In onze serie blogs over de privacy in Moodle is bewustwording nog niet veel ter sprake gekomen. Bewustwording neemt binnen de AVG (GDPR) een belangrijke plaats in. Je kan de juiste (technische) maatregelen nemen als organisatie en je hele security en privacy boekhouding op orde hebben, maar toch de mist in gaan als de bewustwording bij de medewerkers van je organisatie onvoldoende is.
Middels een fictief voorbeeld uit Moodle wil ik dit duidelijk maken. Je hebt een Moodle site en alle updates van Moodle en de plugins zijn bijgewerkt. Je site draait op SSL en alle beveiliginginstellingen staan goed. Je hebt netjes in de security en privacy boekhouding het doel van de verwerking, de betrokkenen en welke soorten gegevens verwerkt worden beschreven. Maar nu komt het; een docent uit je organisatie heeft in Moodle een cursus met docentrechten. Voor een praktijkopdracht heeft de docent het feedbackformulier aangemaakt. De docent wil inventariseren welke politieke voorkeur zijn studenten hebben en daarmee een debat organiseren. Klinkt als een leuke opdracht die goed past zo net voor de gemeenteraadsverkiezingen.
Het probleem is dat politieke voorkeur een bijzonder persoonsgegeven is en deze mag je alleen verwerken (gegevens inventariseren en opslaan is ook verwerken!) als er in de wet een uitzondering voor is. Dat wordt lastig in deze situatie.
De organisatie is de Gegevensverantwoordelijke, maar niet op de hoogte van het verwerken van bijzondere persoonsgegeven. Dat is een risico en erg lastig om met technische maatregelen dit te voorkomen.
Bewustwording van alle docenten en beheerders is noodzakelijk en dit is geen eenmalige actie. Periodiek zal je alle medewerkers moeten trainen en hierover voldoende moeten communiceren. En mocht je ooit in de situatie komen dat er een onderzoek wordt ingesteld naar aanleiding van een datalek, dan hoop ik voor je dat je ook kunt aantonen dat je voldoende aan bewustwording hebt gedaan.
Je moet ingelogd zijn om een reactie te plaatsen.