Direct antwoord

Scholen en schoolbesturen kunnen Power BI-rapporten veilig delen met externe partijen zoals inspectie, gemeenten en samenwerkingsverbanden zonder dat die partijen een Microsoft-licentie nodig hebben. De sleutel zit in een gecontroleerde deelomgeving met toegangsbeveiliging en AVG-conforme logging, in plaats van gedeelde linkjes of Publish to Web.

Waarvoor gebruiken scholen Power BI?

Power BI heeft in het onderwijs een vaste plek gekregen. Schoolbesturen gebruiken het voor financiële dashboards (exploitatie, reserves, personele lasten), leerlingvolgsystemen (doorstroom, resultaten per vak, cohortanalyses) en verzuimrapportages. Op bestuursniveau komen daar vaak benchmarks bij: hoe presteert school A ten opzichte van school B op hetzelfde kenmerk?

Intern werkt dat prima. Maar zodra je die informatie wilt delen met partijen buiten de organisatie, stuit je op een fundamenteel probleem: die partijen hebben meestal geen Microsoft-licentie.

Aan wie deel je als school of bestuur?

De kring van externe ontvangers in het onderwijs is breed:

  • Onderwijsinspectie — ontvangt periodiek kwaliteits- en verantwoordingsdata
  • Gemeenten — met name voor leerplicht, voor- en vroegschoolse educatie (vve) en sociaal domein
  • Samenwerkingsverbanden passend onderwijs — voor leerlingen met een ondersteuningsbehoefte
  • Ouders en verzorgers — soms als het gaat om schoolbrede resultaten of specifieke projectrapportages
  • Raad van toezicht — toezichthouders die financiële en strategische KPI’s volgen

Al deze partijen hebben iets gemeen: ze hebben geen Power BI Pro-licentie en willen er ook geen aanschaffen. Ze willen gewoon het rapport zien.

De AVG-uitdaging bij onderwijsdata

Onderwijs werkt met gevoelige persoonsgegevens. Leerlingresultaten, verzuimcijfers en ondersteuningsprofielen vallen allemaal onder de AVG. Dat stelt eisen aan hoe je deelt.

De grootste fout die scholen maken, is het gebruik van een gedeelde link of Publish to Web. Iedereen met de link kan dan de data zien, ook als die link wordt doorgestuurd. Er is geen logging, geen toegangscontrole en geen manier om achteraf te reconstrueren wie wat heeft bekeken. Dat is in strijd met de AVG.

De juiste aanpak: elke ontvanger krijgt een eigen login, je configureert Row-Level Security zodat iedereen alleen de relevante data ziet, en je logt elke sessie. Zo kun je altijd aantonen wie wanneer welke informatie heeft ingezien, wat je nodig hebt bij een AVG-audit of in geval van een datalek.

Lees ook AVG-proof rapporten delen voor een overzicht van de technische en organisatorische maatregelen die je moet nemen.

Praktische aanpak: rapportage zonder Microsoft-licentie

Het probleem met extern delen via Power BI Service is simpel: elke externe gebruiker heeft minimaal een Pro-licentie nodig, of je moet Premium-capaciteit inkopen. Dat is voor de meeste scholen financieel niet haalbaar en ook niet nodig.

Een alternatief is een platform dat als tussenlaag werkt. Je publiceert het rapport vanuit Power BI Desktop naar een beveiligde omgeving, en externe ontvangers loggen in via een uitnodigingslink zonder Microsoft-account. Ze zien een overzicht van de rapporten die voor hen beschikbaar zijn, kunnen filteren en exporteren, maar hoeven zelf geen Microsoft-licentie te hebben.

Voor schoolbesturen met meerdere scholen werkt dit bijzonder goed. Je beheert één omgeving, stelt per ontvanger in welke rapporten en data zichtbaar zijn, en hebt een centraal auditlogboek voor alle toegangen.

Aandachtspunten voor de praktijk

Een paar dingen die in het onderwijs specifiek aandacht verdienen:

Bewaarperiodes. Leerlinggegevens hebben wettelijke bewaarperiodes. Zorg dat de omgeving waarin je rapporten host ook data verwijdert conform de AVG-bewaartermijnen.

Verwerkers en subverwerkers. Als je een extern platform gebruikt, teken dan een verwerkersovereenkomst. Check ook of het platform subverwerkers inzet (cloudproviders, e-maildiensten) en of die ook buiten de EU opereren.

Minderjarigen. Als rapporten ook persoonlijke gegevens van minderjarigen kunnen bevatten, gelden extra voorzorgen. Beperk de data tot het absolute minimum dat nodig is voor het doel.

Toegangsrechten periodiek herzien. Inspecteurs, gemeenteambtenaren en toezichthouders wisselen. Hou toegangsrechten actueel en verwijder accounts zodra iemand de functie verlaat.

Tip: Maak per ontvangersgroep (inspectie, gemeente, raad van toezicht) een aparte werkruimte met alleen de rapporten die voor die groep relevant zijn. Zo voorkom je dat de inspectie per ongeluk financiële data ziet die bedoeld is voor de raad van toezicht, en omgekeerd.

Veelgestelde vragen

Mogen scholen leerlinggegevens delen via Power BI?

Dat hangt af van hoe je deelt. Leerlinggegevens zijn persoonsgegevens en vallen onder de AVG. Je mag ze alleen delen met partijen die een gerechtvaardigd belang hebben (zoals de inspectie of het samenwerkingsverband), via een beveiligde verbinding met toegangscontrole per gebruiker. Publish to Web is altijd verboden voor dit soort data.

Hebben ouders een Microsoft-account nodig om een rapportage te bekijken?

Niet als je een extern platform zoals Shareboard BI gebruikt. Ouders krijgen dan een uitnodiging via e-mail en loggen in zonder Microsoft-account. Rechtstreeks delen via Power BI Service vereist wél een Microsoft-account of gastaccount.

Wat is het verschil tussen een schoolrapportage voor de inspectie en voor ouders?

De inspectie ontvangt doorgaans geaggregeerde schoolbrede of sectorale data. Ouders krijgen, als ze al een dashboard te zien krijgen, alleen gegevens over hun eigen kind. Die scheiding maak je met Row-Level Security in Power BI, zodat elke gebruiker automatisch de juiste data ziet.

Kan een schoolbestuur rapporten centraal beheren voor meerdere scholen?

Ja. Met een multi-tenant opzet beheer je één rapportageomgeving voor alle scholen binnen het bestuur. Elke school ziet dan alleen haar eigen data, maar het bestuur heeft een geconsolideerd overzicht. Zo hoef je niet per school een aparte omgeving op te zetten.

Welke AVG-maatregelen zijn minimaal vereist bij extern delen van schooldata?

Minimaal: authenticatie per gebruiker (geen gedeelde links), HTTPS-verbinding, logging van wie wat heeft bekeken, een verwerkersovereenkomst met het platform dat je gebruikt, en Row-Level Security als meerdere partijen hetzelfde rapport delen maar verschillende data mogen zien.