Het was vorige week volop in het nieuws: via het systeem ‘Basispoort’ dat toegang biedt tot digitale leermiddelen, worden door scholen persoonsgegevens van leerlingen doorgegeven aan educatieve uitgeverijen. Dit zouden niet enkel naam en toenaam zijn, maar ook de resultaten van leerlingen (De Groep Educatieve Uitgeverijen (hierna: ''GEU'') stelt echter dat dit laatste niet het geval is, de scholen daarentegen beweren het tegenovergestelde). Hartstikke fijn zo een systeem voor basisscholen, maar deze bijkomstigheid uiteraard minder. Kan dit nou zomaar?
Basisscholen zijn ‘verplicht’ persoonsgegevens te verstrekken aan de uitgeverijen, aangezien zij zonder het systeem niet goed kunnen functioneren. Het gebruik van het systeem Basispoort is de enige manier om van de methodesoftware van de uitgeverijen gebruik te maken. Dit is uiteraard geen vrijbrief om de persoonsgegevens van scholieren te verwerken.
Hoe zit dat nou ook alweer precies? Om persoonsgegevens te mogen verwerken is er een rechtsgeldige grondslag vereist. Bij al deze grondslagen is het vereist dat de gegevensverwerking noodzakelijk is. De GEU geeft in haar reactie aan dat de uitgeverijen een gerechtvaardigd belang hebben om de gegevens te verwerken omdat ‘het voor een leerkracht immers van belang is om te kunnen zien wie welke opgaven heeft gemaakt en of een leerling het lesmateriaal onder de knie heeft’. Er dienen echter wel twee soorten gegevensverwerkingen uit elkaar gehouden te worden. Namelijk de gegevensverwerking ten behoeve van de scholen én de gegevensverwerking ten behoeve van de uitgeverijen zelf.
Wanneer de uitgeverijen de gegevens verwerken ten behoeve van de scholen, dus om de methodesoftware te leveren, zijn de uitgeverijen namelijk bewerker. Het is in dat geval inderdaad noodzakelijk om de gegevens te verwerken. Het wordt pas problematisch wanneer uitgeverijen zouden besluiten de gegevens te verweken voor eigen doeleinden. In dat geval zijn de uitgeverijen verantwoordelijke en dient de uitgeverijen een rechtsgeldige grondslag te hebben om deze gegevens te verwerken.
Om te beoordelen of de gegevensverwerking van de uitgeverijen voor eigen doeleinden gebaseerd zou kunnen worden op een gerechtvaardigd belang dient er een belangenafweging plaats te vinden. Overigens geeft de GEU zelf aan dat de gegevens enkel door uitgeverijen gebruikt worden voor 'onderwijsdoeleinden'. Aangezien deze grondslag vrij breed is, zou het commercieel gebruik van de gegevens hier ook onder kunnen vallen. Voor dit gebruik wordt onderstaande belangenafweging gemaakt.
Ten eerste dient de gegevensverwerking voor eigen doeleinden van de uitgeverijen noodzakelijk te zijn. De gegevensverwerking is niet noodzakelijk indien het belang ook op een minder ingrijpende of meer eenvoudigere manier kan worden gediend. In principe zouden de uitgeverijen ook geaggregeerde data van de leerlingen kunnen verwerken, om te voorkomen dat er bijvoorbeeld analyses op leerlingniveau gemaakt worden (X aantal kinderen tussen de 10-12 hadden deze vraag fout etc.). Door het hanteren van bredere doelgroepen (jongen/meisje/leeftijdscategorie) is het gebruik van de gegevens nog steeds zinvol, maar gebeurt het niet op individueel niveau.
Uiteraard is dit alles afhankelijk van de specifieke doeleinden waarvoor uitgeverijen de persoonsgegevens willen verwerken, maar indien het ook op een minder ingrijpende manier kan is er niet voldaan aan de noodzakelijkheid van de gegevensverwerking.
Als laatste dient er een belangenafweging plaats te vinden: weegt het privacybelang van de leerlingen zwaarder dan de belangen van de uitgeverijen? De gevoeligheid van de gegevens dient een rol te spelen bij deze afweging en daarnaast is het tevens van belang of er beschermingsmaatregelen richting de leerlingen en de ouders zijn genomen. Dit kan bijvoorbeeld het hanteren van een opt-out zijn voor de scholen, als zowel het verhogen van transparantie door de leerlingen en de ouders vooraf te informeren.
Het CBP oordeelde eerder dit jaar bij het verhuren van tablets met ingebouwde apps aan scholen, waarbij tevens leerresultaten verwerkt werden, dat de verwerkingen van de leverancier niet evident noodzakelijk waren om onderwijs te kunnen geven met behulp van de tablets en dat het om gevoelige gegevens gaat. Daarbij stelde het CBP tevens dat scholen heldere informatie moeten ontvangen van de leverancier omtrent de gegevensverwerkingen. De gegevens van de leerlingen mogen volgens het CBP pas gebruikt worden nadat scholen hier weloverwogen voor hebben kunnen kiezen. Scholen kunnen dan op hun beurt ouders informeren.
Bij het gebruik van het systeem Basispoort door leerlingen, worden ouders op dit moment totaal niet geïnformeerd over wat er met de gegevens gebeurt én er wordt geen opt-out aangeboden aan de scholen. Er worden dus geen beschermingsmaatregelen genomen, bijvoorbeeld door het verstrekken van een privacyverklaring aan de ouders. Mede daarom kan er mijns inziens niet gesproken worden over een gerechtvaardigd belang wat betreft de verwerkingen voor mogelijk eigen doeleinden van de uitgeverijen. Nogmaals, dit is mede afhankelijk van de doeleinden waarvoor de uitgeverijen de persoonsgegevens willen verwerken, maar zo in eerste opzicht lijkt mij dit alles behalve eenvoudig te beargumenteren.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.