Veel gestelde vragen vanuit het netwerk IBP

Als je verwerker buiten de EU (of eigenlijk de EER) is gevestigd mag je niet zomaar persoonsgegevens uitwisselen. De eerste check is of het land van vestiging op de lijst staat van landen met een passend beschermingsniveau. Dat geldt bijvoorbeeld voor Zwitserland, Canada en Israël. Voor de VS geldt daarbij de voorwaarde dat het bedrijf zich heeft aangesloten bij het EU-US Privacy Shield. In alle andere gevallen moet je voor de uitwisseling van gegevens het Europees Modelcontract (ongewijzigd) hanteren. Let erop dat je altijd ook een verwerkersovereenkomst nodig hebt. Je kunt hiervoor gebruikmaken van de Engelstalige Modelovereenkomst die hoort bij het privacyconvenant (verwijder in dat geval art. 4).

De leeftijdsgrens voor het zelfstandig kunnen beslissen over de eigen persoonsgegevens is binnen de AVG gesteld op 16 jaar. Dat kan gaan knellen in de onderwijspraktijk. Zo geldt voor leerlingen tot 18 jaar dat diens ouders verplicht zijn erop toe te zien dat hun kind is ingeschreven bij een onderwijsinstelling en regelmatig de school bezoekt. Door gegevens over aan-en afwezigheid aan de ouders ter beschikking te stellen, help je ouders bij het uitoefenen van die taak. Daarnaast blijkt ouderbetrokkenheid in het algemeen positief uit te werken op het studiesucces van onze studenten. Om deze redenen kiezen veel mbo-instellingen ervoor om af te wijken van de standaard leeftijdsgrens van 16 jaar, waar het gaat over het informeren van ouders over aan/afwezigheid en studievoortgang. Hiervoor wordt dan op basis van de bovengenoemde argumenten een gerechtvaardigd belang aangevoerd. Het is wel belangrijk om de studenten hierover te informeren in je privacyreglement en/of privacystatement. Ook is het verstandig om de Studentenraad om instemming te vragen.

Bedenk daarbij dat een gerechtvaardigd belang altijd een afweging is tussen de belangen van de onderwijsinstelling/ouders en de privacyrechten van de individuele student. Individuele bezwaren van studenten moeten serieus worden afgewogen en er moet altijd ruimte zijn om tegemoet te komen aan de bezwaren van een student. Bovendien is het geen carte-blanche om alles over de student te delen met de ouders, niet elke beoordeling hoeft aan de ouders te worden doorgegeven; je kunt ook kiezen voor 2 of 3 rapportages per jaar. Niet elk gemist lesuur hoeft meteen aan de ouders worden doorgegeven; een gesprek met de student zelf is logischer en melding aan ouders pas bij meerdere absenties op rij.

Hieronder een suggestie hoe je dit als onderwijsinstelling kunt verwoorden in je privacyreglement/statement:

Met betrekking tot de informatieverschaffing aan ouders van minderjarige studenten kiest [Onderwijsinstelling] ervoor om, in afwijking van de AVG en met instemming van de CSR, een leeftijdsgrens van 18 jaar te hanteren. Voor studenten onder de 18 jaar deelt [Onderwijsinstelling]   persoonsgegevens met betrekking tot de studievoortgang met de ouders. [Onderwijsinstelling] doet dat in de eerste plaats op grond van een gerechtvaardigd belang, te weten de ervaringen van [Onderwijsinstelling] met en de aantoonbaar gunstige effecten van ouderbetrokkenheid op het studieverloop van studenten onder de 18 jaar. De keuze van [Onderwijsinstelling] wordt in de tweede plaats ingegeven door wettelijke bepalingen die met betrekking tot minderjarige studenten een informatieplicht van [Onderwijsinstelling] jegens de ouders inhouden, waaronder de artikelen 1:247 en 1:377c lid 1 van het Burgerlijk Wetboek en art. 2 lid 1 van de Leerplichtwet 1969.

De niet-bijzondere persoonsgegevens die nodig zijn voor het geven van onderwijs zijn toegestaan. De grondslag hiervoor is het uitvoeren van de (onderwijs)overeenkomst. De voorwaarde is wel dat de gegevens echt nodig zijn voor het onderwijs- en begeleidingsproces.

