Veel gestelde vragen vanuit het netwerk IBP

FG's

Ja, je moet straks een functionaris gegevensbescherming (FG) aanstellen. Daarover zijn nog wel wat vragen want de tekst in de AVG is niet 100% waterdicht voor scholen. Het geldt namelijk voor organisaties ‘die persoonsgegevens gebruiken van personen waarop regelmatig en stelselmatig toezicht moet worden gehouden’. Wel, veel scholen vallen dan onder deze verplichting want scholen leggen steeds meer studentgegevens vast, evenals bijzondere persoonsgegevens. Bijvoorbeeld over gezondheid zoals dyslexy of gedragsproblemen. Maar ook over voortgang van de leerling en leerresultaten. Het juristennetwerk van de MBO Raad komt ook bijna unaniem tot deze conclusie.

Zo’n FG houdt intern toezicht op de verwerking van persoonsgegevens en heeft een wettelijk omschreven taak en een beschermde aanstelling.  Je kunt nu al zo’n FG aanstellen, straks (uiterlijk 25 mei 2018) wordt dit verplicht in de (semi)publieke sector.

In het toetsingskader privacy in het mbo is onder statement P2 aangegeven wat de maatregel inhoudt. Wettelijk is vastgelegd dat de FG ten minste de volgende taken vervult:

1. registreren van verwerkingen van gegevensverwerkingen.

2. adviseren van de verantwoordelijke en alle bij gegevensverwerkingen betrokken werknemers over hun (wettelijke) verplichtingen.

3. toezicht op de naleving van wet- en regelgeving, alsmede op naleving van het privacy beleid, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel.

4. advies over de gegevensbeschermingseffectbeoordeling (GEB, ook wel PIA genaamd, zie statement P.21 van het toetsingskader privacy in het mbo) en toezien op de uitvoering daarvan.

5. samenwerking met de toezichthoudende (privacy)autoriteiten.

6. optreden als contactpunt voor de toezichthoudende autoriteit.

Eén mbo instelling heeft de AP gevraagd om aan te geven of een onderwijsinstelling op grond van bovenstaande nu verplicht is tot het aanstellen van een FG. De AP heeft aangegeven geen feitelijke  uitspraak hierover te willen doen. Maar ze kan zich vinden in de geschetste denktrant.

Nadrukkelijk wordt door de AP aangegeven dat de brancheorganisatie van instellingen in deze een rol kan spelen, dus een FG die vanuit een brancheorganisatie (MBO Raad, saMBO-ICT?) wordt aangesteld voor de instellingen. Er is ook de mogelijkheid van inhuur (scholen huren bij elkaar een FG).

Ook het ministerie van OCW komt tot de conclusie dat een FG verplicht is voor scholen.  Alleen komen die tot deze conclusie op basis van een geheel ander argument, namelijk dat het voor de overheids- en semipublieke instellingen verplicht is en dus ook voor scholen. Dat is een redenering waar nog wel discussie over mogelijk is.

Op dit moment wordt nog verder door de rijksoverheid onderzocht wat het precies betekent allemaal en in welke gevallen een FG verplicht is.  Daar kunnen nog andere conclusies uit voortkomen. Kennisnet heeft nog contact  met OCW over deze vraag.

Categorieën: FG's

Implementatie

De wet vraagt aan elke organisatie die persoonsgegevens verwerkt om “passende technische en organisatorische maatregelen” te treffen.

Het is aan de organisatie om invulling te geven aan wat “passend” is. “Passend” verwijst naar een relatie tussen de beveiliging en hetgeen wordt beveiligd. Door te inventariseren welke gegevens en systemen gebruikt worden en aan welke bedreigingen deze worden blootgesteld (een zogenaamde risicoanalyse) kan een organisatie deze relatie expliciet maken.

Concreet betekent dit dat een instelling die gebruik maakt van het framework IBP in het mbo als uitgangspunt hanteert dat niveau twee van alle maatregelen de basis is. De instelling moet zelf, op basis van bijvoorbeeld een risicoanalyse of incidenten, regelmatig evalueren of niveau twee afdoende is. Het kan heel goed zijn, bijvoorbeeld bij het verwerken van bijzondere persoonsgegevens, dat een instelling niveau drie of hoger ambieert.

“Passend” heeft in de praktijk ook een relatie met de tijd. Je kan niet van de ene op de andere dag alle maatregelen hebben geïmplementeerd. Dus je moet keuzes maken. Ook dit kun je doen op basis van de risicoanalyse: de maatregelen die gekoppeld zijn aan de grootste risico’s implementeer je eerst.

