Leermiddelen & privacy: goed geregeld?

De mate waarin informatie wordt uitgewisseld neemt exponentieel toe. Hoewel de Wet op bescherming persoonsgegevens (Wbp) sinds 2001 bestaat, is er pas recent meer aandacht voor. Identiteitsdiefstal, het zonder toestemming verkopen van gebruikersgegevens, tot grote gegevenslekken in de media en de Wet meldplicht datalekken, maken dat de autoriteit persoonsgegevens strenger handhaaft en de kritische maatschappij bewuster omgaat met haar persoonsgegevens. Voor de toegang en distributie van digitale leermiddelen worden persoonsgegevens uitgewisseld en is het thema privacy actueel. Vanuit mijn rol als productmanager van de Slim.nl MBO Webshop volg ik met interesse de ontwikkelingen. Om te voldoen aan wet- en regelgeving, maar vooral om te kijken hoe we onze klanten kunnen ondersteunen. In deze post leer je welke afspraken er zijn in het onderwijs, waar de verantwoordelijkheden liggen en wat de invloed van de nieuwe Algemene Verordening Gegevensbescherming (AGV) is.

Betrokkene, Verantwoordelijke en (sub)Bewerker

Iedere organisatie die persoonsgegevens opvraagt, gebruikt of verspreid dient zich te houden aan de Wet op bescherming persoonsgegevens (Wbp). De organisatie die verantwoordelijk is voor dit verwerkingsproces wordt in de wet de Verantwoordelijke genoemd. In het geval van leermiddelen is dit de school. Deze verwerkt de gegevens van de betrokkene: de student en medewerkers. Derde partijen die namens school persoonsgegevens verwerken worden Bewerker genoemd. Op het moment dat een derde partij op haar beurt gegevens met andere derde partijen uitwisselt, noemen we deze partij een Subbewerker. Bewerkers van persoonsgegevens sluiten hiervoor een bewerkersovereenkomst af en zijn verplicht om hun subbewerkers te houden aan dezelfde afspraken en dienen deze kenbaar te maken aan Verantwoordelijke.

Privacy convenant

In de keten van digitale leermiddelen distributie spelen hier verschillende organisaties een rol in: van student, educatieve uitgeverij, leermiddelendistributeur, leveranciers tot schooladministratie systemen leveranciers. Samen met de brancheorganisaties hebben deze partijen een privacy convenant opgesteld voor een goede en zorgvuldige omgang met leerling gegevens. Het resultaat daarvan is een doorvertaling van de Wbp op de onderwijssector, specifiek voor het Primair Onderwijs (PO) en Voorgezet Onderwijs (VO). In een register zijn alle betrokken organisaties opgenomen die zich conformeren aan het convenant en de model bewerkersovereenkomst hanteren.

Scholen aangesloten bij de PO-Raad en VO-Raad conformeren zich automatisch aan het convenant. De meeste betrokken organisaties zoals leermiddelendistributeurs en educatieve uitgeverijen hebben zich aangesloten en zijn opgenomen in het register. In de praktijk nemen zij zelf het initiatief om met scholen waaraan zij leveren de standaard modelbewerkersovereenkomst af te sluiten. Het Middelbaar Beroeps Onderwijs (MBO) sluit aan bij het privacy convenant en heeft haar eigen bewerkersovereenkomst(IBPDOC18) met enkele toelichtingen op hoe het model past binnen het Framework Informatiebeveiligingen Privacy voor het MBO.

De MBO-Raad was niet aangesloten bij de partijen die het convenant hebben afgesproken en heeft er voor gekozen een eigen model te ontwikkelen. Hiervoor is een projectgroep opgestart die vergelijkbare en eenduidige afspraken maakt met leveranciers.

 De praktijk

In haar bedrijfsvoering is iedere school verantwoordelijk om persoonsgegevens te verwerken binnen de Wbp. Met betrekking tot de partijen waarmee wordt samengewerkt voor de distributie en toegang tot leermiddelen, zijn de volgende zaken belangrijk om als school in acht te nemen:

  • Sluit met iedere bewerker van persoonsgegevens een modelbewerkersovereenkomst af. Deze dient getekend te worden door het College van Bestuur of gemachtigde en de leverancier. Scholen mogen verwachten dat leveranciers hiervoor zelf het initiatief nemen, maar dienen hier vanuit hun verantwoordelijkheid wel op toe te zien. Daarnaast dienen leveranciers vooraf hun subbewerkers kenbaar te maken en hiervoor de bewerkersverplichtingen door te leggen aan de partij(en) waarmee wordt samengewerkt.
  • De toegang en distributie van digitale leermiddelen gaat steeds meer via de standaard Educatieve Content Keten (ECK) en Kennisnet Federatie (KNF). Hierdoor worden studentgegevens voor toegang digitaal uitgewisseld tussen school, Kennisnet en leverancier. Kennisnet geeft in de koppelingen slechts de gegevens door waarvoor scholen via een Attribute Release Policy (ARP) toestemming hebben verleend aan een leverancier. Deze worden standaard beperkt tot een minimale set: slechts datgene wat noodzakelijk is, maar kunnen ook worden uitgebreid.
  • Nog niet iedere educatieve uitgeverij maakt gebruik van de huidige standaarden. Kleinere en vaak gespecialiseerde uitgeverijen zijn nog niet aangesloten op de huidige standaarden en bekend met bewerkersovereenkomsten. Behalve dat de standaarden zoals ECK en KNF veel werk besparen, borgen zij ook zorgvuldig de technische informatie uitwisseling. Slim.nl heeft speciaal met haar technologie partner IT-Workz dienstverlening voor ontwikkeld, onder andere om eenvoudig om ECK aan te kunnen sluiten.

Europese verordening op het gebied van gegevensbescherming

Op 25 mei 2018 wordt de Wbp vervangen door de Algemene Verordening Gegevensbescherming (AVG). Om eenduidige afspraken te maken over de gehele Europese Unie (EU) hebben alle lidstaten zich geconformeerd. Voor Nederland betekent dat de Wbp vervangen wordt door de AVG. Er zit weliswaar een flinke overlap tussen de wetten, maar er zitten meer details in en een aantal grote veranderingen. De belangrijkste wijzigingen zijn:

  • Scholen, leermiddelen distributeurs, educatieve uitgeverijen, school administratie systeem leveranciers dienen aantoonbaar hun privacy op orde te hebben. Een beleid of reglement voor privacy volstaat niet meer. De documentatieplicht is de nieuwe standaard: rapportages, evaluaties en (onafhankelijk) audits zijn noodzakelijk om aantoonbaar te voldoen aan de AGV.
  • Betrokkene, de student krijgt extra rechten zoals het recht om vergeten te mogen worden. Organisaties moeten dus per direct alle gegevens van de student te kunnen verwijderen op verzoek. En opnieuw ook kunnen aantonen dat ze dit goed georganiseerd hebben.
  • Er dient een functionaris ingesteld te worden bij gegevensverwerkende organisaties in de publieke sector en in de private sector. Over onderwijsinstellingen wordt in de AGV niet een specifieke uitspraak gedaan. Wel wordt aangegeven dat publieksrechtelijke organisaties verplicht een functionaris moeten hebben. Aangezien het onderwijs voorziet in een specifiek algemeen belang, een rechtspersoonlijkheid heeft en haar hoofd activiteiten door de staat worden gefinancierd, wordt zij gerekend tot overheidsinstantie (bron Hoger Onderwijs Management, Functionaris gegevensbescherming verplicht door Mr. Philip Coté MBA). Vaak is deze verantwoordelijkheid voor gegevensbescherming belegd bij de school security officer: zijn of haar takenpakket en verantwoordelijkheid zal steviger in de organisatie gepositioneerd te worden.
  • Toezichthoudende autoriteiten krijgen meer (boete)bevoegdheden: van 10 miljoen (2%) niet nakomen tot plichten tot zelfs 20 miljoen (4% jaaromzet) bij overtreding.


◀ Terug naar thema overzicht

Hallo ik ben Pascal Timmermans. Heb je vragen over dit artikel? Neem dan contact met mij op.

Foto medewerker

Pascal Timmermans

Consultant Innovatie