Dag van de Privacy: samenwerken aan privacy in het mbo
Hoe bescherm je de gegevens van studenten en medewerkers in een wereld die steeds digitaler wordt? Hoe weet je of de AI-tools die je instelling gebruikt veilig zijn? En hoe zorg je ervoor dat mensen zorgvuldig omgaan met persoonsgegevens? Op de Europese Dag van de Privacy vertellen vijf experts van het programma Cyberveiligheid wat we in het mbo allemaal doen om de privacy van medewerkers en studenten te waarborgen.
‘Of je nu groot bent of klein, aandacht voor privacy is voor elke instelling relevant’, vertelt Evie-Janne van Noorel, coördinator van het programma. ‘Daarom vinden wij het belangrijk dat we in het mbo ook op dit vlak samen optrekken. Als wij kennis bundelen en ervaringen delen, hoeven instellingen het wiel niet telkens opnieuw uit te vinden.’
Kennis delen
Volgens privacy-expert Niels Dutij begint privacybescherming niet met regels, maar met inzicht. ‘Privacy moet leven binnen een organisatie. Als medewerkers begrijpen waarom iets belangrijk is, gaan ze er anders mee om.’
Het programma Cyberveiligheid zet daarom sterk in op kennisdeling. Bijvoorbeeld met de PrivaSessies, waarin privacy-experts kennis delen over actuele, privacygerelateerde thema’s. ‘In de tweedaagse sessie over de AI Act gaan we in op de wetgeving en wat deze concreet voor het mbo betekent’, vertelt Niels. ‘Zodat instellingen weten wat er is veranderd, wat eraan komt en wat ze nú al moeten doen.’
Laagdrempelig sparren over vraagstukken
Privacy officers binnen het mbo kunnen ook altijd terecht bij de juridische privacyhelpdesk. ‘Zij hebben vaak een solistische rol binnen hun instelling’, legt Niels uit. ‘Soms wil je gewoon even sparren. Dat kan laagdrempelig via de helpdesk, waar experts van ICTRecht meedenken over concrete vragen.’
De helpdesk is onderdeel van het Privacy Expertise Centrum, een kennisplatform dat het programma samen met SURF heeft opgezet. Hier vinden mbo-instellingen documentatie, standaarden en praktische handvatten om beter te voldoen aan privacywetgeving.
Samen slimmer met DPIA’s
De gezamenlijke aanpak zien we ook bij de sectorale DPIA’s (data protection impact assessments). In plaats van dat elke instelling afzonderlijk zo’n verplichte DPIA uitvoert voor een applicatie, pakt het programma dit mbo-breed aan. ‘Een DPIA kost veel tijd en expertise’, legt Niels uit. ‘Door dit sectoraal te organiseren, werken we efficiënter én zorgen we voor meer kwaliteit en consistentie.’
Sinds 2024 zijn er zo’n vijftien mbo-brede DPIA’s afgerond voor onder meer examenplatforms en studentinformatiesystemen. ‘Zowel softwareleveranciers als mbo-instellingen waarderen onze sectorale aanpak. Het ontzorgt en helpt scholen om sneller stappen te zetten richting privacy-compliant werken.’
AI: onvermijdelijk én risicovol
Waar privacy en technologie samenkomen, is AI misschien wel het meest urgente onderwerp. Jack Le Doux, data protection officer en privacyjurist, zegt: ‘AI zit inmiddels in veel applicaties voor zowel onderwijs als bedrijfsvoering. Zodra zo’n applicatie persoonsgegevens verwerkt – wat bijna altijd het geval is – is de privacywet AVG van toepassing.’
Vanuit het programma Cyberveiligheid werken we daarom aan kaders voor AI-tools, bijvoorbeeld in de vorm van mbo-brede Fundamental Rights Impact Assessments (FRIA’s). Die zijn vergelijkbaar met DPIA’s, maar focussen ook op onderwerpen als discriminatie, transparantie en menselijke controle. ‘Lang niet alle instellingen weten wat wel en wat niet mag als het gaat om AI’, zegt Jack. ‘Door dit mbo-breed op te pakken, helpen we de hele sector vooruit.’
Inzicht dankzij meten en vergelijken
Privacy is ook een belangrijk onderdeel van de jaarlijkse Benchmark IBP. ‘Instellingen krijgen hiermee inzicht in hoe goed ze hun privacymaatregelen hebben georganiseerd’, licht Evie-Janne toe. ‘Elke instelling krijgt een eigen rapportage, waarin we de groei ten opzichte van vorig jaar laten zien en de scores vergelijken met het sectorgemiddelde. Daarnaast stellen we een sectorrapportage op. Die geeft zicht op waar de mbo-sector als geheel extra aandacht of ondersteuning vanuit het programma kan gebruiken.’
Sinds vorig jaar kunnen mbo-instellingen hun privacyscores van de Benchmark IBP bovendien laten beoordelen door een onafhankelijke auditor. ‘De scholen krijgen bij deze expert-review concrete aanbevelingen waarmee ze privacybescherming verder kunnen verbeteren’, aldus Evie-Janne.
Minder data, minder risico
Ook de campagne Digital Cleanup mbo heeft veel raakvlakken met privacy. ‘Wat je niet hebt, kun je ook niet kwijtraken’, stelt kartrekker en ICT-adviseur Frank ten Hove. ‘Door structureel data op te ruimen, verklein je privacy- en veiligheidsrisico’s. Minder data betekent ook minder opslag en dus minder CO₂-uitstoot. Dit duurzaamheidsaspect spreekt ook veel scholen aan.’
Via de campagne werken inmiddels vijftien mbo-instellingen structureel aan een opgeruimde datahuishouding. ‘We ondersteunen scholen onder meer met handleidingen voor het opschonen van veelgebruikte programma’s en bewustwording van eindgebruikers. Maar we kijken ook naar governance: hoe classificeer je data, wie bepaalt wat vertrouwelijk is en hoe monitor je dat?’
Digitale soevereiniteit en data buiten Europa
Ook het actuele onderwerp van digitale soevereiniteit raakt aan privacy: veel softwareleveranciers slaan data buiten Europa op. ‘Dan is het extra belangrijk om te weten wie er toegang heeft en welke afspraken er gelden’, benadrukt digitaliseringsstrateeg Rob Vos. ‘Want als school ben je altijd verantwoordelijk voor de privacy van jouw studenten en medewerkers.’
Precies daarom doet het programma Cyberveiligheid onderzoek naar de mate waarin het mbo leveranciersafhankelijk is bij studentinformatiesystemen en HR- en financiële applicaties. ‘We brengen in kaart waar de data staan en wie de controle heeft’, legt Rob uit. ‘Met als doel dat instellingen minder leveranciersafhankelijk worden en hun transparantie, technische en juridische controle en continuïteit kunnen verbeteren.’
Meer informatie?
Wil je weten wat het programma voor jouw instelling kan betekenen op het gebied van privacy? Neem contact op met het team Cyberveiligheid mbo.