Het framework IBP in het mbo ondersteunt dit met een continu verbeterproces. In 2017 implementeer je een aantal maatregelen die dan het meest belangrijk zijn. In 2018 kies je weer een nieuwe set aan maatregelen die daarna de focus verdienen. Kijk niet één keer per jaar naar de lijst met te implementeren maatregelen. Zorg ervoor dat nieuwe ontwikkelingen, incidenten en inzichten maatregelen kunnen toevoegen of wijzigen. Op die manier zorg je dat je op elk gegeven moment “passend” bezig bent.

Wat nu als leveranciers niet mee willen werken?

Als instelling ben je niet alleen zelf met persoonsgegevens bezig, maar je hebt ook leveranciers van systemen waarin persoonsgegevens staan of zelfs externe partijen wiens taak het is om voor jou persoonsgegevens te verwerken zoals de salarisadministratie. De wet schrijft voor dat je dan als verantwoordelijke moet zorgen dat ook zij “passende technische en organisatorische maatregelen” treffen.

Dit kan bijvoorbeeld door het afsluiten van een verwerkersovereenkomst waarin je dit duidelijk afspreekt. Uiteindelijk zal je dus met al deze partijen, die voor jou persoonsgegevens verwerken, verwerkersovereenkomsten moeten afsluiten. Ook dat zal je niet in één dag lukken. Dus daar geldt eigenlijk hetgeen hierboven al staat: maak een geprioriteerde lijst van al je leveranciers en werk deze stelselmatig af. Hiermee toon je aan dat je het voor jouw instelling inzichtelijk en onder controle hebt en dat je binnen een redelijke termijn alles hebt geregeld.

Categorieën: Implementatie

We houden voorlopig vast aan de opgestelde documenten uit het framework. Voor bestuurders is er een Hoe?Zo!-publicatie gemaakt, die in Jip- en Janneke-taal vertelt wat beleid t.a.v. informatiebeveiliging inhoudt. Ook moedigen we deze community aan elkaar tips te geven over ‘hoe vertel ik het IBP-verhaal?’.

Ook is een nieuwe Aanpak ibp in het mbo ontwikkeld, een wikiwijs arrangement dat je laagdrempelig meeneemt door het hele Framework heen. Dat moet helpen.

kijk op https://maken.wikiwijs.nl/104332/AANPAK_IBP_IN_HET_MBO

Categorieën: Implementatie

Een vraag die velen bezighoudt, het gaat immers om bijzondere persoonsgegevens. En daar moeten we als school zeer nauwkeurig mee omgaan. In principe mag je geen bijzondere persoonsgegevens verwerken tenzij daar een uitzondering voor is. Dat speelt bij onderwijsinstellingen. In bijgaande notitie is uitvoerig deze vraag uitgewerkt. Het juridische kader wordt beschreven rond grondslag en dataminmalisatie. En er wordt in uitgewerkt hoe dit dan in de praktijk uitwerkt, wat te doen bij de intake, met wie kun je de gegevens delen. En tot slot ook nog aandacht voor de informatiebeveiliging en de bewaartermijnen. Kortom, een vraag waar geen kort antwoord op is maar met deze notitie kan je verder.

Categorieën: Implementatie

Informatiebeveiliging

Dat kan met SURFfilesender, dat wordt door SURFmarket uitgeleverd. De werkgroep verwerkersovereenkomsten heeft gekeken naar de onderliggende overeenkomst, deze lijkt wat betreft beveiliging en privacy op orde. De beheerovereenkomst is wel verouderd maar wordt vanaf 1-1-2019 vernieuwd, volgens het nieuwe Surf model dat dan ook is aangepast aan Avg. Dit is op zich niet erg omdat het standpunt (van privacy convenant 3.0 partners) bij nieuwe verwerkersovereenkomsten is dat deze uiterlijk m.i.v. schooljaar 2019-2020 vernieuwd moeten zijn.

SURFfilesender heeft dus een lopende bemiddelingssovereenkomst via SURFmarket, daar is dus nog geen nieuwe overeenkomst voor afgesloten, deze loopt tot 31/12 /18.
Wel wordt binnen SURFfilesender geheel volgens de AVG gewerkt.

Daarvoor geldt onder ander het volgende:

Getroffen beveiligingsmaatregelen
SURFfilesender heeft een ACL op de switch en een lokale firewall op de VM.
Daarnaast staat er voor 2018 een SURFfilesender audit gepland.
SURFfilesender volgt de standaard security aanpak van SURFnet. Deze aanpak is gebaseerd op ISO 27000 standaarden. Verder zijn concrete beveiligingsmaatregelen de volgende:

1.    Alleen de Technisch Product Manager heeft toegang tot de beheerportal en daarmee inzage in persoonsgegevens. Er zijn enkel leesrechten, persoonsgegevens kunnen daarmee niet gewijzigd worden. Beleid is dat persoonsgegevens niet worden verstrekt aan derde partijen, tenzij daar aanleiding voor is, bijvoorbeeld bij een gegrond opsporingsverzoek. Login is gekoppeld aan SURFconext en daarmee afgeschermd voor anderen. Het betreft hier niet de inhoud van de versleutelde bestanden van SURFfilesender die verstuurd en ontvangen worden. Hier heeft de TPM geen inzage in.

2.    SURFfilesender wordt beheerd en wordt door de beheerpartij up to date gehouden. Iedere week vinden automatische  securityscans plaats (Outpost24) en ieder kwartaal voert de beheerpartij extra vulnerability scans uit.
Om toegang te krijgen tot de admin pagina van SURFfilesender dient het UID van de gebruiker aan de configuratie van SURFfilesender toegevoegd te worden. Hiervoor is toegang nodig tot de SURFfilesender settings. Dit is alleen te wijzigen door de beheerpartij.

3.    Met de beheerpartij (Prolocation) is een beheerovereenkomst afgesloten waarin een bijlage is opgenomen waarin beschreven staat welke persoonsgegevens zij toegang hebben voor het beheer van de dienst. Tevens staat daarin beschreven dat zij daar alleen leesrechten voor hebben. Daarnaast staat gedefinieerd dat deze maximaal 4 maanden opgeslagen blijven. Dit is vastgelegd in bijlage 4 van de beheerovereenkomst voor het beheer van SURFfilesender: Specificatie verwerking persoonsgegevens
Er worden alleen persoonsgegevens gevraagd die nodig zijn voor de uitvoering en beheer van de dienst, dat is inclusief de logging voor troubleshooting.

Categorieën: Informatiebeveiliging

Uitwisseling persoonsgegevens

Het gaat hier om twee mogelijke situaties: de BBL en de BOL.

BOL: De stage is een onderdeel van de opleiding. Het is voor het BPV-bedrijf noodzakelijk om toegang te krijgen tot NAW-gegevens en de studieresultaten van de student En tot enkele andere gegevens die noodzakelijk zijn voor het succesvol starten of afronden van de stage, zoals bijvoorbeeld de verklaring van de school dat de student een VOG, inentingen of bepaalde diploma’s heeft gehaald. De school mag enkel deze gegevens uitwisselen. Dit is expliciet opgenomen in de stageovereenkomst.

BBL: Hier is de student een werknemer van het stagebedrijf. De werkgever betaalt vaak en is onderdeel van de POK. Hierdoor is het voor de werkgever van belang om informatie te krijgen over en omgekeerd:
– studieresultaten op school
– aan- en afwezigheidsregistratie op school
– studievoortgang

In dit geval is de grondslag dus de uitvoering van de OOK/POK waarin bovenstaande expliciet is opgenomen.

In principe stellen we ons op het standpunt dat de Inspectie deze dossiers inhoudelijk niet mogen inzien als deze in vertrouwen zijn gegeven.

Maar daarover is nog best veel te doen. De Inspectie heeft een brief verzonden naar instellingen waarin ze op dit punt in gaan. Die brief is hieronder weergegeven. Echter ook daarin wordt het antwoord op de vraag ook niet klip en klaar helder. Een nadere mailwisseling met de Inspectie levert wel een meer specifieke invulling van het vraagstuk op. Daarin zegt de Inspectie:

“Ondanks dat het niet vaak zal voorkomen dat we deze gevoelige persoonsgegevens willen en mogen inzien, kunnen we dat van tevoren niet helemáál uitsluiten. Immers, het kan bijv. nodig zijn bij een (specifiek) onderzoek naar de sociale veiligheid en het kan bovendien relevant zijn voor een onderzoek naar de naleving van de meldcode huiselijk geweld en kindermishandeling en de overleg- en aangifteplicht bij zedenmisdrijven. En er is een duidelijk onderscheid tussen inzien en dossiers meenemen, het laatste zullen we alleen doen als dat niet anders kan.

Hieronder de brief van de Inspectie aangaande de AVG:

Algemene Verordening Gegevensbescherming: wat betekent het voor u?

De Inspectie van het Onderwijs wil zorgvuldig omgaan met (bijzondere) persoonsgegevens.

Dit is ook een vereiste van de Wet Bescherming Persoonsgegevens (de WBP) en de Algemene Verordening Gegevensbescherming (de AVG) die in mei 2018 van kracht wordt.

In dit bericht informeren wij u over wat dat voor u en voor ons betekent.

De inspectie mag alleen persoonsgegevens verwerken als dat voor haar wettelijke taken noodzakelijk is. Dit wordt ook wel doelbinding genoemd. Bij de uitvoering van vrijwel al onze taken kunnen wij volstaan met anonieme gegevens van leerlingen of docenten. Persoonsgegevens zijn alleen in uitzonderlijke gevallen noodzakelijk.

Anonieme gegevens aanleveren
In de voorbereiding van een schoolbezoek of bij het uitvoeren van onze toezichtstaken vragen wij u om documenten aan te leveren. Het komt ook voor dat u deze op eigen initiatief bij ons aanlevert. Wilt u bij het aanleveren van deze documenten zoveel mogelijk rekening houden met de privacy van uw leerlingen en/of docenten en andere medewerkers?

Wij verzoeken u om gegevens zoveel mogelijk geanonimiseerd aan te leveren. Verwijder namen of andere persoonsgegevens waaruit wij kunnen afleiden om wie het gaat of maak deze gegevens onzichtbaar.

Uitzonderlijke gevallen: documenten mét persoonsgegevens
In uitzonderlijke gevallen hebben we voor het uitvoeren van onze toezicht- en handhavingsstaken wel persoonsgegevens nodig. Bijvoorbeeld in het geval van een onderzoek naar verzuim of naar de financiële rechtmatigheid (zijn onderwijsmiddelen wel volgens wet- en regelgeving verkregen of besteed?). Bij deze twee voorbeelden is er sprake van een wettelijke grondslag en dan is het voor onze wettelijke taken noodzakelijk om persoonsgegevens te verwerken. Wanneer dit het geval is, dan berichten wij u hierover en vragen wij u de gegevens bij ons aan te leveren of voor ons klaar te leggen op de dag van het inspectiebezoek.

Aanleveren via Kwalidata
Documenten die persoonsgegevens bevatten, dient u bij voorkeur bij ons aan te leveren via Kwalidata. Tevens verzoeken wij u nadrukkelijk deze niet via een zip-bestand aan te leveren, aangezien per document aangegeven moet worden of ze persoonsgegevens bevatten en dat kan niet in een zip-bestand.

Heeft u vragen?
Heeft u vragen over het geanonimiseerd aanleveren van gegevens of andere vragen over zorgvuldige gegevensverwerking? Maak dan gebruik van het contactformulier of neem contact op met ons Loket via telefoon 088-669 60 60.

De vragenlijsten van de GGD zijn een terugkerend issue. Er is inmiddels wetgeving ontwikkeld: de GGD’s kunnen zodra deze nieuwe wet in werking treedt op 1 augustus 2017 deze data opvragen bij DUO (gegevens uit BRON). Tot die invoering, zou je de volgende lijn het beste kunnen aanhouden:

Je mág de lijsten verstrekken (GGD heeft daar het recht toe), je bent daar niet toe verplicht. Maar mogelijk valt het verstrekken van lijsten aan de GGD niet onder vrijstelling van de meldingsverplichting (art. 19 lid 2 en 4 Vrijstellingsbesluit Wbp), met als gevolg dat iedere school dus zelf een formele melding moet doen bij Autoriteit Persoonsgegevens (AP) van het feit dat persoonsgegevens worden doorgegeven aan een derde (namelijk de GGD). Als meer dan alleen (!) NAW-gegevens en klas worden doorgegeven, moeten ouders toestemming geven of ten minste verzet kunnen instellen tegen de verstrekking (vooraf informeren dus).

Veel scholen geven meestal alleen klassen- en adressenlijsten door, dus zonder allerlei aanvullende medische informatie.

De onderbouwing is als volgt:

Op grond van de Wbp mag een school persoonsgegevens van de leerling verwerken indien dit noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het bestuursorgaan waaraan de gegevens worden verstrekt. Het college van burgemeester en wethouders draagt zorg voor de uitvoering van de jeugdgezondheidszorg. Ter uitvoering van die taak zorgt het college van burgemeester en wethouders in ieder geval voor (onder meer) het op systematische wijze volgen en signaleren van ontwikkelingen in de gezondheidstoestand van jeugdigen en van gezondheid bevorderende en -bedreigende factoren. (artikel 5 lid 1 en lid 2 aanhef en sub a Wet publieke gezondheid). Op basis van art. 14 van die wet draagt het college van B&W de uitvoering van deze taak op aan een gemeentelijke of regionale gezondheidsdienst.

De GGD heeft dus een wettelijk opgedragen publieke taak om “jeugdigen” (tot 19 jaar oud) op systematische wijze te volgen. Dat gebeurt door op verschillende momenten contact te hebben met het kind. Deze contactmomenten zijn vastgesteld in de Richtlijn Contactmomenten Basispakket JGZ 0-19 jaar (http://www.ncj.nl/programmalijn-kennis/landelijke-werkdocumenten/richtlijn/?item=17). Daaruit blijkt dat GGD’s over het algemeen de leeftijd of de klas/groep van de kinderen gebruiken ter bepalingen van het contactmoment. Die Richtlijn is overigens geen wet- of regelgeving, maar een beroepsrichtlijn en is dus niet bindend.

