• 25 januari 2016
  • Charlotte Meindersma, juriste bekend van Charlotte’s Law schreef speciaal voor ICTnieuws.nl dit platformartikel over diverse privacyaspecten in het onderwijs..

    Bepaalde zaken zijn op scholen aan de orde van de dag. Veel scholen werken met een leerlingvolgsysteem, gegevens van leerlingen worden opgeslagen en sommige scholen hebben zelfs een Facebookpagina waar foto’s van op school ondernomen activiteiten worden gedeeld. Als schoolbestuur en leraar sta je er misschien niet bij stil dat hierbij veelvuldig gegevens van leerlingen worden opgeslagen en gedeeld. Om gevallen van privacyschending te voorkomen is het belangrijk om zorgvuldig met deze gegevens om te gaan. In de verschillende gevallen waarin een school met privacyaspecten te maken krijgt zijn ook verschillende vormen van aanpak vereist.

    1. Persoonsgegevens & het leerlingvolgsysteem
    Door middel van het leerlingvolgsysteem kunnen allerlei ontwikkelingen die een leerling doormaakt door docenten worden bijgehouden. Hierbij worden gegevens over de leerling opgeslagen. Studieresultaten, maar ook informatie over de sociaal-emotionele ontwikkeling, komen bijvoorbeeld in zo een volgsysteem te staan. Stel dat leerling A sinds dit schooljaar een nieuwe docent heeft voor wiskunde. Dan kan de docent wiskunde in het leerlingvolgsysteem vinden welke studieresultaten A heeft gehaald in het schooljaar daarvoor. De docent heeft dan een idee op welk niveau de leerling zit en hoe hij de leerling het beste kan begeleiden. Maar mogen deze gegevens ook gedeeld worden met anderen? Kan de docent bijvoorbeeld de ontwikkeling van leerling A aan de ouders van leerling B laten zien om ze een voorbeeld te geven van het functioneren van klasgenoten van B?

    1.1 Wat zijn persoonsgegevens?
    Allereerst moeten we ons afvragen of het hier gaat om ‘persoonsgegevens’. Dit begrip wordt in de wet uitgelegd als gegevens waardoor een persoon geïdentificeerd is of waardoor je de persoon kunt identificeren. De vraag is of je door middel van de gegevens die je hebt op een redelijk eenvoudige manier kunt vaststellen om welke persoon het gaat. Omdat in een leerlingvolgsysteem de naam of in ieder geval het leerlingnummer van een leerling staat wil ik ervan uitgaan dat het hier gaat om persoonsgegevens. Wanneer je de naam of het leerlingnummer van een leerling hebt, dan weet je of kun je makkelijk te weten komen over welke persoon het gaat.

    1.2 Toestemming
    Om persoonsgegevens te verwerken hoeft niet altijd toestemming gevraagd te worden. Met verwerken wordt bijvoorbeeld het verzamelen, bewaren, gebruiken en het vernietigen van persoonsgegevens bedoeld.
    Of voor het verwerken van persoonsgegevens expliciete toestemming nodig is ligt aan het type gegevens en aan waarvoor die gegevens gebruikt worden. Als de school de gegevens voor zover strikt noodzakelijk gebruikt is expliciete toestemming geen vereiste. Mocht de school nu of in de toekomst meer met de persoonsgegevens willen doen dan is wel expliciete toestemming van de ouders van het kind nodig. Daarnaast worden de persoonsgegevens die in het leerlingvolgsysteem staan vaak ook door het bedrijf dat de software ontwikkelt gebruikt. Ook dan is expliciete toestemming nodig. Met expliciete toestemming wordt bedoeld dat de ouders uitdrukkelijk ‘ja’ moeten zeggen of schrijven. Stilzwijgend toestemmen kan dus niet. Een makkelijke methode om te zorgen dat de school van iedere ouder die expliciete toestemming verkrijgt is om hierom te vragen op het inschrijfformulier voor de opleiding. Leg specifiek uit dat persoonsgegevens van de leerling zullen worden verwerkt en voor welk doel dit is. De expliciete toestemming die een ouder geeft is alleen geldig als de ouder vooraf is geïnformeerd en de ouder ook de vrije keuze heeft om geen toestemming te geven. Je kunt als school bijvoorbeeld niet de inschrijving van het kind afhankelijk maken van het geven van toestemming om persoonsgegevens te verwerken. Maak op het inschrijfformulier een aparte ruimte waar ouders bijvoorbeeld door middel van een handtekening toestemming kunnen geven voor het verwerken van persoonsgegevens van hun kind.