Voor bijzondere persoonsgegevens ligt het iets gecompliceerder, omdat die in principe alleen verwerkt mogen worden met toestemming van de betrokkene. Dat geldt bijvoorbeeld voor beperkingen als autisme of dyslexie. Het registreren van dergelijke beperking gebeurt dus op uitdrukkelijk verzoek van de student en deze informatie mag uitsluitend worden gedeeld met docenten en begeleiders die deze informatie echt nodig hebben om hun werk naar behoren te kunnen doen (de docent Nederlands bijvoorbeeld). De overige docenten hoeven alleen de maatregelen te kennen (extra toets- en examentijd bijvoorbeeld).

De vragenlijsten van de GGD zijn een terugkerend issue. Er is inmiddels wetgeving ontwikkeld: de GGD’s kunnen zodra deze nieuwe wet in werking treedt op 1 augustus 2017 deze data opvragen bij DUO (gegevens uit BRON). Tot die invoering, zou je de volgende lijn het beste kunnen aanhouden:

Je mág de lijsten verstrekken (GGD heeft daar het recht toe), je bent daar niet toe verplicht. Maar mogelijk valt het verstrekken van lijsten aan de GGD niet onder vrijstelling van de meldingsverplichting (art. 19 lid 2 en 4 Vrijstellingsbesluit Wbp), met als gevolg dat iedere school dus zelf een formele melding moet doen bij Autoriteit Persoonsgegevens (AP) van het feit dat persoonsgegevens worden doorgegeven aan een derde (namelijk de GGD). Als meer dan alleen (!) NAW-gegevens en klas worden doorgegeven, moeten ouders toestemming geven of ten minste verzet kunnen instellen tegen de verstrekking (vooraf informeren dus).

Veel scholen geven meestal alleen klassen- en adressenlijsten door, dus zonder allerlei aanvullende medische informatie.

De onderbouwing is als volgt:

Op grond van de Wbp mag een school persoonsgegevens van de leerling verwerken indien dit noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het bestuursorgaan waaraan de gegevens worden verstrekt. Het college van burgemeester en wethouders draagt zorg voor de uitvoering van de jeugdgezondheidszorg. Ter uitvoering van die taak zorgt het college van burgemeester en wethouders in ieder geval voor (onder meer) het op systematische wijze volgen en signaleren van ontwikkelingen in de gezondheidstoestand van jeugdigen en van gezondheid bevorderende en -bedreigende factoren. (artikel 5 lid 1 en lid 2 aanhef en sub a Wet publieke gezondheid). Op basis van art. 14 van die wet draagt het college van B&W de uitvoering van deze taak op aan een gemeentelijke of regionale gezondheidsdienst.

De GGD heeft dus een wettelijk opgedragen publieke taak om “jeugdigen” (tot 19 jaar oud) op systematische wijze te volgen. Dat gebeurt door op verschillende momenten contact te hebben met het kind. Deze contactmomenten zijn vastgesteld in de Richtlijn Contactmomenten Basispakket JGZ 0-19 jaar (http://www.ncj.nl/programmalijn-kennis/landelijke-werkdocumenten/richtlijn/?item=17). Daaruit blijkt dat GGD’s over het algemeen de leeftijd of de klas/groep van de kinderen gebruiken ter bepalingen van het contactmoment. Die Richtlijn is overigens geen wet- of regelgeving, maar een beroepsrichtlijn en is dus niet bindend.

De gegevens die de GGD in de email vraagt (let op: maar alleen van jongeren tot 19 jaar), lijken noodzakelijk voor het onderzoeken van de gezondheid en de sociale en emotionele ontwikkeling en voor het opvolgen van geconstateerde problemen.

De conclusie is dus dat scholen in beginsel de gegevens mogen verstrekken aan de GGD, tenzij zou blijken dat er andere manieren zijn om deze gegevens te verkrijgen die minder inbreuk maken op de privacy van de leerling. Volgend jaar via DUO dus. Er is geen wettelijke plicht voor de school om de opgevraagde gegevens te verstrekken, behalve misschien op basis van een “algemene zorgplicht om een gezonde leeromgeving te waarborgen” (en daarvoor zou de GGD de aangewezen instantie zijn).

Dan over de melding: de meeste scholen hebben de verwerking van persoonsgegevens van leerlingen niet gemeld aan de AP, maar zij zich beroepen op de vrijstelling van de gegevensverwerking inzake ‘leerlingen, deelnemers en studenten’.

De verstrekking aan de GGD kan mogelijk worden begrepen onder de doelen genoemd in artikel 18 Vrijstellingsbesluit Wbp lid 2 onder g (de uitvoering of toepassing van een andere wet). Maar omdat er geen verplichting bestaat om gegevens te verstrekken, is de vraag of dit voldoende basis biedt, omdat er geen verplichting is gegevens te verstrekken. Dit vraagt nader onderzoek. Verstrekking aan derden (zoals de GGD) is ook op grond van lid 4 mogelijk als een beroep kan worden gedaan op artikel 8 onder e Wbp, echter op voorwaarde dat slechts een beperkte set aan gegevens wordt verstrekt “nadat het voornemen daartoe aan de betrokkene of diens wettelijke vertegenwoordiger is medegedeeld en deze gedurende en redelijke termijn in de gelegenheid is geweest het recht als bedoeld in artikel 40 of 41 van de wet uit te oefenen”. Met andere woorden: aan de betrokkenen of hun wettelijke vertegenwoordigers moet het verzetsrecht worden aangeboden, voordat gegevens van de leerlingen aan de GGD mogen worden verstrekt. Bovendien moet de verstrekking beperkt blijven tot kort samengevat NAW-gegevens. De verstrekking van de uitgebreide set van gegevens waar de GGD om vraagt, waaronder ook klas, klastoevoeging en niveau (en mogelijk ook nog andere gegevens) zal tot gevolg hebben dat de school zich niet (langer) op de vrijstelling kan beroepen en de verstrekking van persoonsgegevens aan de GGD dus moet gaan melden aan het CBP. Ik laat in het midden of het wenselijk is dat scholen, die juist vrijgesteld zijn van een meldingsverplichting (om administratieve last beperken), voor levering aan de GGD apart meldingen zouden moeten gaan doen.

En natuurlijk geldt dat de gegevens alleen door de GGD gebruikt mogen worden voor de publiekrechtelijke taak die aan hen opgedragen is.

Het gaat hier om twee mogelijke situaties: de BBL en de BOL.

BOL: De stage is een onderdeel van de opleiding. Het is voor het BPV-bedrijf noodzakelijk om toegang te krijgen tot NAW-gegevens en de studieresultaten van de student En tot enkele andere gegevens die noodzakelijk zijn voor het succesvol starten of afronden van de stage, zoals bijvoorbeeld de verklaring van de school dat de student een VOG, inentingen of bepaalde diploma’s heeft gehaald. De school mag enkel deze gegevens uitwisselen. Dit is expliciet opgenomen in de stageovereenkomst.

BBL: Hier is de student een werknemer van het stagebedrijf. De werkgever betaalt vaak en is onderdeel van de POK. Hierdoor is het voor de werkgever van belang om informatie te krijgen over en omgekeerd:
– studieresultaten op school
– aan- en afwezigheidsregistratie op school
– studievoortgang

In dit geval is de grondslag dus de uitvoering van de OOK/POK waarin bovenstaande expliciet is opgenomen.

Argumenten hiervoor zijn dat het zo handig is, dat de directeur van de school het goed vindt, dat andere scholen het ook doen….. Maar is dit wel zo’n goed idee?

Leerplichtambtenaren hebben wel een wettelijk recht op informatie. Daarbij gaat het vooral om verzuim. Belangrijk uitgangspunt bij het delen van informatie is of de wet iets regelt (ja, de Leerplichtwet), en dataminimalisatie. Een leerplichtambtenaar heeft alleen recht op die informatie die hij/zij strikt noodzakelijk nodig heeft voor de uitoefening van zijn werk. Het geven van een account (toegang tot de gehele administratie) komt daar niet meer overeen. Een leerplichtambtenaar hoeft niet te zien dat een voorbeeldige leerling één uur mist…  Het is nog altijd de school die bepaalt welke leerlingen met de leerplichtambtenaar besproken moeten worden.

Wat misschien wel mogelijk is, is dat er een speciaal account is voor een leerplichtambtenaar. Intergrip kent wel zo’n rol voor een verzuimambtenaar. Dan is het misschien wel goed te controleren.