De gegevens die de GGD in de email vraagt (let op: maar alleen van jongeren tot 19 jaar), lijken noodzakelijk voor het onderzoeken van de gezondheid en de sociale en emotionele ontwikkeling en voor het opvolgen van geconstateerde problemen.

De conclusie is dus dat scholen in beginsel de gegevens mogen verstrekken aan de GGD, tenzij zou blijken dat er andere manieren zijn om deze gegevens te verkrijgen die minder inbreuk maken op de privacy van de leerling. Volgend jaar via DUO dus. Er is geen wettelijke plicht voor de school om de opgevraagde gegevens te verstrekken, behalve misschien op basis van een “algemene zorgplicht om een gezonde leeromgeving te waarborgen” (en daarvoor zou de GGD de aangewezen instantie zijn).

Dan over de melding: de meeste scholen hebben de verwerking van persoonsgegevens van leerlingen niet gemeld aan de AP, maar zij zich beroepen op de vrijstelling van de gegevensverwerking inzake ‘leerlingen, deelnemers en studenten’.

De verstrekking aan de GGD kan mogelijk worden begrepen onder de doelen genoemd in artikel 18 Vrijstellingsbesluit Wbp lid 2 onder g (de uitvoering of toepassing van een andere wet). Maar omdat er geen verplichting bestaat om gegevens te verstrekken, is de vraag of dit voldoende basis biedt, omdat er geen verplichting is gegevens te verstrekken. Dit vraagt nader onderzoek. Verstrekking aan derden (zoals de GGD) is ook op grond van lid 4 mogelijk als een beroep kan worden gedaan op artikel 8 onder e Wbp, echter op voorwaarde dat slechts een beperkte set aan gegevens wordt verstrekt “nadat het voornemen daartoe aan de betrokkene of diens wettelijke vertegenwoordiger is medegedeeld en deze gedurende en redelijke termijn in de gelegenheid is geweest het recht als bedoeld in artikel 40 of 41 van de wet uit te oefenen”. Met andere woorden: aan de betrokkenen of hun wettelijke vertegenwoordigers moet het verzetsrecht worden aangeboden, voordat gegevens van de leerlingen aan de GGD mogen worden verstrekt. Bovendien moet de verstrekking beperkt blijven tot kort samengevat NAW-gegevens. De verstrekking van de uitgebreide set van gegevens waar de GGD om vraagt, waaronder ook klas, klastoevoeging en niveau (en mogelijk ook nog andere gegevens) zal tot gevolg hebben dat de school zich niet (langer) op de vrijstelling kan beroepen en de verstrekking van persoonsgegevens aan de GGD dus moet gaan melden aan het CBP. Ik laat in het midden of het wenselijk is dat scholen, die juist vrijgesteld zijn van een meldingsverplichting (om administratieve last beperken), voor levering aan de GGD apart meldingen zouden moeten gaan doen.

En natuurlijk geldt dat de gegevens alleen door de GGD gebruikt mogen worden voor de publiekrechtelijke taak die aan hen opgedragen is.

Argumenten hiervoor zijn dat het zo handig is, dat de directeur van de school het goed vindt, dat andere scholen het ook doen….. Maar is dit wel zo’n goed idee?

Leerplichtambtenaren hebben wel een wettelijk recht op informatie. Daarbij gaat het vooral om verzuim. Belangrijk uitgangspunt bij het delen van informatie is of de wet iets regelt (ja, de Leerplichtwet), en dataminimalisatie. Een leerplichtambtenaar heeft alleen recht op die informatie die hij/zij strikt noodzakelijk nodig heeft voor de uitoefening van zijn werk. Het geven van een account (toegang tot de gehele administratie) komt daar niet meer overeen. Een leerplichtambtenaar hoeft niet te zien dat een voorbeeldige leerling één uur mist…  Het is nog altijd de school die bepaalt welke leerlingen met de leerplichtambtenaar besproken moeten worden.

Wat misschien wel mogelijk is, is dat er een speciaal account is voor een leerplichtambtenaar. Intergrip kent wel zo’n rol voor een verzuimambtenaar. Dan is het misschien wel goed te controleren.

Meer informatie over de informatie die een leerplichtambtenaar mag opvragen, is hier te vinden.

Een leerplichtambtenaar/RMC-ambtenaar mag geen andere persoonsgegevens worden verwerkt dan:

  1. naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens van de leerplichtige;
  2. een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
  3. nationaliteit en geboorteplaats;
  4. gegevens als bedoeld onder a, van de ouders, voogden of verzorgers van de leerplichtige;
  5. gegevens met betrekking tot de inschrijving of afschrijving van de leerplichtige;
  6. gegevens ten aanzien van het schoolverloop, het schoolverzuim en van het beroep op een vrijstelling van de leerplicht;
  7. andere dan de onder a tot en met f bedoelde gegevens waarvan de verwerking is vereist ingevolge of noodzakelijk is met het oog op de toepassing van de Leerplichtwet 1969 of een andere wet.

Verwerkersovereenkomsten

Hier is veel discussie over geweest.

Ten eerste moet er een onderscheid tussen VO en MBO gemaakt worden. Voor het VO is er een afspraak met OCW en moet het CJP de passen gratis verstrekken. Om daaraan te kunnen voldoen hebben ze gegevens nodig van de scholen en zijn ze zelfstandig verantwoordelijke. En is er geen verwerkersovereenkomst nodig.

In het mbo ligt dat anders. Daar is geen sprake van een wettelijk plicht en ligt het dus anders. De MBO instelling levert een beperkte set van gegevens aan aan het CJP voor de MBO Card.  Daarbij is de instelling dus verwerkingsverantwoordelijke en het CJP de verwerker. Strict genomen is daar dus een verwerkersovereenkomst vereist. Het CJP biedt dan ook een overeenkomst, deze is gebaseerd op het convenantsmodel.

Voor hetgeen studenten zelf vervolgens aan gegevens aan het CJP afgeven is het CJP de verwerkingsverantwoordelijke.

Omdat het gaat om een beperkte set aan persoonsgegevens (waaronder geen bijzondere persoonsgegevens) zullen instellingen ook wel wegkomen zonder een verwerkersovereenkomst.

En dit jaar speelt het probleem ook nog eens voor het laatst omdat CJP heeft aangegeven volgend jaar op een andere manier de gegevens te willen gaan verzamelen, dan is het niet meer aan de orde.

In ieder geval moet het Dataregister Studenten voor het mbo nog wel aangepast worden omdat daarin nog staat dat CJP extern verantwoordelijke is.

Door middel van wetgeving over Passend Onderwijs en Voortijdig Schoolverlaten stimuleert de overheid  onderwijsinstellingen om de problematiek rondom deze twee thema´s aan te pakken.

Om dit te goed te kunnen doen zullen de onderwijsinstellingen elkaar op de hoogte moeten houden over waar leerlingen/studenten zich hebben aangemeld, zodat er monitoring kan plaatsvinden en indien nodig tijdig worden ingegrepen. Dit wordt vaak binnen regionale samenwerkingsverbanden van onderwijsinstellingen georganiseerd. Ook gemeentes kunnen deel uitmaken van deze samenwerkingsverbanden. Dat betekent dat binnen een samenwerkingsverband over deze gegevensuitwisseling onderling goede afspraken moeten worden vastgelegd over verantwoordelijkheid en veiligheid van de persoonsgegevens.

 

De onderwijsinstellingen kunnen er voor kiezen om deze gegevensuitwisseling te laten verlopen via een verwerker. Intergrip BV biedt hiervoor een aantal producten aan in de vorm van verschillende overstapmodules (PO-VO / Overstap PvE / VO-MBO) om overstappers in het onderwijs te kunnen monitoren: zij hebben op dit moment 80% van alle overstappers in beeld (lees gegevens hiervan opgeslagen). Tegelijk bieden deze modules mogelijkheden om leerlingdossiers aan elkaar over te dragen. Ook deze -vaak bijzondere- persoonsgegevens moeten goed worden beschermt.

Onderwijsinstellingen mogen op basis van de wet met elkaar gegevens uitwisselen rondom de aanmeldingen. De gegevens over studenten en leerlingen worden met hun toestemming en in geval van minderjarigheid ook met toestemming van de ouders via de systemen van Intergrip aan elkaar doorgegeven.

Voor alle onderwijsinstellingen moeten de volgende zaken duidelijk worden en in deze volgorde:

  1. Wie is de verwerkingsverantwoordelijke?
  2. Mag het BSN-nummer hiervoor gebruikt worden?
  3. Heeft Intergrip zijn beveiliging op orde?

Ad1.

De onderwijsinstellingen zijn verantwoordelijk: vanwege de zorgplicht (Artikel 27b Wet op het voortgezet onderwijs) en recht op toelating (Artikel 8.0.1 Wet educatie en beroepsonderwijs en Artikel 8.0.3 Wet educatie en beroepsonderwijs)

Als onderwijsinstellingen binnen een samenwerkingsverband er voor kiezen om de uitwisseling via een verwerker te laten verlopen, dan moeten hierover binnen het samenwerkingsverband goede afspraken gemaakt worden. Een samenwerkingsverband (ook al is zij een rechtspersoon) kan deze verantwoordelijkheid nooit overnemen, omdat zij volgens de wet niet gerechtigd is om het BSN-nummer te gebruiken. (https://passendonderwijsenprivacy.nl/#!/content/58)

De volgende oplossingen hiervoor zijn mogelijk:

1a. Alle onderwijsinstellingen werken samen in een samenwerkingsverband (als er geen rechtspersoon is opgericht). Ze zijn samen verantwoordelijk en er is 1 penvoerder. In een convenant moet dan een opdracht (mandaat) staan van alle verantwoordelijken aan de penvoerder om namens alle verantwoordelijke onderwijsinstellingen een verwerkersovereenkomst te tekenen met een verwerker.

1b. Alle onderwijsinstellingen werken samen in een samenwerkingsverband (als er geen rechtspersoon is opgericht). In een convenant staat dan dat alle onderwijsinstellingen Intergrip gebruiken om gegevens uit te wisselen en iedere onderwijsinstelling tekent afzonderlijk een verwerkersovereenkomst (en desnoods een apart contract met Intergrip)

2. Als er in het kader van het samenwerkingsverband wel een rechtspersoon is opgericht. Die moet dan de taak hebben die de partijen ook hebben bij punt 1a hiervoor. Je kunt er ook voor kiezen dat de organisatie/rechtspersoon aangewezen wordt als verwerker die afspraken maakt met alle verantwoordelijken (1 op 1), en dan een verwerkersovereenkomst sluit met een verwerker.

Omdat een samenwerkingsverband niet als verwerkingsverantwoordelijke kan optreden, lijken de opties 1a en 1b het meest voor de hand te liggen als te kiezen oplossing.

Ad2:

Zolang de onderwijsinstellingen in deze uitwisseling optreden als verantwoordelijke mag het BSN-nummer gebruikt worden In dit proces is er sprake van gegevensuitwisseling tussen twee verantwoordelijken en bij uitwisseling tussen onderwijsinstellingen mag het BSN-nummer gebruikt worden. (https://maxius.nl/wet-op-het-voortgezet-onderwijs/artikel103b/lid7) en https://maxius.nl/wet-educatie-en-beroepsonderwijs/artikel2.5.5a/lid9)

In opdracht van de verwerkingsverantwoordelijke, die gerechtigs is het BSN te gebruiken, mag een verwerker ook het PGN/BSN gebruiken. Uiteraard onder de gebruikelijke beveiligingseisen die bij het verwerken van bijzondere persoonsgegevens horen.

De discussie of een MBO-school het BSN-nummer mag voeren voordat de leerling definitief is ingeschreven, is achterhaald: Artikel 8.0.3 Wet educatie en beroepsonderwijs Bij aanmelding moet volgens de het BSN-nummer opgegeven worden.

Het  BSN-nummer wordt niet meer gebruikt bij de registratie (er wordt tegenwoordig om een ISN-nummer gevraagd). Dit ISN-nummer komt uit het systeem van Intergrip en wordt verstrekt door de onderwijsinstellingen aan de leerlingen. Het BSN-nummer wordt alleen nog gebruikt in de overdrachtsdossiers en niet meer in de producten die daar niets mee te maken hebben.

In de meeste gevallen krijgt een leerling/student een ISN-nummer van de onderwijsinstelling, maar studenten die zich aanmelden en niet bekend zijn in het systeem (omdat zijn bijvoorbeeld vanuit een werkende situatie komen) krijgen soms wel de opdracht om een doorstroomdossier aan te maken in Intergrip en zich te registreren. Dat kan, maar dan wordt Intergrip gebruikt als een soort digitale aanmelding, omdat uiteindelijk de gegevens van die leerling doorgesluisd worden naar het studentenadministatiesysteem. In dat geval wordt wel om het BSN-nummer gevraagd. De vraag is of deze mogelijkheid om een aanmelding te laten verlopen via het Intergrip het totale proces rondom aanmelding kwetsbaarder maakt voor fouten.

Ad 3:

Tot slot de beveiligingsrisico’s: Intergrip neemt security en privacy zeer serieus, maar een aantal zaken zijn nog niet op het niveau van een partij die zoveel (bijzondere) persoonsgegevens van onze leerlingen en studenten verwerkt.

  • Ze zijn niet in bezit van certificaten op het gebied van informatiebeveiliging en privacy.
  • Ondanks dat ze gegevens verwerken waarbij sprake is van hoge vertrouwelijkheid, is 2factor-authentication nog niet mogelijk (wordt wel aan gewerkt).
  • Wanneer hebben ze hun security-test gedaan en voor het laatst een audit gehad? (de laatst bekende is van 20 april 2016)
  • Is Privacy by Default gewaarborgd met het gebruik van vrije velden (de inhoud van deze velden worden -volgens de audit- halfjaarlijks vastgesteld met projectleiders in de regio’s) -> dat zou kunnen betekenen dat per half jaar de privacybijlage aangepast moet worden: onduidelijk is nu wat er allemaal aan persoonsgegevens nog meer wordt vastgelegd naast de standaardvelden.
  • Heeft Intergrip ondertussen een goedgekeurd beveiligingsbeleid en waar wordt die gecommuniceerd?
  • Handelt Intergrip autorisatieverzoeken af via de Helpdesk?

