Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

Doorgifte persoonsgegevens van leerlingen, hoe zit dat eigenlijk?

1 december 2014 Door

Het was vorige week volop in het nieuws: via het systeem ‘Basispoort’ dat toegang biedt tot digitale leermiddelen, worden door scholen persoonsgegevens van leerlingen doorgegeven aan educatieve uitgeverijen. Dit zouden niet enkel naam en toenaam zijn, maar ook de resultaten van leerlingen (De Groep Educatieve Uitgeverijen (hierna: ”GEU”) stelt echter dat dit laatste niet het geval is, de scholen daarentegen beweren het tegenovergestelde). Hartstikke fijn zo een systeem voor basisscholen, maar deze bijkomstigheid uiteraard minder. Kan dit nou zomaar?

Basisscholen zijn ‘verplicht’ persoonsgegevens te verstrekken aan de uitgeverijen, aangezien zij zonder het systeem niet goed kunnen functioneren. Het gebruik van het systeem Basispoort is de enige manier om van de methodesoftware van de uitgeverijen gebruik te maken. Dit is uiteraard geen vrijbrief om de persoonsgegevens van scholieren te verwerken.

Hoe zit dat nou ook alweer precies? Om persoonsgegevens te mogen verwerken is er een rechtsgeldige grondslag vereist. Bij al deze grondslagen is het vereist dat de gegevensverwerking noodzakelijk is. De GEU geeft in haar reactie aan dat de uitgeverijen een gerechtvaardigd belang hebben om de gegevens te verwerken omdat ‘het voor een leerkracht immers van belang is om te kunnen zien wie welke opgaven heeft gemaakt en of een leerling het lesmateriaal onder de knie heeft’. Er dienen echter wel twee soorten gegevensverwerkingen uit elkaar gehouden te worden. Namelijk de gegevensverwerking ten behoeve van de scholen én de gegevensverwerking ten behoeve van de uitgeverijen zelf.

Wanneer de uitgeverijen de gegevens verwerken ten behoeve van de scholen, dus om de methodesoftware te leveren, zijn de uitgeverijen namelijk bewerker. Het is in dat geval inderdaad noodzakelijk om de gegevens te verwerken. Het wordt pas problematisch wanneer uitgeverijen zouden besluiten de gegevens te verweken voor eigen doeleinden. In dat geval zijn de uitgeverijen verantwoordelijke en dient de uitgeverijen een rechtsgeldige grondslag te hebben om deze gegevens te verwerken.

Om te beoordelen of de gegevensverwerking van de uitgeverijen voor eigen doeleinden gebaseerd zou kunnen worden op een gerechtvaardigd belang dient er een belangenafweging plaats te vinden. Overigens geeft de GEU zelf aan dat de gegevens enkel door uitgeverijen gebruikt worden voor ‘onderwijsdoeleinden’. Aangezien deze grondslag vrij breed is, zou het commercieel gebruik van de gegevens hier ook onder kunnen vallen. Voor dit gebruik wordt onderstaande belangenafweging gemaakt.

Ten eerste dient de gegevensverwerking voor eigen doeleinden van de uitgeverijen noodzakelijk te zijn. De gegevensverwerking is niet noodzakelijk indien het belang ook op een minder ingrijpende of meer eenvoudigere manier kan worden gediend. In principe zouden de uitgeverijen ook geaggregeerde data van de leerlingen kunnen verwerken, om te voorkomen dat er bijvoorbeeld analyses op leerlingniveau gemaakt worden (X aantal kinderen tussen de 10-12 hadden deze vraag fout etc.). Door het hanteren van bredere doelgroepen (jongen/meisje/leeftijdscategorie) is het gebruik van de gegevens nog steeds zinvol, maar gebeurt het niet op individueel niveau.

Uiteraard is dit alles afhankelijk van de specifieke doeleinden waarvoor uitgeverijen de persoonsgegevens willen verwerken, maar indien het ook op een minder ingrijpende manier kan is er niet voldaan aan de noodzakelijkheid van de gegevensverwerking.