Meer informatie over de informatie die een leerplichtambtenaar mag opvragen, is hier te vinden.

Een leerplichtambtenaar/RMC-ambtenaar mag geen andere persoonsgegevens worden verwerkt dan:

1. naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens van de leerplichtige;
2. een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
3. nationaliteit en geboorteplaats;
4. gegevens als bedoeld onder a, van de ouders, voogden of verzorgers van de leerplichtige;
5. gegevens met betrekking tot de inschrijving of afschrijving van de leerplichtige;
6. gegevens ten aanzien van het schoolverloop, het schoolverzuim en van het beroep op een vrijstelling van de leerplicht;
7. andere dan de onder a tot en met f bedoelde gegevens waarvan de verwerking is vereist ingevolge of noodzakelijk is met het oog op de toepassing van de Leerplichtwet 1969 of een andere wet.

Dat mag niet zomaar, tegelijkertijd heeft de AP hierover bij monde van voorzitter Aleid Wolfsen meer dan eens betoogd om niet te krampachtig te reageren bij dergelijke onschuldige toepassingen. Natuurlijk moet je studenten informeren dat je foto’s op deze manier gaat gebruiken en wellicht moet je ook de mogelijkheid bieden om de foto’s die je gaat vertonen te laten bekijken en eventueel te overleggen over een alternatief. Vermoedelijk maakt geen enkele student bezwaar, maar door op deze manier te informeren heb je het respectvol geregeld.

In principe stellen we ons op het standpunt dat de Inspectie deze dossiers inhoudelijk niet mogen inzien als deze in vertrouwen zijn gegeven.

Maar daarover is nog best veel te doen. De Inspectie heeft een brief verzonden naar instellingen waarin ze op dit punt in gaan. Die brief is hieronder weergegeven. Echter ook daarin wordt het antwoord op de vraag ook niet klip en klaar helder. Een nadere mailwisseling met de Inspectie levert wel een meer specifieke invulling van het vraagstuk op. Daarin zegt de Inspectie:

“Ondanks dat het niet vaak zal voorkomen dat we deze gevoelige persoonsgegevens willen en mogen inzien, kunnen we dat van tevoren niet helemáál uitsluiten. Immers, het kan bijv. nodig zijn bij een (specifiek) onderzoek naar de sociale veiligheid en het kan bovendien relevant zijn voor een onderzoek naar de naleving van de meldcode huiselijk geweld en kindermishandeling en de overleg- en aangifteplicht bij zedenmisdrijven. En er is een duidelijk onderscheid tussen inzien en dossiers meenemen, het laatste zullen we alleen doen als dat niet anders kan.

Hieronder de brief van de Inspectie aangaande de AVG:

Algemene Verordening Gegevensbescherming: wat betekent het voor u?

De Inspectie van het Onderwijs wil zorgvuldig omgaan met (bijzondere) persoonsgegevens.

Dit is ook een vereiste van de Wet Bescherming Persoonsgegevens (de WBP) en de Algemene Verordening Gegevensbescherming (de AVG) die in mei 2018 van kracht wordt.

In dit bericht informeren wij u over wat dat voor u en voor ons betekent.

De inspectie mag alleen persoonsgegevens verwerken als dat voor haar wettelijke taken noodzakelijk is. Dit wordt ook wel doelbinding genoemd. Bij de uitvoering van vrijwel al onze taken kunnen wij volstaan met anonieme gegevens van leerlingen of docenten. Persoonsgegevens zijn alleen in uitzonderlijke gevallen noodzakelijk.

Anonieme gegevens aanleveren
In de voorbereiding van een schoolbezoek of bij het uitvoeren van onze toezichtstaken vragen wij u om documenten aan te leveren. Het komt ook voor dat u deze op eigen initiatief bij ons aanlevert. Wilt u bij het aanleveren van deze documenten zoveel mogelijk rekening houden met de privacy van uw leerlingen en/of docenten en andere medewerkers?

Wij verzoeken u om gegevens zoveel mogelijk geanonimiseerd aan te leveren. Verwijder namen of andere persoonsgegevens waaruit wij kunnen afleiden om wie het gaat of maak deze gegevens onzichtbaar.

Uitzonderlijke gevallen: documenten mét persoonsgegevens
In uitzonderlijke gevallen hebben we voor het uitvoeren van onze toezicht- en handhavingsstaken wel persoonsgegevens nodig. Bijvoorbeeld in het geval van een onderzoek naar verzuim of naar de financiële rechtmatigheid (zijn onderwijsmiddelen wel volgens wet- en regelgeving verkregen of besteed?). Bij deze twee voorbeelden is er sprake van een wettelijke grondslag en dan is het voor onze wettelijke taken noodzakelijk om persoonsgegevens te verwerken. Wanneer dit het geval is, dan berichten wij u hierover en vragen wij u de gegevens bij ons aan te leveren of voor ons klaar te leggen op de dag van het inspectiebezoek.

Aanleveren via Kwalidata
Documenten die persoonsgegevens bevatten, dient u bij voorkeur bij ons aan te leveren via Kwalidata. Tevens verzoeken wij u nadrukkelijk deze niet via een zip-bestand aan te leveren, aangezien per document aangegeven moet worden of ze persoonsgegevens bevatten en dat kan niet in een zip-bestand.

Heeft u vragen?
Heeft u vragen over het geanonimiseerd aanleveren van gegevens of andere vragen over zorgvuldige gegevensverwerking? Maak dan gebruik van het contactformulier of neem contact op met ons Loket via telefoon 088-669 60 60.

De VO-instellingen zijn verplicht hierover te rapporteren, bijvoorbeeld aan de onderwijsinspectie. Er is op dit moment geen koppeling (via DUO bijvoorbeeld) om deze informatie geautomatiseerd te kunnen opvragen. De VO-instelling zou deze informatie rechtstreeks bij de betreffende studenten/ouders kunnen opvragen, maar dat is geen aantrekkelijk scenario.

Als mbo-instelling kun je gehoor geven aan een dergelijk verzoek op grond van een gerechtvaardigd belang. De afweging is dan het voorkomen van vsv en de zorgplicht die scholen op dat gebied hebben tegenover het privacy belang van de individuele student. Wat in de achtergrond nog speelt is de komst van de voorziening voor centraal aanmelden, waarbij dit aspect in het functioneel ontwerp en in de wet (artikel 8.0.3, lid 2 WEB) is meegenomen. Omdat dit probleem dus van tijdelijke aard is maken veel mbo-instellingen de afweging om gehoor te geven aan dergelijke informatieverzoeken, vanuit een gemeenschappelijk gerechtvaardigd belang om vsv te voorkomen.

Nee, als het gaat om financiële zaken gerelateerd aan de inschrijving is een bewindvoerder per definitie aangewezen op DUO. Duo beheert alle inschrijvingsinformatie, DUO heeft inzicht in studiefinanciering en bijbehorende schulden, DUO heeft inzicht in betaling van lesgeld en DUO heeft een volledig beeld van schoolwisselingen en verzuimgegevens. DUO heeft voor dat doel een loket ingericht t.b.v. bewindvoerders (bewindvoering@duo.nl). Voor overige informatievragen zal per individuele situatie een beoordeling moeten plaatsvinden. De bewindvoerder mag, namens betrokkene, een inzageverzoek doen bij de school, maar alleen voor die informatie waarvoor de betrokkene onbekwaam dan wel onbevoegd is. Dat is dus maatwerk waarbij je een zorgvuldige afweging moet maken.

Als je verwerker buiten de EU (of eigenlijk de EER) is gevestigd mag je niet zomaar persoonsgegevens uitwisselen. De eerste check is of het land van vestiging op de lijst staat van landen met een passend beschermingsniveau. Dat geldt bijvoorbeeld voor Zwitserland, Canada en Israël. Voor de VS geldt daarbij de voorwaarde dat het bedrijf zich heeft aangesloten bij het EU-US Privacy Shield. In alle andere gevallen moet je voor de uitwisseling van gegevens het Europees Modelcontract (ongewijzigd) hanteren. Let erop dat je altijd ook een verwerkersovereenkomst nodig hebt. Je kunt hiervoor gebruikmaken van de Engelstalige Modelovereenkomst die hoort bij het privacyconvenant (verwijder in dat geval art. 4).