Het advies van Kennisnet en MBO Raad is: niet tekenen voordat de volgende zaken binnen het samenwerkingsverband duidelijk zijn:

  • Is het niet in bezit zijn van certificaten op het gebied van informatiebeveiliging en privacy acceptabel voor ons als onderwijsinstellingen?
  • Is het werken zonder 2factor-authentication voor ons als onderwijsinstellingen acceptabel?
  • Hebben we voldoende duidelijkheid over hoe Intergrip zijn informatiebeveiliging heeft geregeld (inzage beleid en audits?)
  • Is er duidelijkheid over wat er in de vrije velden wordt opgeslagen aan (bijzondere) persoonsgegevens?
  • Wie voert de regie over de autorisatie?

Nee. In het kader van de AVG treedt de arbo dienstverlener op als verantwoordelijke voor de verwerking van de persoonsgegevens. Dit betekent dat een arbo dienstverlener geen verwerker is en het opstellen van een verwerkersovereenkomst om die reden niet nodig is.

In bijgaand document wordt uitvoerig ingegaan op wat de nieuwe AVG betekent voor de ARBO dienstverlening. Het document is opgesteld door Ludo Cuijpers aan de hand van een samenwerking met de Arbo Unie.

Veel organisaties zien arbodienstverleners als verwerker van hun personeelsgegevens. Toch is hun rol een andere. Als arbodienst zijn zij namelijk verantwoordelijk voor alle informatie die noodzakelijk is voor het uitvoeren van onze wettelijke taken, zoals verzuimbegeleiding, RI&E, preventief medisch onderzoek en (functie)keuringen. Dat is ook begrijpelijk als je bedenkt dat de werkgever geen inzage mag hebben in informatie over de gezondheid van zijn medewerkers. Een verwerkersovereenkomst is voor deze wettelijke taken dan ook niet nodig. Natuurlijk kunnen we wel afspraken maken met werkgevers. Dat doet een arbo dienstverlener via het vernieuwde privacyreglement. Dit dekt alles wat ook in een verwerkersovereenkomst aan bod komt.

Dit is een ingewikkelde vraag. Je zou zeggen dat het gaat om subbewerkers en dat de hoofdbewerker daar maar afspraken mee moet maken. Maar daar kan je ook anders tegenaan kijken. Het punt van het maken van afspraken met uitgevers door de distributeurs namens de scholen, zoals ze dat zelf stelden is niet het meest wenselijk. Weliswaar ondersteunen de distributeurs, met de beste bedoelingen, scholen door voor hen contracten af te sluiten met leveranciers. Maar het juridisch probleem daarbij is dat ze op de stoel van de bestuurder (bevoegd gezag) gaan zitten: de distributeurs besluit welke gegevens er worden uitgewisseld, én ze sommeren de uitgevers om met hen verwerkersovereenkomsten af te sluiten. De distributeur positioneert de uitgever inderdaad als een subbewerker van zichzelf. Dit sluit echter niet aan bij de werkwijze die juist in het Privacy Convenant is afgesproken: het bevoegd gezag is de verantwoordelijke, en die beschermt de privacy van leerlingen. Dat kan alleen als het bestuur zélf volledige zeggenschap heeft en houdt over de leerlinggegevens. Daarbij wordt het door de PO-Raad en VO-raad als zeer onwenselijk ervaren dat distributeurs de uitgevers als onderaannemer (subbewerker) gingen zien: de school verliest daarmee ook controle over koppelingen en mogelijk zelfs over de didactische inhoud. De distributeur heeft – wat de raden betreft – een beperkte bemoeienis met de inhoud van het onderwijs. De werkwijze van de distributeurs sluit daar niet bij aan. De distributeurs hebben hun werkwijze aangepast, maar met de toezegging dat zij niet aansprakelijk/verantwoordelijk kunnen zijn voor de leerlinggegevens die zij – in opdracht van de scholen – doorgeven aan de uitgevers. Daarom zijn er in het Edu-K overleg op bestuurlijk niveau afspraken gemaakt tussen de verschillende leveranciers van scholen. De afspraken zijn opgenomen in het Privacy Convenant 3.0. (www.privacyconvenant.nl)

Dus: een distributeur maakt geen afspraken met een uitgever, dit doet de onderwijsinstelling zelf. Aanvullingen op de bepalingen in de privacy bijsluiten bij de verwerkersovereenkomst zijn beschikbaar.

Load More