persoonsgegevens

De Europese privacyverordening AVG (algemene verordening gegevensbescherming) gaat over de 'bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens'. In het Engels heet de AVG General Data Protection Regulation (GDPR).

Principes AVG

  • transparantie: de persoon van wie de gegevens verwerkt worden, is hier van op de hoogte, heeft hiervoor toelating gegeven en kent zijn rechten.
  • doelbeperking: de persoonsgegevens worden voor een welbepaald gewettigd doel verzameld, en mogen niet voor andere zaken gebruikt worden
  • gegevensbeperking: enkel de noodzakelijke gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld
  • juistheid: de persoonsgegevens moeten correct zijn en blijven
  • bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel
  • integriteit en vertrouwelijkheid: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging
  • verantwoording: de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen

De Autoriteit Persoonsgegevens beschrijft hierover in dit artikel.

Uiteraard gaat ook De Lispeltuut zorgvuldig om met data van u en uw kind en de leraar. Hieronder leest u hoe we dit doen. Deze pagina is zo volledig mogelijk. We stellen het op prijs als u meedenkt.. deel uw vragen met ons, zodat we dit zo goed mogelijk kunnen regelen.

Alle afspraken m.b.t. bewaren gelden algemeen. Maar natuurlijk mag een (oud-) leerling of ouder een verzoek indienen om te worden vergeten. Dan zullen we de betreffende data z.s.m. verwijderen.

We hebben de volgende procedures voor het opslaan van gegevens van leerlingen:

  • Onze leerlingenadministratie (naw gegevens van kind en ouder, opbrengsten leerlingvolgsysteem) doen we in ParnasSys. ParnasSys is alleen toegankelijk voor het team van De Lispeltuut. Vanuit ParnasSys geven we noodzakelijke gegevens, voor de bekostiging, door aan het ministerie van onderwijs via de beveiligde koppeling van DUO met 'Mijn Bron': De Dienst Uitvoering Onderwijs (DUO) is de uitvoeringsorganisatie van de Rijksoverheid voor het onderwijs. DUO bekostigt onderwijsinstellingen en verzamelt onderwijsgegevens. De Dienst Uitvoering Onderwijs (DUO) beheert BRON. BRON staat voor Basisregister Onderwijs. BRON heeft de gegevens van alle leerlingen in het onderwijs. Het gaat om het basisonderwijs, het voortgezet onderwijs het middelbaar, hoger beroepsonderwijs en het universitair onderwijs. Het Basisregister Onderwijs bevat gegevens over de in- en uitschrijving van leerlingen, en over examens en diploma's.
  • De Lispeltuut maakt gebruik van GoogleDrive (lees hieronder meer hoe Google die gegevens beschermt). Documenten met persoonlijke gegevens van kinderen zijn alleen toegankelijk voor het schoolteam van De Lispeltuut. We delen documenten met ouders en externe organisaties (logopedist, zorgteam, GGD, CJG), na toestemming van ouders, en altijd tijdelijk (dat gebeurt met een in te stellen 'deeltijd'). We hebben daarvoor een map, waarin de extern gedeelde documenten staan, zodat we altijd weten wat extern gedeeld is en die deling ook direct kunnen stoppen als dat nodig is. Ook verslaglegging van gesprekken gebeurt in documenten in Google Drive voor onze eigen informatie. Deze informatie, zoals alle kind informatie, delen wij alleen met ouders op eigen verzoek.
  • Ten behoeve van historisch overzicht en bijvoorbeeld een reünie, blijven lijsten met groepsindelingen bewaard. Zo blijven ook alle foto's die gepubliceerd zijn op de website voor iedereen toegankelijk.
  • Gegevens over in- en uitschrijving en absentie bewaren we 5 jaar nadat een kind van school is.
  • Alle berichten in Gmail, SMS en WhatsApp bewaren we 8 jaar.
  • Kinderen krijgen een print van hun rapport (2x per jaar). In geval van gescheiden ouders kunnen we een extra rapport printen, als dat gewenst is. Gesprekken over een kind doen we 1x. Met de verzorgende ouder, of met beide ouders.
  • De leerkracht maakt eigen gespreksnotities over een leerling. Bijvoorbeeld voor de overdracht naar collega's, duopartners, IB, directie.. Deze worden niet gedeeld met de ouders. Ook niet op verzoek. We delen wel, ook alleen op verzoek, het leerlingdossier.
  • Voor speciale zorg aanvragen èn de overgang naar het V.O. delen we noodzakelijke gegevens met de applicatie Digidoor (digitaal doorstromen). Een applicatie die ontwikkeld en onderhouden wordt in opdracht van alle schoolbesturen van Lelystad en Almere.
  • Voor de eindtoets IEP, delen we via een beveiligde verbinding, de noodzakelijke gegevens van de kinderen van groep 8.
  • We delen, indien nodig en op aanvraag, namen van leerlingen en leraren en groepsindeling met de GGD, bibliotheek Flevoland en Brood&Spelen.
  • Op onze website vindt u alleen voornamen van de kinderen en hun groep.
  • Voor persoonlijke mailmerge naar ouders maken we gebruik van de spreadsheet addon Yamm. Zie ook hun terms of use.
  • Voor op naam gestelde brieven en documenten (merge) gebruiken we de spreadsheet addon Auto Crat. Zie ook hun terms of use.
  • De bestanden in GoogleDrive worden, na het verlaten van de school, nog 2 jaar bewaard, met uitzondering van ⇒

(M0217834 AVG / GDPR) via het loket van de onderwijsinspectie: Geachte heer Vos, Hartelijk dank voor uw bericht. U vraagt zich af hoe lang de school de gegevens van een leerling moet bewaren.

Een leerlingdossier bestaat onder meer uit informatie over de onderwijskundige en algemene begeleiding van de leerling zoals uitslagen van toetsresultaten en verslagen van gesprekken met ouders. Daarnaast zitten in een leerlingendossier administratieve gegevens zoals verzuim-, in- en uitschrijvingsgegevens en gegevens van leerlingen en hun ouders die nodig zijn voor het berekenen van het formatiebudget. In het algemeen geldt voor leerlinggegevens een bewaartermijn van 2 jaar nadat de leerling de school verlaten heeft. Zowel het onderwijskundig rapport als het psychologisch rapport dienen te worden vernietigd binnen twee jaar nadat een leerling van school is. Er zijn echter bepalingen in de onderwijswet- en regelgeving die een langere termijn voorschrijven. Zo geldt bijvoorbeeld voor het primair en voortgezet onderwijs dat gegevens over absentie, in- en uitschrijving 5 jaar bewaard moeten blijven nadat de leerling is uitgeschreven. Ook de adviezen en beslissingen van de Permanente Commissie Leerlingenzorg zijn hiervan een voorbeeld. Deze gegevens over een leerling die naar een school voor speciaal onderwijs is doorverwezen, moet een school 3 jaar bewaren, na het vertrek van de leerling. Met vriendelijke groet, Ruud van de Werken - Loket Onderwijsinspectie - Inspectie van het Onderwijs, Ministerie van Onderwijs, Cultuur & Wetenschap, www.onderwijsinspectie.nl

Alle kinderen t/m groep 5 hebben een groepsaccount in het domein lispeltuut.nl. Vanaf groep 6 heeft elk kind een persoonlijk account.

De leraren hebben toegang tot alle data van alle leerlingen. In onze kleine organisatie vinden wij het nodig dat we weten wat er speelt met kinderen, ook in andere groepen dan je eigen stamgroep. Voor de leraren is er ook een gesloten website, alleen toegankelijk voor de leraren. Hierop komen o.a. ziek- andere absentiemeldingen van kinderen. Deze data wordt na 3 maanden verwijderd.

We hebben de volgende procedures voor het opslaan van gegevens van leraren:

  • De gegevens van leraren worden, ten behoeve van o.a. de salarisadministratie, opgeslagen bij 't Onderwijsbureau Meppel. De leraar heeft zelf zicht op de opgeslagen gegevens (persoonlijke inlog). De directeur kan gegevens aanvullen en of wijzigen, maar in principe gebeurt dat door de leraar zelf. Ook het bestuur en de staf van de stichting (SKO) heeft inzicht in deze gegevens.
  • Ook ziekmelding, hersteldmelding en verlof wordt gedaan bij 't OB. De regie is in handen van de directeur. Na 6 weken ziekte wordt er een PvA gemaakt door de directeur en de leraar. Dit wordt gedeeld met de ARBO-arts. De directeur is preventiemedewerker.
  • Op Google Drive wordt het bekwaamheidsdossier (diploma's, certificaten, zwanger- en ouderschapsverlof, naw gegevens) voor de leraren bijgehouden. Alleen de leraar en de directeur hebben toegang.
  • De gegevens worden, na het verlaten van de school, nog 3 jaar bewaard.