Als laatste dient er een belangenafweging plaats te vinden: weegt het privacybelang van de leerlingen zwaarder dan de belangen van de uitgeverijen? De gevoeligheid van de gegevens dient een rol te spelen bij deze afweging en daarnaast is het tevens van belang of er beschermingsmaatregelen richting de leerlingen en de ouders zijn genomen. Dit kan bijvoorbeeld het hanteren van een opt-out zijn voor de scholen, als zowel het verhogen van transparantie door de leerlingen en de ouders vooraf te informeren.

Het CBP oordeelde eerder dit jaar bij het verhuren van tablets met ingebouwde apps aan scholen, waarbij tevens leerresultaten verwerkt werden, dat de verwerkingen van de leverancier niet evident noodzakelijk waren om onderwijs te kunnen geven met behulp van de tablets en dat het om gevoelige gegevens gaat. Daarbij stelde het CBP tevens dat scholen heldere informatie moeten ontvangen van de leverancier omtrent de gegevensverwerkingen. De gegevens van de leerlingen mogen volgens het CBP pas gebruikt worden nadat scholen hier weloverwogen voor hebben kunnen kiezen. Scholen kunnen dan op hun beurt ouders informeren.

Bij het gebruik van het systeem Basispoort door leerlingen, worden ouders op dit moment totaal niet geïnformeerd over wat er met de gegevens gebeurt én er wordt geen opt-out aangeboden aan de scholen. Er worden dus geen beschermingsmaatregelen genomen, bijvoorbeeld door het verstrekken van een privacyverklaring aan de ouders. Mede daarom kan er mijns inziens niet gesproken worden over een gerechtvaardigd belang wat betreft de verwerkingen voor mogelijk eigen doeleinden van de uitgeverijen. Nogmaals, dit is mede afhankelijk van de doeleinden waarvoor de uitgeverijen de persoonsgegevens willen verwerken, maar zo in eerste opzicht lijkt mij dit alles behalve eenvoudig te beargumenteren.

Lisette Chew-Meij

Directeur ICTRecht Privacy

Lisette Chew-Meij is directeur van ICTRecht privacy. Lisette is gespecialiseerd in de juridische aspecten van privacy en Big Data. Zij houdt zich bezig met ingewikkelde privacyvraagstukken en voert privacyaudits uit bij organisaties.

Daarnaast is zij lid van the International Association of Privacy Professionals (IAPP) en is zij Certified Information Privacy Professional/Europe, United States en Asia (CIPP/E, CIPP/US en CIPP/A), Certified Information Privacy Manager (CIPM) én Certified Information Privacy Technologist (CIPT). Tevens heeft zij de erkenning ‘Fellow of Information Privacy’ (FIP) van de IAPP ontvangen.

 


Er zijn 2 reacties

  1. Ik zag in een reportage verleden week dat de kinderen inloggen door op hun naam te klikken.

    Hoe anders zou de discussie zijn als je iedereen per klas een uniek nummer geeft? dus gr8k1 (groep 8 kind 1).
    Dan kun je nogsteeds per klas kijken en de leraar weet dan wie wie is.

    1. Hoi Ramon, dank voor je reactie! Dit zou wellicht een oplossing kunnen zijn, mits de gegevens daadwerkelijk anoniem zijn. Dit houdt in dat de GEU écht niets anders moet kunnen inzien dan bijvoorbeeld gr8k1, én geen toegang kan krijgen tot de bron waarin is opgenomen wie gr8k1 is.

      Wanneer het mogelijk is te achterhalen wie gr8k1 is voor de GEU, door bijvoorbeeld gr8k1 te koppelen aan andere gegevens die beschikbaar zijn bij de GEU, dan is gr8k1 alsnog een persoonsgegeven. Het zegt tenslotte iets over een specifieke leerling.

      Om het risico te voorkomen dat een leerling alsnog geïdentificeerd wordt, zou het beter zijn als er enkel statische gegevens gebruikt worden voor de doeleinden van de GEU zelf, en er geen analyses op persoonsniveau plaatsvinden.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie