuele leerlingaccounts, waaraan alleen een voor- en achternaam is gekoppeld. Die accounts worden aan het eind van de basisschool opgeheven. Dus daarvan is niets terug te voeren naar het individuele kind.
update 14 december 2019:
Beste beheerder,
Met deze e-mail willen we u informeren over wijzigingen in onze servicevoorwaarden en ons privacybeleid voor eindgebruikers. Deze wijzigingen zijn van toepassing op uw gebruikers in de Europese Economische Ruimte (EER) en Zwitserland en kunnen effect hebben op en worden opgemerkt door gebruikers in uw domein lispeltuut.nl wanneer ze sommige van de aanvullende services van Google gebruiken. De wijzigingen hebben geen effect op de voorwaarden van de overeenkomst tussen Google en uw organisatie. Als u aanvullende services heeft uitgeschakeld voor gebruikers in uw domein, ondervinden ze geen effect van deze wijzigingen.
Wat verandert er?
Voor gebruikers in uw domein die zijn gevestigd in de Europese Economische Ruimte (EU-landen, IJsland, Liechtenstein en Noorwegen) of Zwitserland, worden vanaf 22 januari 2019 services die worden aangeboden onder de servicevoorwaarden voor eindgebruikers, aangeboden door Google Ireland Limited in plaats van Google LLC. U kunt de nieuwe voorwaarden voor de meerderheid van de aanvullende services hier vinden. In de servicevoorwaarden voor Play, YouTube en de betaalde YouTube-service worden vergelijkbare wijzigingen doorgevoerd.
Het privacybeleid van Google voor de aanvullende services wordt ook geüpdatet. In het nieuwe beleid wordt gespecificeerd dat Google Ireland Limited de verwerkingsverantwoordelijke is voor gegevens van deze gebruikers, en verantwoordelijk is voor naleving van de betreffende privacywetgeving (tenzij anderszins aangegeven in een servicespecifieke privacyverklaring). U kunt het geüpdatete beleid hier vinden.
Nieuwe info per 11 januari 2018: