Leraren mogen alleen maar leerlinggegevens inzien die zij voor hun werk nodig hebben. Dit stelt de Autoriteit Persoonsgegevens (AP). Ook moeten schoolbesturen zorgen dat hun leerlingadministratie- en leerlingvolgsystemen goed beveiligd zijn. 

De AP stelt dat schoolbesturen verplicht zijn om rekening te houden met de internationale norm voor informatiebeveiliging. Hiermee is het beveiligen van systemen tegen misbruik of verlies van leerlinggegevens geen keuze maar een verplichting. Leraren, administratief medewerkers en intern begeleiders mogen alleen de gegevens zien die zij nodig hebben. Ook is het van belang om te kijken of de toegang tot leerlinggegevens structureel of incidenteel nodig is. Wanneer een leraar invalt voor een klas, is structurele toegang niet nodig. In dit geval is het van belang om tijdelijke toegang tot leerlinggegevens te verstrekken.

Schoolbesturen zijn ook verplicht om van hun leverancier te eisen dat de geleverde software goed beveiligd is. Het privacyconvenant helpt scholen om makkelijker afspraken te maken met leveranciers en uitgevers over hoe zij veilig met leerlinggegevens omgaan. Deze afspraken worden vastgelegd in een verwerkersovereenkomst. Binnenkort verschijnt er een nieuwe versie van het convenant en de verwerkersovereenkomst. Hier zijn specifieke afspraken over autorisaties, logging en beveiliging in opgenomen. Zodra de nieuwe versie beschikbaar is publiceert de PO-Raad dit op haar website.

Alles bij de bron; PO-Raad