Het verbaast mij telkens weer hoe onbekend vele verantwoordelijken (bestuurders van bijvoorbeeld scholen) zijn met de bescherming van persoonsgegevens. Die onbekendheid heeft niets te maken met kwaadwillendheid of iets van die strekking. Het lijkt alsof dit onderwerp gewoon niet spannend genoeg is. Schoolbestuurders zijn druk met de vele verantwoordelijkheden en taken die op hen afkomen, bijvoorbeeld op het gebied van pesten of moeilijk lerende kinderen. Dat terwijl het lekken van gevoelige persoonsgegevens van kinderen letterlijk een levenslange impact kan hebben.
Impasse
Mijn collega Tessa Morssinkhof heeft zich recentelijk verdiept in dit onderwerp en gedurende haar onderzoek kwam zij, mede n.a.v. een onderzoek van PwC, tot de conclusie dat scholen vanuit het oogpunt van het welzijn van het kind (te) veel gevoelige gegevens vastleggen. Het gaat dan bijvoorbeeld om foto’s op de website van de school waarop kinderen zijn afgebeeld (al dan niet met nadere toelichting bij de betreffende foto).
Wet bescherming persoonsgegevens
De Wet bescherming persoonsgegevens (hierna: Wbp) biedt een kader waarbinnen het plaatsten van foto’s op een website tot de mogelijkheden behoort (met ondubbelzinnige toestemming van de ouders/wettelijke vertegenwoordigers van het kind). Het blijkt, mede bij de presentatie van dit onderzoek, dat de wettelijke kaders van de Wbp onvoldoende bekend zijn bij de eerder genoemde verantwoordelijken. Zo werd er bij deze presentatie gevraagd naar de reikwijdte van de begrippen ‘persoonsgegeven’ en ‘verwerken’.
Privacy van mijn kind
Ook als jonge ouder word ik geconfronteerd met de praktijk zoals deze wordt gehanteerd bij basisscholen in mijn woonplaats. Ook als ouder ben ik verantwoordelijk voor de bescherming van de privacy van mijn kind zolang zij dat zelf nog niet kan. Wanneer ik hierover vragen stel aan de school wordt er verwezen naar de schoolgids waarin in paragraaf over privacy is opgenomen. Dit betreft een algemene paragraaf zonder specifieke informatie rondom privacy en de bescherming daarvan bij deze basisschool (waar ligt de doelstelling van de verwerking dan vast?).
Verantwoordelijkheid
Op basis van het onderzoek lijken zij zich onvoldoende bewust van deze verantwoordelijkheid. Deze schoolbesturen betreffen in zin van de Wbp de letterlijke verantwoordelijken voor de bescherming van deze persoonsgegevens die zij onder zich hebben. Zij kunnen zich niet verschuilen achter leveranciers van bijvoorbeeld digitale leermiddelen. Dat blijkt onder meer uit art. 1 sub d jo. art. 13 Wbp.
Ingewikkeld rechtsgebied
Als jurist zeg ik dan: ‘een burger behoort de wet te kennen’ en vanuit dat oogpunt zal ook een rechter gaan oordelen mocht er een geschil op dit gebied aan de rechter worden voorgelegd. Nu moet gezegd worden dat de bescherming van persoonsgegevens naar mijn mening een zeer ingewikkeld rechtsgebied betreft. Zeker in relatie tot ICT en de snelle ontwikkelingen die zich daarin voordoen.
Bewustwording
Ik kan me goed voorstellen dat verantwoordelijken onvoldoende geïnformeerd zijn om de verantwoordelijkheid ook als zodanig handen en voeten te kunnen geven. Met het onderzoek van Tessa in de hand hoop ik deze schoolbesturen te ondersteunen en bewustwording te vergroten. Daarmee worden niet alleen risico’s voor de scholen maar ook risico’s voor kinderen verkleind.
