Meer aandacht voor privacy in onderwijsveld met Convenant Digitale Onderwijsmiddelen en Privacy

Scholen maken steeds meer gebruik van digitale leermiddelen en ondersteunende digitale systemen. In de praktijk kreeg de privacy van de gebruiker (leerling) daarbij niet altijd de juiste aandacht, zowel niet van de school als van de uitgever. Partijen hebben elkaar getroffen en het "Convenant Digitale Onderwijsmiddelen en Privacy" gesloten.

Partijen bij het convenant

Het convenant is een samenwerking tussen enerzijds de onderwijsverleners (de Vereniging PO-Raad en de Vereniging VO-raad) en anderzijds de aanbieders van dergelijke digitale systemen (de vereniging Groep Educatieve Uitgeverijen, de Vereniging Digitale Onderwijs Dienstverleners en vereniging Koninklijke Boekverkopersbond). Daarmee zijn (nagenoeg) alle relevante partijen bij het convenant aangesloten.

Aanbieder systeem is slechts bewerker

Het convenant legt de rollen en verantwoordelijkheden van de partijen duidelijk vast. Voorheen was nog wel eens wat onduidelijk welke rol een aanbieder van een digitaal leersysteem in nam (verantwoordelijke of bewerker). Daarmee was ook onduidelijk wat de aanbieder nu wel of niet met de gegevens van de leerlingen kon en mocht (en wilde) doen. Deze onduidelijkheid wordt door het convenant weggenomen: de aanbieder is (slechts) bewerker, de school is verantwoordelijke. Dat wil, kort gezegd, zeggen dat louter de school bepaalt wat er met de persoonsgegevens van leerlingen mag gebeuren. De aanbieder van het leersysteem mag de gegevens slechts gebruiken om de dienst draaiende te kunnen houden.

School is (en was altijd al) verantwoordelijke

Het convenant maakt ook duidelijk dat op de school, in de rol van verantwoordelijke, ook een duidelijke verantwoordelijkheid rust. De school moet onder meer de leerlingen/ouders informeren over het gebruik van de digitale systemen, de privacymaatregelen die zijn getroffen en de rechten die de ouders/leerlingen hebben. Deze rol rust hoe dan ook al op de scholen (ook ten aanzien van andere gegevens die ze van de leerling hebben); de vraag is wel of alle scholen zich hier al van bewust waren. De scholen worden dankzij het convenant wel een handje geholpen, doordat er een voorlichtingsverplichting bij de aanbieders van de systemen wordt gelegd (zorgplicht).

Pseudonimisering

In het convenant is ook een opvallende passage opgenomen over pseudonimisering. Bepaald is namelijk dat er naar wordt gestreefd gegevens zoveel mogelijk gepseudonimiseerd uit te wisselen. Onduidelijk is wat de gedachte hierachter is. Voor veel, zo niet alle, gerechtvaardigde gegevensverwerkingen zal immers juist een vereiste zijn dat de gegevens ofwel volledig, ofwel geanonimiseerd worden uitgewisseld. Bovendien roept het de vraag op hoe goed te pseudonimiseren. Gelet op de toelichting bij het convenant bestond bij partijen zelf ook geen duidelijkheid over dat laatste.