Bescherming persoonsgegevens in het basisonderwijs

Persoonsgegevens basisonderwijs | EmtioHet verbaast mij telkens weer hoe onbekend vele verantwoordelijken (bestuurders van bijvoorbeeld scholen) zijn met de bescherming van persoonsgegevens. Die onbekendheid heeft niets te maken met kwaadwillendheid of iets van die strekking. Het lijkt alsof dit onderwerp gewoon niet spannend genoeg is. Schoolbestuurders zijn druk met de vele verantwoordelijkheden en taken die op hen afkomen, bijvoorbeeld op het gebied van pesten of moeilijk lerende kinderen. Dat terwijl het lekken van gevoelige persoonsgegevens van kinderen letterlijk een levenslange impact kan hebben.

Impasse

Mijn collega Tessa Morssinkhof heeft zich recentelijk verdiept in dit onderwerp en gedurende haar onderzoek kwam zij, mede n.a.v. een onderzoek van PwC, tot de conclusie dat scholen vanuit het oogpunt van het welzijn van het kind (te) veel gevoelige gegevens vastleggen. Het gaat dan bijvoorbeeld om foto’s op de website van de school waarop kinderen zijn afgebeeld (al dan niet met nadere toelichting bij de betreffende foto).

Wet bescherming persoonsgegevens

De Wet bescherming persoonsgegevens (hierna: Wbp) biedt een kader waarbinnen het plaatsten van foto’s op een website tot de mogelijkheden behoort (met ondubbelzinnige toestemming van de ouders/wettelijke vertegenwoordigers van het kind). Het blijkt, mede bij de presentatie van dit onderzoek, dat de wettelijke kaders van de Wbp onvoldoende bekend zijn bij de eerder genoemde verantwoordelijken. Zo werd er bij deze presentatie gevraagd naar de reikwijdte van de begrippen ‘persoonsgegeven’ en ‘verwerken’.

Privacy van mijn kind

Ook als jonge ouder word ik geconfronteerd met de praktijk zoals deze wordt gehanteerd bij basisscholen in mijn woonplaats. Ook als ouder ben ik verantwoordelijk voor de bescherming van de privacy van mijn kind zolang zij dat zelf nog niet kan. Wanneer ik hierover vragen stel aan de school wordt er verwezen naar de schoolgids waarin in paragraaf over privacy is opgenomen. Dit betreft een algemene paragraaf zonder specifieke informatie rondom privacy en de bescherming daarvan bij deze basisschool (waar ligt de doelstelling van de verwerking dan vast?).

Verantwoordelijkheid

Op basis van het onderzoek lijken zij zich onvoldoende bewust van deze verantwoordelijkheid. Deze schoolbesturen betreffen in zin van de Wbp de letterlijke verantwoordelijken voor de bescherming van deze persoonsgegevens die zij onder zich hebben. Zij kunnen zich niet verschuilen achter leveranciers van bijvoorbeeld digitale leermiddelen. Dat blijkt onder meer uit art. 1 sub d jo. art. 13 Wbp.

Ingewikkeld rechtsgebied

Als jurist zeg ik dan: ‘een burger behoort de wet te kennen’ en vanuit dat oogpunt zal ook een rechter gaan oordelen mocht er een geschil op dit gebied aan de rechter worden voorgelegd. Nu moet gezegd worden dat de bescherming van persoonsgegevens naar mijn mening een zeer ingewikkeld rechtsgebied betreft. Zeker in relatie tot ICT en de snelle ontwikkelingen die zich daarin voordoen.

Bewustwording

Ik kan me goed voorstellen dat verantwoordelijken onvoldoende geïnformeerd zijn om de verantwoordelijkheid ook als zodanig handen en voeten te kunnen geven. Met het onderzoek van Tessa in de hand hoop ik deze schoolbesturen te ondersteunen en bewustwording te vergroten. Daarmee worden niet alleen risico’s voor de scholen maar ook risico’s voor kinderen verkleind.

Exit-regelingen ook bij bedrijfsvoeringsapplicaties opnemen

Bij outsourcingscontracten is het inmiddels zeer gebruikelijk om een voorziening te treffen waarmee de leverancier actief wor

Meer lezen

COVID-19 reden voor overmacht in IT-contracten?

Dat COVID-19 een dominante invloed heeft op IT-projecten hoeven wij u niet uit te leggen. Wel bereikt ons steeds vaker de vra

Meer lezen
belastingapplicaties-waarderingsapplicaties-aanbesteden

Bedrijfsinformatiesystemen: kiest u enkel het systeem of een complete oplossing?

Bedrijfsinformatiesystemen is een bekende verzamelnaam voor een veelheid aan applicatieoplossingen, die als pakketoplossing o

Meer lezen

Flitsaanbestedingen: veel contact en toch contactloos, snel en efficiënt

Op afstand werken krijgt in deze moeilijke tijden door het coronavirus noodzakelijkerwijs een grote impuls. Tegelijkertijd d

Meer lezen
Inbesteden Centrale Overheid | Emtio

Hoe stelt de Autoriteit Persoonsgegevens boetes vast?

Afgelopen juli werd bekend dat de Autoriteit Persoonsgegevens een boete had opgelegd aan het Haga ziekenhuis voor het niet op

Meer lezen
AVG

Heeft het zin om contractueel te claimen dat gegevens alleen in Nederland of de EER mogen worden verwerkt?

Heeft het zin om contractueel te claimen dat gegevens alleen in Nederland of binnen de Europese Economische Ruimte mogen word

Meer lezen
kantoor

Meerdere contactmomenten met potentiële leveranciers tijdens een ICT aanbesteding? Natuurlijk kan dat (en rechtmatig)!

Aanbestedende diensten hebben wegens het gelijkheidsbeginsel slechts nauwe onderhandelingsruimte met inschrijvers bij een aan

Meer lezen
Softwarematige partinionering

Oracle licenties: is softwarematige partitionering op basis van VMware wel of niet toegestaan?

Vanaf 2002 verspreidt Oracle een document met de benaming ‘Oracle Partitioning Policy’. Het document is de afgelopen jare

Meer lezen
Kostenbeheersing van maatwerk | Emtio

Kostenbeheersing maatwerksoftware: welke maatregelen zijn mogelijk?

Vandaag de dag is de meeste software zogenaamde standaardsoftware. Omdat geen enkele organisatie ook echt ‘standaard’ is,

Meer lezen
Aanbesteding collusie | Emtio

Inschrijvingen op aanbestedingen door verbonden ondernemingen

Als gevolg van overnames en fusies en dergelijke kunnen verhoudingen binnen een markt op elk moment veranderen. Voor aanbeste

Meer lezen