Hoe regel je in geval van cloud computing de privacy van leerlingen?

privacyEr was vorige week nogal wat ophef rond Basispoort en de manier waarop de privacy van leerlingen gewaarborgd wordt. PO-scholen zouden “zomaar” privacygevoelige gegevens van leerlingen ter beschikking stellen aan uitgeverijen. Dit laatste is niet helemaal waar, maar er is nog wel een wereld te winnen op het gebied van privacybescherming voor leerlingen. Staatssecretaris Dekker heeft inmiddels ook gereageerd naar de Tweede Kamer, die vragen had gesteld.

 

Basispoort: een geval apart

Het verwijt van RTL-nieuws dat scholen “zomaar” privacygevoelige gegevens van leerlingen ter beschikking stellen aan uitgeverijen is niet terecht. Wellicht een poging van RTL om de uitgeverijen, die samen het bestuur van Basispoort vormen, te beschadigen ten gunste van Squla (waar RTL dan weer belangen in schijnt te hebben)? Hoe dan ook: de scholen zijn vorig jaar in de zomerperiode door de uitgeverijen voor het blok gezet. Of zij sloten zich aan bij Basispoort, en gingen daarmee akkoord met het feit dat gegevens uit hun leerlingvolgsysteem werden doorgesluisd naar de uitgeverijen, óf zij werden afgesloten van alle methodegebonden webbased software. Scholen hadden in feite geen keus. Want (bijna) niemand kon het zich veroorloven om zonder de methodesoftware een nieuw schooljaar te starten. Er waren dan ook verschillende schoolbesturen die onder protest een “vinkje voor akkoord” hebben gezet.

Het feit dat er gegevens naar de uitgeverijen gaan is, zoals staatssecretaris Dekker heeft aangegeven, in principe niet in strijd met de Wet. Op het moment dat een school dit nodig vind voor het geven van adequaat onderwijs kunnen privacygegevens van leerlingen worden uitgewisseld met externe partijen. Wat echter is nagelaten is ervoor te zorgen dat er adequate bewerkersovereenkomsten kwamen en dat leerlingen en ouders op de hoogte werden gesteld van het feit dat gegevens werden overgedragen aan externe partijen. Strikt genomen had ouders om toestemming moeten worden gevraagd, maar daar ontbrak de tijd eenvoudig voor bij de implementatie van Basispoort.

 

Welke maatregelen moet je treffen als onderwijsinstellng?

Vraag is nu wat je als onderwijsinstelling moet doen als je met webbased software, c.q. cloudcomputing aan de slag wilt of misschien al bent. Het antwoord op deze vraag is grotendeels terug te vinden in het document “Hoe? Zo! ICT en recht”, hetgeen door Kennisnet en Sambo-ICT is opgesteld t.b.v. MBO-instellingen. Samengevat met betrekking tot de privacy-aspecten komt het hier op neer:

1 Met alle cloudleveranciers moeten bewerkersovereenkomsten worden afgesloten, waarin minimaal wordt  vastgelegd:

  • dat de gegevens eigendom blijven van de school;
  • voor welke doelen de persoonsgegevens bij de cloudprovider worden verwerkt en met welke middelen;
  • met welke middelen de school de gegevens gaat verwerken;
  • aan wie de cloudprovider de gegevens mag afstaan;
  • welke beveiligingsmaatregelen de cloudprovider heeft genomen (of gaat nemen) om de opgeslagen gegevens te beveiligen;
  • hoe aan de controle en correctierechten van de betrokken personen wordt voldaan;
  • wie aansprakelijk is bij datalekken.

2 Voor alle scholen moet een privacy-statement worden opgesteld waarin wordt aangegeven:

  • welke persoonsgegevens de school verzamelt met welk doel;
  • wie verantwoordelijk is voor de opslag van de persoonsgegevens en wie deze uitvoert (bijvoorbeeld: wij slaan cijfers en voortgang op in Parnassys);
  • wat er gebeurt met de persoonsgegevens (bijvoorbeeld: het rapporteren aan ouders of het bewaken van de voortgang);
  • welke beveiliging wordt gehanteerd (bijvoorbeeld ISO27001 en via SAS70-audit geverifieerd niveau);
  • waar de gegevens staan en hoe lang ze worden bewaard;
  • welke rechten de wederpartij heeft, zoals inzage in zijn/haar gegevens of het mogen wissen of corrigeren van achterhaalde of verouderde gegevens.

3 Geborgd moet worden dat ouders van nieuwe leerlingen een akkoord geven op dit privacy-statement.

4 Ouders van leerlingen die al op school zitten moeten gewezen worden op het privacy-statement en in staat worden gesteld bezwaar aan te tekenen.

Daarnaast geldt meer fundamenteel dat het gebruik van de persoonsgegevens in overeenstemming moet zijn met het doel waarvoor de gegevens verzameld zijn en dat niet meer gegevens verzameld worden dan strikt noodzakelijk is (proportionaliteitsbeginsel).

Mogelijke dilemma’s

Gegeven voorgaande kunnen scholen in de praktijk voor dilemma’s komen te staan. Want wat als een aantal ouders niet akkoord gaat? Dan ben je als school verplicht een alternatief aan te bieden. Stel je voor die leerlingen lokale software beschikbaar of laat je ze volledig analoog werken? Een lastige afweging.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *