Is er een juridische manier om inzicht te krijgen in het securitybeleid van onze school?

woensdag, 20 mei 2026 (12:38) - Security.NL

In dit artikel:

Een leerling van de school van de zoon van de vraagsteller had de centrale printer gekraakt; dat leidde tot verontwaardiging van de school en bij ouders vragen over de algemene ict-beveiliging. De vraagsteller, zelf security auditor, wilde weten of zij inzage mag krijgen in het beveiligingsbeleid van de school of maatregelen kan afdwingen.

Volgens ict-jurist Arnoud Engelfriet bestaat er geen algemeen recht om interne beveiligingsdocumenten van een organisatie te bekijken. De AVG verplicht instellingen niet expliciet om details over genomen technische en organisatorische maatregelen openbaar te maken: noch de informatieverplichtingen (art. 13/14), noch het recht van inzage (art. 15) geven recht op inzage in concrete beveiligingsmaatregelen. Wel ligt er in de AVG een algemeen transparantiebeginsel, wat inhoudelijk pleit voor openheid over hoe gegevens beschermd worden, maar daarover is weinig jurisprudentie en weinig concrete handreiking in EDPB- of Autoriteit Persoonsgegevens-richtlijnen. Privacyverklaringen bevatten vaak alleen vaag beschreven of hoog-niveau informatie.

Engelfriet merkt ook op dat een geslaagde printeraanval niet automatisch betekent dat alle systemen slecht beveiligd zijn: verschillende onderdelen (printers, leerlingvolgsystemen, financiële software) kunnen door verschillende partijen beheerd worden. Hij wijst op een oproep van de Autoriteit Persoonsgegevens in maart waarin scholen en leveranciers werden aangespoord duidelijke afspraken te maken en expliciet te melden hoe leerlinggegevens worden beveiligd, hoe lang ze bewaard worden en in welke systemen ze staan. Die oproep kan als argument dienen om het gesprek met de school aan te gaan of om concretere informatie te vragen.

Kortom: juridisch afdwingen van inzage in technische beveiligingsmaatregelen is lastig, maar je kunt van de school wél openheid en concrete uitleg over gegevensverwerking en beveiliging verlangen en – zo nodig – verwijzen naar de aanbevelingen van de Autoriteit Persoonsgegevens.