    1.3 De bewerkersovereenkomst
    Wanneer je als school werkt met een leerlingvolgsysteem dan is er meestal ook een bedrijf dat dit systeem heeft ontwikkeld. Denk eraan om als school een ‘bewerkersovereenkomst’ met dit bedrijf af te sluiten. De bewerker is het bedrijf dat het systeem ontwikkelt en is dus een van de school onafhankelijke partij. De bewerker verwerkt de persoonsgegevens maar heeft daar geen zeggenschap over. De bewerker is bijvoorbeeld niet degene die de studieresultaten in het leerlingvolgsysteem bijhoudt. Degene die bepaalt welke gegevens voor welk doel worden verwerkt is de school. De school is hier wettelijk gezien de verantwoordelijke.
    In de bewerkersovereenkomst leg je vast aan welke beveiligingseisen de bewerker moet voldoen om privacyschending van de leerlingen te voorkomen. Je legt er ook in vast op welke manier je als verantwoordelijke gaat controleren of de bewerker aan de betrouwbaarheidseisen voldoet. Leg dus de verplichtingen van zowel bewerker als verantwoordelijke duidelijk vast in de bewerkersovereenkomst.

    1.4 Persoonsgegevens delen met derden
    De persoonsgegevens van leerlingen delen met derden mag alleen als de ouders hiervoor expliciet toestemming hebben gegeven. De in het leerlingvolgsysteem bijgehouden ontwikkelingen van leerling A laten zien aan de ouders van leerling B mag dus alleen als de ouders van leerling A hier vooraf expliciet toestemming voor hebben gegeven.

    1.5 Persoonsgegevens op andere wijze opslaan
    Op scholen worden natuurlijk ook gegevens opgeslagen op normale computers. Hierbij denk ik bijvoorbeeld aan toetsresultaten en absentielijsten. Maar ook functioneringsgesprekken met docenten worden vaak in de computer of op papier bewaard. Ook hiervoor gelden de regels uit deze paragraaf. Of het nu gaat om persoonsgegevens van een docent of van leerlingen. Er moet toestemming gevraagd worden. Gaat het om het opslaan van persoonsgegevens van een docent dan hoeft deze toestemming niet expliciet gegeven te worden. Er kan bijvoorbeeld in het arbeidscontract opgenomen worden dat in het belang van het goed uitvoeren van de functie van docent ook persoonsgegevens verwerkt zullen worden. Door de arbeidsovereenkomst aan te gaan geeft de docent akkoord.

    1.6 Het recht van inzage
    Sommige scholen geven ouders geen inzage in de over hun kind opgeslagen informatie. De gedachte hierachter is vaak dat ouders dan niet kunnen klagen over in hun ogen ontbrekende of onjuiste informatie. Het kan ook zijn dat er informatie over docent-oudergesprekken in staat waarvan de school niet wil dat ouders hier inzage in krijgen. Toch moet een school inzage in de persoonsgegevens van hun kind geven. Geef ouders dus inzage als zij daar om vragen.

    1.7 Melden bij het CBP
    Wanneer persoonsgegevens worden verwerkt dan moet de verantwoordelijke dit melden bij de Nederlandse privacytoezichthouder, het College Bescherming Persoonsgegevens.

    2. Registratie met vingerafdrukken
    Scholen worden steeds moderner. In sommige gevallen moeten docenten in –en uitklokken door middel van een vingerafdruk. De vingerafdruk is misschien wel de meest bekende manier van identificatie. Een vingerafdruk is hiermee een persoonsgegeven. De school mag als werkgever verlangen dat docenten in –en uitklokken middels een vingerafdruk. Hiervoor hoeft de school geen toestemming aan haar werknemers te vragen. Om de privacy van de docent als werknemer te beschermen mag zijn vingerafdruk alleen gebruikt worden voor tijdregistratie en/of toegangscontrole. De docent heeft als werknemer het recht om over hem opgeslagen gegevens op verzoek in te zien.

    3. Het opslaan van persoonsgegevens
    Dat scholen persoonsgegevens verwerken is een feit. Deze gegevens moeten ook ergens opgeslagen worden. Veel ondernemingen, ook scholen, slaan persoonsgegevens op in de Cloud. Deze Clouds ‘hangen’ vaak in de Verenigde Staten. Door een afspraak tussen de Europese Unie en de Verenigde Staten waren persoonsgegevens van Nederlanders daar net zo veilig als in Nederland. Opslag van persoonsgegevens in de Verenigde Staten is op dit moment door een uitspraak van de Europese rechter niet langer toegestaan. Toch is er geen reden tot paniek.
    De Europese en Amerikaanse regering zijn druk bezig om nieuwe afspraken te maken waardoor opslag van persoonsgegevens in de Verenigde Staten weer mag. Deze periode kan daarom het beste een overgangsperiode genoemd worden. Het is dus vooralsnog niet nodig om persoonsgegevens ergens anders op te slaan. Wanneer de Europese Unie en de Verenigde Staten een nieuwe regeling hebben bereikt zal het naar alle waarschijnlijkheid weer gewoon toegestaan zijn om persoonsgegevens van Nederlandse burgers in de Verenigde Staten op te slaan.

    4. Foto’s van leerlingen publiceren
    Schoolfeesten, sportdagen, schoolreisjes: genoeg momenten die vragen om leuke foto’s. Foto’s die bij uitstek geschikt zijn om te publiceren op de Facebookpagina of in de schoolkrant van de school. Maar mag een school of docent foto’s waar leerlingen op staan zomaar delen via social media?

    4.1 Foto’s publiceren op Facebook
    Nadat foto’s op Facebook zijn geüpload is er geen controle op wie toegang heeft tot die foto’s. Daarnaast kunnen foto’s nadat ze op Facebook zijn geplaatst nauwelijks van internet worden verwijderd.
    Mocht een school foto’s van leerlingen op Facebook willen plaatsen dan moet hiervoor expliciete toestemming van de ouders verkregen worden. De ouders moeten vooraf specifiek over het publiceren van foto’s van hun kind geïnformeerd worden en dan uitdrukkelijk toestemming geven.

    4.2 Foto’s publiceren op de website en in de schoolkrant
    Wanneer de school foto’s van leerlingen op de website of in de schoolkrant wil publiceren is het handig hiervoor ook toestemming aan de ouders te vragen. Onschuldige foto’s kunnen in principe geplaatst worden zolang een belangenafweging wordt gemaakt. Het belang van de school om de foto te publiceren moet dan worden afgewogen tegen het belang van het kind dat zijn privacy beschermd wordt. Wanneer het gaat om ‘gevoelige’ foto’s zoals een foto van een leerling in zwemkleding zal het belang van de leerling op privacybescherming zwaarder wegen dan het belang van de school om te publiceren. Hoewel het plaatsen van foto’s op de eigen website of in de schoolkrant minder risico’s met zich brengt dan het plaatsen op Facebook, kunnen met het verkrijgen van expliciete toestemming misverstanden voorkomen worden.

    4.3 Foto’s publiceren voor overige promotionele doeleinden
    Foto’s van leerlingen gebruiken voor promotionele doeleinden is, omdat de foto’s dan commercieel gebruikt worden, een geval van publicatie waarvoor expliciete toestemming van de ouders nodig is. Praktisch gezien is het handig om op het inschrijfformulier voor een activiteit op school duidelijk te vermelden dat tijdens deze activiteit foto’s, waar mogelijk ook leerlingen op staan, zullen worden gemaakt en gepubliceerd. Maak per type publicatie een specifieke subparagraaf op het inschrijfformulier. Bijvoorbeeld: -Facebook, -website & schoolkrant en –overige promotionele doeleinden. Ouders kunnen dan per onderdeel de afweging maken of zij hier toestemming voor willen geven of niet. Neem op het inschrijfformulier per onderdeel een ruimte op waar ouders bijvoorbeeld een handtekening kunnen zetten bij ‘ja ik geef toestemming’.

    komenskypost drp_animatie threeships prowise1 RDL b2pn120x120 sms-taal120x75