Privacy in het onderwijs, wat mag wel en wat niet? Experts van ICTRecht geven antwoord

Privacy in het mbo, wat mag wel en wat niet?

Onderwijsinstellingen, in dit geval het mbo, lopen dagelijks tegen privacyvraagstukken aan. Van inzageverzoeken, het opsporen van vandalen op instellingen met behulp van camera’s, tot problemen in systemen door naamswijzigingen als medewerkers de naam van hun partner aannemen. In dit artikel vind je een aantal vragen en kwesties waarop juridische experts van ICTRecht* een antwoord hebben gegeven. Omdat ze mogelijk ook op jouw organisatie van toepassing zouden kunnen zijn, delen we ze op het Privacy Expertise Centrum.

Inzageverzoeken

VRAAG:

Mbo-instellingen hebben met regelmaat te maken met inzageverzoeken als: 'ik wil graag alles zien wat jullie over mij hebben' of 'verwijder al mijn gegevens aub'. De betreffende instelling wil deze verzoeken correct en binnen de wettelijke termijn afhandelen. Ze nemen daarom contact op met de verzoeker, om de identiteit te verifiëren en de scope te bepalen van het inzageverzoek. Waar zij echter tegenaan loopt, is dat de betrokkene vaak niet bereikbaar is en ook niet reageert op onze vragen. Ze kunnen op dat moment de identiteit niet altijd verifiëren (behalve in hun eigen systeem) en de scope niet bepalen. Hoe kunnen zij het beste handelen, ook met inachtneming van de wettelijke termijn van een maand?” 

ANTWOORD:  

“Het klopt dat wanneer jullie een van deze verzoeken ontvangen, jullie verplicht zijn om hier binnen één maand op te reageren. Het is echter niet verplicht om het verzoek binnen één maand te verwerken. Wel moet de persoon die het verzoek indient binnen één maand op de hoogte worden gesteld over dat het verzoek is ontvangen, en dat het verwerken van dit verzoek langer zal duren.” 

“Aangezien jullie verplicht zijn om de scope van het verzoek en de identiteit van de persoon te verifiëren, kan de termijn van één maand worden gepauzeerd wanneer het niet mogelijk is om de persoon te identificeren of de scope te bepalen. Deze tijd kan dan worden gebruikt om aanvullende gegevens op te vragen.” 

“Als oplossing adviseert ICTRecht daarom om bij elk verzoek zo snel mogelijk, maar in elk geval binnen één maand, te communiceren dat het verzoek is ontvangen. In dit bericht kunnen jullie vervolgens opnemen dat de termijn voor het verwerken van het verzoek verlengd zal worden, aangezien jullie deze tijd nodig hebben om aanvullende informatie te ontvangen om de identiteit te verifiëren en de scope van het verzoek te bepalen.” 

Vandalisme opsporen met behulp van camera’s 

VRAAG:

De afgelopen tijd heeft een onderwijsinstelling te maken met vandalisme in lokalen, veroorzaakt door studenten. Om te traceren wie verantwoordelijk zijn voor deze incidenten – die tot aanzienlijke kosten leiden – heeft deze organisatie al verschillende zaken geprobeerd, zoals het koppelen van studenten aan specifieke computers en het laten controleren van lokalen door docenten na afloop van de lessen. De instelling: “Helaas bieden deze oplossingen slechts kortdurende verbeteringen, waarna het probleem weer terugkeert. De directieleden overwegen nu om camera's op te hangen in de betreffende lokalen. We willen graag weten wat wij volgens de wet, zoals de AVG-wetgeving, mogen doen. Zijn er specifieke richtlijnen of best practices die we moeten volgen om aan de regelgeving te voldoen?” 

ANTWOORD:

“In eerste instantie is het van belang om de proportionaliteit te toetsen en te bekijken of geen minder indringend middel beschikbaar is, zoals het ophangen van nepcamera’s.”

Op basis van de AVG en geldende richtlijnen opgesteld door de Autoriteit Persoonsgegevens en de European Data Protection Board, adviseert ICTRecht om een DPIA uit te voeren. In die DPIA kan vervolgens zeer kritisch worden nagedacht over:

  • De proportionaliteit (zoals de hierboven genoemde nepcamera’s);
  • Of de camera’s continu aan moeten staan of niet;
  • Of de camera’s verborgen worden of niet;
  • Welke bewaartermijnen dienen te worden gehanteerd;
  • Hoe de beelden veilig kunnen worden opgeslagen;
  • Wanneer en met welke partijen de beelden mogen worden gedeeld;
  • De wijze waarop betrokkenen (de studenten) hun rechten uit kunnen oefenen.

Vervolgens zal ook getoetst moeten worden of er sprake is van een gerechtvaardigd belang. Ook de Autoriteit Persoonsgegevens heeft richtlijnen opgesteld, die in acht dienen te worden genomen bij het inrichten van cameratoezicht.” 

Opstellen van een quitclaim

VRAAG:

Een onderwijsinstelling is bezig met het opstellen van een quitclaim. Ze zijn daar benieuwd hoe specifiek zij moeten zijn over het doel van de quitclaim. “We vragen studenten of ze het goed vinden dat wij als onderwijsinstelling beelden van hen gebruiken voor marketingdoeleinden. Het gaat bijvoorbeeld om beelden van voorstellingen. Die worden zowel online als offline ingezet. De studenten hebben volledige vrijheid om de quitclaim wel of niet te ondertekenen. Willen ze die niet ondertekenen, dan gebruikt de marketingafdeling de beelden dus niet. De quitclaim wordt vooraf ondertekend, dus nog voordat er beelden zijn gemaakt. Waar we intern over discussiëren, is hoe specifiek we moeten zijn over de doelen van de beelden. Vaak weet de marketingafdeling nog niet wanneer ze welke beelden willen inzetten.” 

ANTWOORD:

“Het is aan te raden om de doelen uitgebreider te omschrijven dan op dit moment het geval is. Je kan dus beter specificeren. Verder is het aan te raden, maar niet verplicht, om een tweede toestemmingsmoment in te bouwen. Zoals deze passage: 

Voordat beeld- en tekstmateriaal definitief wordt gepubliceerd, krijgt ondergetekende inzage in dit materiaal en wordt nogmaals om toestemming gevraagd om het materiaal te mogen gebruiken.”

*ICTRecht is akkoord met het publiceren van hun antwoorden, dan wel adviezen.

Gegevens leerling verstrekken aan verzekeringsmaatschappij

VRAAG:

Bij een onderwijsinstelling heeft zich een situatie voorgedaan tijdens een door de instelling georganiseerde excursie, waarbij schade is ontstaan aan een hotelkamer. De hoteleigenaar stelt de onderwijsinstelling aansprakelijk. Uit intern onderzoek is gebleken dat de schade door een leerling is veroorzaakt. De onderwijsinstelling heeft, na overleg met een jurist, besloten de schade te verhalen op de verantwoordelijke leerling en diens ouders. Tot nu toe hebben de leerling en ouders niet betaald en geen gegevens aangeleverd bij de verzekeringsmaatschappij. De verzekeringsmaatschappij vraagt nu om gegevens van de leerling (NAW, geboortedatum, e-mailadres, telefoonnummer) zodat wij deze gegevens aan kunnen leveren en zij op die manier aansprakelijk worden gesteld. Mogen wij de gegevens van deze leerling aan de verzekeringsmaatschappij verstrekken?”

ANTWOORD:

Het advies van ICTRecht: het verstrekken van persoonsgegevens is een vorm van verwerken. Voor de rechtmatige verwerking van persoonsgegevens, moet een beroep kunnen worden gedaan op een van de verwerkingsgrondslagen van de AVG. In deze situatie worden de persoonsgegevens van de leerling aan de verzekeringsmaatschappij verstrekt, met als doel de leerling aansprakelijk te stellen voor de schade aan de hotelkamer. Het aansprakelijk stellen van een persoon wordt doorgaans aangemerkt als een gerechtvaardigd belang, hetgeen tevens een verwerkingsgrondslag is voor het rechtmatig verwerken van persoonsgegevens.”

Er zijn drie cumulatieve voorwaarden waaraan moet worden voldaan voordat de verwerking rechtmatig is op basis van deze verwerkingsgrondslag. 

