Wat zijn gezondheidsgegevens en waar sla je ze op?

Een LMS moet geen gezondheidsgegevens opslaan

Nu scholen digitaal gaan, zijn Learning Management Systems (LMS) alledaagse hulpmiddelen geworden voor leerkrachten. Ze helpen bij het organiseren van lessen, opdrachten en communicatie. Maar één ding waar ze niet voor gebruikt mogen worden, is het opslaan van gezondheidsinformatie van leerlingen.

Wat zijn gezondheidsgegevens en waarom kunnen ze niet worden opgeslagen?

Gezondheidsgegevens hebben betrekking op alle informatie over de fysieke of mentale gezondheid van een persoon, waaronder medische aandoeningen, allergieën, medicijnen en speciale aanpassingen. Onder de Algemene Verordening Gegevensbescherming (GDPR) worden gezondheidsgegevens geclassificeerd als gegevens van een speciale categorie, wat betekent dat ze extra bescherming nodig hebben en niet kunnen worden opgeslagen zonder een solide juridische reden. Artikel 9 over gegevens van bijzondere categorieën kan hier worden gelezen.

Veel leerkrachten zijn zich er misschien niet van bewust dat het in orde is om te vermelden dat een leerling afwezig is wegens ziekte, maar dat het niet in orde is om de exacte ziekte te specificeren. Bijvoorbeeld: "Jane is ziek" is prima, maar "Jane heeft griep" kan een overtreding zijn van de GDPR-regels.

Dit onderscheid is belangrijk omdat het vermelden van een specifieke ziekte gedetailleerde gezondheidsinformatie onthult, wat onder gegevens van een speciale categorie valt. GDPR vereist een duidelijke wettelijke basis voor het verwerken van dergelijke gegevens, en zonder expliciete toestemming of een andere geldige reden kan het opslaan van deze gegevens, zelfs in een LMS, onwettig zijn. Bovendien vereisen gevoelige gezondheidsgegevens strengere beveiligings- en privacy dan een LMS doorgaans biedt.

Waarom een LMS de verkeerde plaats is voor gezondheidsgegevens

1. LMS-platforms zijn er niet voor gebouwd
   LMS-platforms zijn ontworpen voor leren, niet voor het opslaan van gevoelige informatie zoals allergieën, medicatie of medische aandoeningen van leerlingen. Hoewel itslearning en vergelijkbare platforms strenge beveiligingsmaatregelen hebben, zijn ze niet specifiek ontworpen voor het opslaan van gezondheidsgegevens. Bovendien zijn toegangscontrole en gegevensbeheer uiteindelijk de verantwoordelijkheid van de school, wat betekent dat niet hetzelfde niveau van toezicht en controle is gegarandeerd als bij een specifiek systeem voor medische dossiers.
2. Het kan tegen de wet zijn
   Onder GDPR is het opslaan van gezondheidsgegevens in een LMS meestal niet toegestaan, tenzij er een specifieke uitzondering geldt (zoals expliciete toestemming van ouders). Scholen die de regels niet naleven, worden geconfronteerd met aanzienlijke juridische gevolgen.
3. Te veel mensen kunnen het zien
   Een LMS is bedoeld voor docenten, beheerders en studenten. Dat zijn te veel mensen als het gaat om persoonlijke gezondheidsgegevens. Gezondheidsgegevens zouden alleen beschikbaar moeten zijn voor degenen die ze echt nodig hebben, zoals de schoolverpleegkundige.
4. Je moet alleen opslaan wat nodig is
   GDPR zegt dat scholen alleen de minimale hoeveelheid persoonlijke gegevens mogen verzamelen die nodig zijn voor een duidelijk doel. Het opslaan van gedetailleerde gezondheidsgegevens in een LMS is meestal onnodig en kan tegen deze regels ingaan.
5. Moeilijk bij te houden en te verwijderen
   Scholen zouden persoonlijke gegevens alleen moeten bewaren zolang dat nodig is en ze daarna veilig moeten verwijderen. De meeste LMS-platforms hebben niet de juiste tools om gezondheidsgegevens goed bij te houden en volledig te verwijderen.

Waar moeten gezondheidsgegevens worden opgeslagen?

In plaats van een LMS kunnen scholen beter:

• Veilige systemen voor medische dossiers - Juiste platforms ontworpen voor het verwerken van gevoelige informatie.
• Officiële schooldatabases - Systemen goedgekeurd door lokale autoriteiten die voldoen aan de wettelijke vereisten.
• Versleutelde bestanden met strikte toegangscontrole - Indien absoluut noodzakelijk, moeten bestanden veilig worden opgeslagen met beperkte toegang.

Wat kunnen scholen in plaats daarvan doen?

• Duidelijke toestemming - Als gezondheidsgegevens moeten worden opgeslagen, vraag dan expliciete toestemming aan ouders of voogden.
• Beperk de toegang - Laat de informatie alleen zien aan mensen die deze echt nodig hebben.
• Beperk het tot een minimum - Verzamel alleen wat absoluut noodzakelijk is voor de veiligheid van de leerling.
• Zorg voor een duidelijk verwijderingsplan - Zorg ervoor dat gezondheidsgegevens worden verwijderd wanneer ze niet langer nodig zijn.