persoonsgegevens

& ICT beleid

De Europese privacyverordening AVG (algemene verordening gegevensbescherming) gaat over de 'bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens'. In het Engels heet de AVG General Data Protection Regulation (GDPR). 

De Lispeltuut werkt met Google Workspace. Google Drive voor alle documenten, spreadsheets, presentaties, formulieren, pdfjes, tekeningen, sites... en aanvullende services zoals YouTube, Zoeken, en Google Photo voor al onze foto's. Dit doen we omdat het voor iedereen, van jong tot oud heel gemakkelijk werkt. We kunnen makkelijk delen;  maar over welke content en hoe we delen (bewerken, inzien, suggesties) maken we met elkaar afspraken. Kinderen kunnen thuis gewoon verder werken. Hetzelfde geldt voor alle documenten in hun eigen mapje op Google Drive. Als kinderen thuis inloggen met hun schoolaccount op chrome (en dat kan op elk systeem), is ook het filter Safe Search van Google ingeschakeld. Ook zijn heel veel YouTube filmpjes geblokt vanwege de ingeschakelde ‘beperkte modus’. Let u er dan op dat er niet ook ingelogd is met een privé account. (Wettelijk mogen kinderen pas vanaf hun 16e verjaardag een privé account hebben.)

Principes AVG

De Autoriteit Persoonsgegevens beschrijft hierover in dit artikel.

Uiteraard gaat ook De Lispeltuut zorgvuldig om met data van u en uw kind en de leraar. Hieronder leest u hoe we dit doen. Deze pagina is zo volledig mogelijk. We stellen het op prijs als u meedenkt.. deel uw vragen met ons, zodat we dit zo goed mogelijk kunnen regelen.

Alle afspraken m.b.t. bewaren gelden algemeen. Maar natuurlijk mag een (oud-) leerling of ouder een verzoek indienen om te worden vergeten. Dan zullen we de betreffende data z.s.m. verwijderen.

We hebben de volgende procedures voor het opslaan van gegevens van leerlingen:

(M0217834 AVG / GDPR)  via het loket van de onderwijsinspectie: Geachte heer Vos, Hartelijk dank voor uw bericht. U vraagt zich af hoe lang de school de gegevens van een leerling moet bewaren. 

Een leerlingdossier bestaat onder meer uit informatie over de onderwijskundige en algemene begeleiding van de leerling zoals uitslagen van toetsresultaten en verslagen van gesprekken met ouders. Daarnaast zitten in een leerlingendossier administratieve gegevens zoals verzuim-, in- en uitschrijvingsgegevens en gegevens van leerlingen en hun ouders die nodig zijn voor het berekenen van het formatiebudget. In het algemeen geldt voor leerlinggegevens een bewaartermijn van 2 jaar nadat de leerling de school verlaten heeft. Zowel het onderwijskundig rapport als het psychologisch rapport dienen te worden vernietigd binnen twee jaar nadat een leerling van school is. Er zijn echter bepalingen in de onderwijswet- en regelgeving die een langere termijn voorschrijven. Zo geldt bijvoorbeeld voor het primair en voortgezet onderwijs dat gegevens over absentie, in- en uitschrijving 5 jaar bewaard moeten blijven nadat de leerling is uitgeschreven. Ook de adviezen en beslissingen van de Permanente Commissie Leerlingenzorg zijn hiervan een voorbeeld. Deze gegevens over een leerling die naar een school voor speciaal onderwijs is doorverwezen, moet een school 3 jaar bewaren, na het vertrek van de leerling. Met vriendelijke groet, Ruud van de Werken - Loket Onderwijsinspectie - Inspectie van het Onderwijs, Ministerie van Onderwijs, Cultuur & Wetenschap, www.onderwijsinspectie.nl 

Alle kinderen t/m groep 4 hebben een groepsaccount in het domein lispeltuut.nl. Vanaf groep 6 (en soms al vanaf groep 5) heeft elk kind een persoonlijk account. 

De leraren hebben toegang tot alle data van alle leerlingen. In onze kleine organisatie vinden wij het nodig dat we weten wat er speelt met kinderen, ook in andere groepen dan je eigen stamgroep. Voor de leraren is er ook een gesloten website, alleen toegankelijk voor de leraren. Hierop komen o.a. ziek- andere absentiemeldingen van kinderen. Deze data wordt na 8 jaar verwijderd.

We hebben de volgende procedures voor het opslaan van gegevens van leraren:

Alle leraren hebben een educatieve @lispeltuut.nl account (GSuite). Leraren moeten minstens 2-traps identificatie instellen. Dat betekent dat zij naast het kiezen van een sterk wachtwoord bij hun account, hun mobiele telefoon gebruiken waarop een 6-cijferige code verschijnt als zij proberen in te loggen op een andere apparaat (behalve een chromebook kan dat vrijwel elk digitaal  apparaat zijn). 

Op het apparaat kan ook lokaal data worden opgeslagen. Dat gebeurt bijvoorbeeld automatisch bij het maken van een pdf. Op een chromebook is deze lokale schijf gekoppeld aan de persoonlijke account en dus evengoed beschermd als hierboven beschreven. Op andere apparaten moet de leraar dus bewust zijn dat hij/zij deze data verwijdert. 

De Lispeltuut werkt met Google Workspace. Google Drive voor alle documenten, spreadsheets, presentaties, formulieren, pdfjes, tekeningen, sites... en aanvullende services zoals YouTube, Zoeken, en Google Photo voor al onze foto's. Dit doen we omdat het voor iedereen, van jong tot oud heel gemakkelijk werkt. We kunnen makkelijk delen;  maar over welke content en hoe we delen (bewerken, inzien, suggesties) maken we met elkaar afspraken. Kinderen kunnen thuis gewoon verder werken. Hetzelfde geldt voor alle documenten in hun eigen mapje op Google Drive. Als kinderen thuis inloggen met hun schoolaccount op chrome (en dat kan op elk systeem), is ook het filter Safe Search van Google ingeschakeld. Ook zijn heel veel YouTube filmpjes geblokt vanwege de ingeschakelde ‘beperkte modus’. Let u er dan op dat er niet ook ingelogd is met een privé account. (Wettelijk mogen kinderen pas vanaf hun 16e verjaardag een privé account hebben.)

Alle werk van leerlingen en leraren wordt na het verlaten van de school eigendom van de school: de persoonlijke account wordt opgeheven en admin@lispeltuut.nl wordt de nieuwe eigenaar. 

Omdat deze data geen persoonlijke gegevens bevat is hiervoor geen bewaartermijn, maar zullen we na enkele jaren ook deze data verwijderen.

Wilt u dat alle persoonsgegevens verwijderd worden; geeft u dat dan aan via dit formulier:

De vraag of dat digitaal werken in the cloud allemaal wel veilig is nemen wij zeer serieus. Om die reden is Hans aanwezig geweest bij bijeenkomsten waar Google uitleg gaf en besprak hij met Google medewerkers hoe die veiligheid is geregeld. O.a. bij Google Cloud Next Amsterdam op wo 21 juni 2017 en Go2017 in Amsterdam op woensdagmiddag 27 september 2017. En op 28 november 2018 bij Google Cloud Summit Experience in Taets (Zaandam). 

Google houdt zich aan GDPR. Dat betekent in eenvoudige woorden:

Specifiek beschrijft Google hier het beleid. En hier kunt u nog veel meer lezen. 

En leest u hier alle informatie over het privacy beleid. Google werkt met diverse subverwerkers.

APS info november 2017

AVG = Algemene Verordening gegevensbescherming

update 11 december 2021:

Eind 2021 volgde Hans diverse online bijeenkomsten, o.a.: sofasessie AVG en meer en veilig leren

Lees hier meer over de Google - privacy policy.

On January 5, 2022, we’re making some changes to our Terms of Service. These changes won’t affect the way you use Google services, but they’ll make it easier for you to understand what to expect from Google — and what we expect from you — as you use our services. You can review the new terms here. At a glance, here’s what this update means for you:

Thank you for using Google!

update 2 maart 2021

N.a.v. vragen van kamerleden is de conclusie getrokken dat Google Workspace niet veilig genoeg is volgens AVG. Leest u meer info in een artikel van de NOS, de  Volkskrant en Emerce. Volgens Google ligt dit genuanceerder. Uiteraard volgen we het debat hierover. NB we moeten dit wel relativeren. Het gaat niet over de data (teksten, spreadsheets, presentaties enz). Dat is persoonlijk en veilig. Het gaat over metadata. In de obo en mibo werken met groepsaccounts en is dit dus niet relevant. In de bobo werken we met individuele leerlingaccounts, waaraan alleen een voor- en achternaam is gekoppeld. Die accounts worden aan het eind van de basisschool opgeheven. Dus daarvan is niets terug te voeren naar het individuele kind.

update 14 december 2019:

Beste beheerder,

Met deze e-mail willen we u informeren over wijzigingen in onze servicevoorwaarden en ons privacybeleid voor eindgebruikers. Deze wijzigingen zijn van toepassing op uw gebruikers in de Europese Economische Ruimte (EER) en Zwitserland en kunnen effect hebben op en worden opgemerkt door gebruikers in uw domein lispeltuut.nl wanneer ze sommige van de aanvullende services van Google gebruiken. De wijzigingen hebben geen effect op de voorwaarden van de overeenkomst tussen Google en uw organisatie. Als u aanvullende services heeft uitgeschakeld voor gebruikers in uw domein, ondervinden ze geen effect van deze wijzigingen.

Wat verandert er?

Voor gebruikers in uw domein die zijn gevestigd in de Europese Economische Ruimte (EU-landen, IJsland, Liechtenstein en Noorwegen) of Zwitserland, worden vanaf 22 januari 2019 services die worden aangeboden onder de servicevoorwaarden voor eindgebruikers, aangeboden door Google Ireland Limited in plaats van Google LLC. U kunt de nieuwe voorwaarden voor de meerderheid van de aanvullende services hier vinden. In de servicevoorwaarden voor Play, YouTube en de betaalde YouTube-service worden vergelijkbare wijzigingen doorgevoerd.

Het privacybeleid van Google voor de aanvullende services wordt ook geüpdatet. In het nieuwe beleid wordt gespecificeerd dat Google Ireland Limited de verwerkingsverantwoordelijke is voor gegevens van deze gebruikers, en verantwoordelijk is voor naleving van de betreffende privacywetgeving (tenzij anderszins aangegeven in een servicespecifieke privacyverklaring). U kunt het geüpdatete beleid hier vinden.

Nieuwe info per 11 januari 2018:

cp-emea-GDPR-Netherlands-Whitepaper.pdf