  1. Als eerste moet het gaan om een gerechtvaardigd belang (hier is, zoals hierboven is aangegeven, aan voldaan). 
  2. Vervolgens moet de verwerking noodzakelijk zijn om dit belang te behartigen. Hierbij moet worden nagegaan of het doel van de verwerking in verhouding staat tot de inbreuk op de privacy van de betrokkene, en of het doel niet bereikt kan worden op een manier die minder ingrijpend is voor de betrokkene. 
  3. Als laatste moet een afweging zijn gemaakt tussen dit gerechtvaardigd belang en de belangen van de betrokkene. Hierbij moet rekening worden gehouden met de gevolgen van de verwerking voor de betrokkene, hoe ernstig de inbreuk op de privacy is, welke maatregelen worden genomen om ongewenste gevolgen te voorkomen of beperken en of de betrokkene de verwerking min of meer kan verwachten.

Het advies van de juridische experts van ICTRecht is om te toetsen of aan de bovengenoemde voorwaarden is voldaan. Is dit het geval, dan mogen de gegevens van de leerling aan de verzekering worden verstrekt.

Privacy in het mbo

Systeemproblemen door naamswijzigingen medewerkers

VRAAG:

Een onderwijsinstelling wil advies over de vraag in hoeverre zij collega's kunnen vragen om in roostercodes hun geboortenaam te hanteren, en dus niet de naam van hun partner. Naamswijzigingen leveren veel problemen op doordat systemen aan elkaar gekoppeld zijn en zodoende de historie verdwijnt etcetera. 

ANTWOORD:

“Het verwerken van de achternamen van medewerkers (zowel geboortenamen als partnernamen) binnen jullie interne systemen geldt als een verwerking van persoonsgegevens onder de AVG. In dit kader speelt vooral het beginsel van juistheid.” 

“Als medewerkers in het systeem worden geregistreerd met hun geboortenaam, en zij veranderen hun naam nadat zij trouwen, is hun geregistreerde naam vanaf dat moment niet meer juist of actueel. De verantwoordelijkheid om persoonsgegevens te rectificeren ligt in dat geval bij uw organisatie. Juridisch gezien kan de onderwijsinstelling medewerkers dus niet verplichten om hun geboortenamen te gebruiken als deze niet meer actueel zijn. Dit is in strijd met het beginsel van juistheid.”

“Om deze reden adviseert ICTRecht om allereerst centraal het gesprek aan te gaan met alle medewerkers om met hen het probleem te bespreken en wat de gevolgen hiervan zijn voor uw organisatie. Hierbij kan dan ook gevraagd worden of de medewerkers het goed vinden om hun geboortenaam te blijven gebruiken. Als de medewerkers hier niet mee akkoord gaan, kan de onderwijsinstelling hen hier niet toe verplichten.”

“In dit kader adviseert ICTRecht wel nog om na te gaan hoe ernstig de gevolgen daadwerkelijk zijn als de namen van de partner worden gebruikt. Als de gevolgen dusdanig ingrijpend zijn dat de systemen niet meer kunnen functioneren, zou er wellicht nog beargumenteerd kunnen worden dat het niet redelijk is voor de organisatie om de juistheid van de achternamen te garanderen. Dit is echter pas aan de orde na het gesprek met de medewerkers.” 

Gerelateerde artikelen

Praatplaat AI en Privacy

Vereenvoudig het gesprek over AI en Privacy. Download onze praatplaat en ga het gesprek aan binnen jouw instelling.

Geüpdatet op
12 april 2024

Kennisproducten

Trends privacy in onderwijs en onderzoek

De Autoriteit Persoonsgegevens (AP) heeft een gedetailleerd overzicht samengesteld van de trends en ontwikkelingen die zich op het gebied van privacy voordoen in de onderwijssector. Hieruit blijkt dat het onderwijs...

Geüpdatet op
23 februari 2024

Kennisproducten

Trends privacy in onderwijs en onderzoek

Voortdurend werken aan Integrale veiligheid

De Community Integrale Veiligheid (IV) is een samenwerkingsplatform waar veiligheidsadviseurs van hoger onderwijsinstellingen hun kennis, ervaring en expertise delen om integraal veiligheidsbeleid binnen het hoger onderwijs te ontwikkelen. Door deelname...

Geüpdatet op
06 februari 2024

Kennisproducten

Platform integrale veiligheid hoger onderwijs