Alle leraren hebben een educatieve @lispeltuut.nl account (GSuite). Leraren moeten minstens 2-traps identificatie instellen. Dat betekent dat zij naast het kiezen van een sterk wachtwoord bij hun account, hun mobiele telefoon gebruiken waarop een 6-cijferige code verschijnt als zij proberen in te loggen op een andere apparaat (behalve een chromebook kan dat vrijwel elk digitaal apparaat zijn).

Op het apparaat kan ook lokaal data worden opgeslagen. Dat gebeurt bijvoorbeeld automatisch bij het maken van een pdf. Op een chromebook is deze lokale schijf gekoppeld aan de persoonlijke account en dus evengoed beschermd als hierboven beschreven. Op andere apparaten moet de leraar dus bewust zijn dat hij/zij deze data verwijdert.

De Lispeltuut werkt met Google. Google Drive voor alle documenten, spreadsheets, presentaties, formulieren, pdfjes, tekeningen, sites... en Google Photo voor al onze foto's. Dit doen we omdat het voor iedereen, van jong tot oud heel gemakkelijk werkt. We kunnen makkelijk delen; maar over welke content en hoe we delen (bewerken, inzien, suggesties) maken we met elkaar afspraken. Kinderen kunnen thuis gewoon verder werken. Hetzelfde geldt voor alle documenten in hun eigen mapje op Google Drive. Als kinderen thuis inloggen met hun schoolaccount op chrome (en dat kan op elk systeem), is ook het filter Safe Search van Google ingeschakeld. Ook zijn heel veel YouTube filmpjes geblokt vanwege de ingeschakelde ‘beperkte modus’. Let u er dan op dat er niet ook ingelogd is met een privé account. (Wettelijk mogen kinderen pas vanaf hun 16e verjaardag een privé account hebben.)

Alle werk van leerlingen en leraren wordt na het verlaten van de school eigendom van de school: de persoonlijke account wordt opgeheven en admin@lispeltuut.nl wordt de nieuwe eigenaar.

  • Werk van leerlingen komt in een apart mapje, onder de naam van de leerling in een map van het jaar schooljaar waarop de leerling de school verliet. Oud-leerlingen kunnen een verzoek doen om hun eigen werk, tijdelijk, met een persoonlijke account te delen, zodat zij een kopie kunnen maken waarvan zij zelf eigenaar zijn.
  • Werk van oud-leraren staat daarna nog steeds verspreid in de mappenstructuur en blijft gebruik worden door de collega's van dat moment. Ook oud-collega's kunnen een verzoek doen tot, tijdelijk, delen van bepaalde bestanden.

Omdat deze data geen persoonlijke gegevens bevat is hiervoor geen bewaartermijn, maar zullen we na enkele jaren ook deze data verwijderen.

Wilt u dat alle persoonsgegevens verwijderd worden; geeft u dat dan aan via dit formulier:

De vraag of dat digitaal werken in the cloud allemaal wel veilig is nemen wij zeer serieus. Om die reden is Hans aanwezig geweest bij bijeenkomsten waar Google uitleg gaf en besprak hij met Google medewerkers hoe die veiligheid is geregeld. O.a. bij Google Cloud Next Amsterdam op wo 21 juni 2017 en Go2017 in Amsterdam op woensdagmiddag 27 september 2017. Google houdt zich aan GDPR. Dat betekent in eenvoudige woorden:

  • Google gebruikt géén data voor analyses .
  • educatieve accounts blijven gevrijwaard van reclames

Specifiek beschrijft Google hier het beleid. En hier kunt u nog veel meer lezen.

En leest u hier alle informatie over het privacy beleid. Google werkt met diverse subverwerkers.

APS info november 2017

AVG = Algemene Verordening gegevensbescherming

Nieuwe info per 11 januari 2018:

cp-emea-GDPR-Netherlands-Whitepaper.pdf