AVG in het onderwijs

Instellingen moeten bij het gebruik van persoonsgegevens voldoen aan de Europese privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG), om zo de privacy van studenten en hun data te waarborgen. Dit heeft wel consequenties voor onderwijsinnovatie met ict, bijvoorbeeld online onderwijs en benutten van studiedata.

Student - fotograaf Kees Rutten

Online onderwijs

Om online onderwijs te geven zijn digitale tools nodig. Bij het verzamelen en analyseren van gegevens worden vaak persoonsgegevens verwerkt: gegevens die direct of indirect iets zeggen over individuen, bijvoorbeeld studenten en docenten. SURF biedt een stappenplan om instellingen op weg te helpen om zich te houden aan de AVG.

Stappenplan Aan de slag met AVG

Met het stappenplan Aan de slag met AVG wil SURF onderwijsinstellingen op weg helpen om zich te houden aan de AVG. Dit stappenplan is richtinggevend, waarbij iedere onderwijsinstelling zijn eigen privacyoverwegingen zal moeten maken. Het maakt bewust van de momenten waarop de privacy van studenten mogelijk in het geding is en geeft een handreiking voor oplossingen.

In 5 stappen naar privacy-proof onderwijs

  1. Voorbereiding: met welk doel ga je persoonsgegevens verwerken?
  2. Ontwerp: Welke middelen ga je gebruiken?
  3. Beoordeling: Ga na of je de gegevens mag verwerken volgens de grondslagen
  4. Realisatie: Wees grondig en transparant.
  5. Evaluatie: Beoordeel en pas zo nodig aan.
Disclaimer

Dit stappenplan biedt een kader om goed om te gaan met privacy in het onderwijs. Iedere situatie is anders en de privacy (en beveiliging) zul je daarom per situatie moeten bekijken. Neem altijd contact om met de privacy officer of functionaris gegevensbescherming van je instelling, die je hiermee kan helpen.

Stap 1: Voorbereiding



Formuleer het doel en omschrijf de verwerking

Je mag persoonsgegevens alleen gebruiken voor specifieke, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Zet daarom op papier waarom jij persoonsgegevens gaat verwerken.

Een goede, volledige omschrijving heeft de volgende structuur: ‘wie’ wil ‘wat’ doen aan de hand van ‘welke’ persoonsgegevens en ‘wanneer’ om ‘resultaat’ te bereiken. Denk daarbij aan het SMART-principe: Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdsgebonden. Goed omschreven doeleinden maken het doorlopen van het stappenplan een stuk makkelijker.

Voorbeelden van verwerkingen zijn:

  1. Bijhouden cijfers tijdens de collegeperiode
  2. Aanleveren cijferlijsten aan onderwijsadministratie
  3. Presentielijsten bijhouden
  4. E-mailverkeer met studenten
  5. Informatie doorgeven aan studenten over studiegerelateerde activiteiten
  6. Lijst studenten met een functiebeperking beheren
  7. Tentamens nakijken en archiveren
  8. Afnemen digitale (formatieve) toetsen

Stap 2: Ontwerp

Het concept privacy by design houdt in dat je al in de ontwerpfase van een product of dienst rekening houdt met privacygevoelige elementen en dat er voldoende privacy waarborgen worden ingebouwd om persoonsgegevens goed te beschermen en te beveiligen.

Hoe minder gegevens je verzamelt van individuen, hoe makkelijker het is om de gegevens te beschermen en hoe minder kans er is op een datalek. Daarnaast kun je gegevens beschermen door ze te splitsen met als doel gegevens uit elkaar te halen en los van elkaar te verwerken, zodat gegevens alleen met een duidelijk doel gecombineerd worden. Ook kun je soms persoonsgegevens beschermen door ze te gebruiken in een abstractere vorm: geaggregeerd in plaats van gedetailleerd. Statistiek is de bekendste vorm van het weergeven van onderzoeksgegevens zonder het openbaar maken van de persoonsgegevens zelf.



Lees meer over privacy bij design op Privacy Designer.

Bepaal de scope

Het is van belang om vooraf vast te stellen:

  1. Wat voor persoonsgegevens je gebruikt
  2. De gevoeligheid van de persoonsgegevens
  3. De hoeveelheid gegevens die je verwerkt
  4. Of er eventueel overige relevante elementen zijn die iets zeggen over de omvang van je verwerkingen, zoals het geografisch gebied.
  1. Bepaal welk deel van je dataset uit persoonsgegevens bestaat

    De AVG geeft aan dat een persoonsgegeven alle informatie is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Persoonsgegevens zijn dus bijvoorbeeld een naam en adres, maar ook gekoppelde tentamencijfers of gegevens over gedrag. Door deze gegevens verder te combineren (eventueel met andere gegevens) is het namelijk mogelijk om deze gegevens naar personen te herleiden. Het gaat dan om indirect identificeerbare gegevens.
  2. Bepaal of je bijzondere persoonsgegevens verwerkt

    Bijzondere persoonsgegevens zijn gegevens over zaken als iemands gezondheid, etnische afkomst, seksuele voorkeur, politieke voorkeur of godsdienst. Hiervoor geldt een verwerkingsverbod, tenzij de instelling toestemming heeft van het individu of als het gebruik in een wet is geregeld. Toestemming houdt in dat je apart vraagt naar het relevante gegeven en uitlegt waarom dat is, waarbij het optioneel is om die toestemming te verstrekken.
  3. Bepaal de hoeveelheid gegevens die je verwerkt

    Nadat je hebt vastgesteld wat voor (gevoelige) persoonsgegevens je minimaal nodig hebt voor het bereiken van je doel, is het ook van belang om te bepalen hoeveel soorten gegevens je gaat verwerken. Zijn dat persoonsgegevens, anonieme gegevens of bijzondere persoonsgegevens?
  4. Bepaal of overige elementen relevant zijn voor de reikwijdte van het traject

    In sommige gevallen zijn er nog andere factoren die relevant zijn voor het bepalen van de reikwijdte van de verwerking. Een voorbeeld hiervan is het geografische gebied waarbinnen gegevens verwerkt worden

Persoonsgegevens

Persoonsgegevens zijn alle gegevens die direct of indirect herleidbaar zijn tot een persoon. Een naam of adres is een persoonsgegeven, maar ook gedragsgegevens en IP-adressen vallen hieronder. Andere voorbeelden van persoonsgegevens zijn postcode, woonplaats, camerabeelden, stemopnames, burgerservicenummer, geboortedatum, locatie en kenteken.



Anonieme gegevens

Als er geen directe of indirecte koppeling tussen een gegeven en een persoon mogelijk is, wordt vaak gesproken over anonieme gegevens. Let op: veel gegevens zijn indirect toch te herleiden zijn tot personen, bijvoorbeeld door de gegevens te koppelen met een andere bron. Dan is er dus toch sprake van een persoonsgegeven.

Bijzondere persoonsgegevens

Bijzondere persoonsgegevens zijn gegevens over zaken zoals iemands gezondheid, etnische afkomst, seksuele voorkeur, politieke voorkeur of godsdienst. Deze mogen niet worden verzameld of gebruikt, tenzij de wet dat in specifieke gevallen toestaat.

Bepaal de organisatorische wistermijnen van de datasets

Persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk voor het doel van de verwerking. Wanneer de gegevens niet langer noodzakelijk zijn, dan moeten zij worden vernietigd of gewist. Je moet dus van tevoren een wistermijn bepalen voor de verschillende datasets.

Dat hangt geheel af de doelen waarvoor je de verschillende datasets bewaart en hoe het systeem de datasets verwerkt.

  • Maak een inschatting van hoe lang je datasets nodig hebt om de doelen te bereiken.
  • Houd zoveel mogelijk rekening met verdere verwerkingsdoelen, zoals onderbouwing van onderzoeken in rapportages, archiveringsdoelen, academische verantwoording en de richtlijnen van de Autoriteit Persoonsgegevens.

Stap 3: Beoordeling persoonsgegevens

Om gegevens te kunnen verwerken, moet er via een grondslag (wettig geldige regel) aangegeven worden wat de reden is. De AVG kent 6 grondslagen voor het verwerken van persoonsgegevens.

  • toestemming
  • uitvoering overeenkomst
  • wettelijke verplichting
  • bescherming vitale belangen
  • uitvoering publieke taak
  • gerechtvaardigd belang

Verwerkingen binnen het onderwijs vinden doorgaans plaats op basis van een wettelijke verplichting, overeenkomst of gerechtvaardigd belang. Zo niet, dan kunnen de persoonsgegevens alleen verwerkt worden indien de student hiervoor aantoonbaar toestemming heeft gegeven.

Grondslag: Wettelijke verplichting

Het verwerken van de gegevens is noodzakelijk omdat de wet dit verplicht. Dit is bijvoorbeeld het geval bij de gegevens voor het Nederlandse Diplomaregister (DUO). In de Wet op het onderwijstoezicht is geregeld dat bepaalde gegevens hiervoor ter beschikking worden gesteld.

Grondslag: Uitvoering overeenkomst

Het verwerken van de gegevens is noodzakelijk om een overeenkomst uit te voeren. Een onderdeel van de overeenkomst tussen onderwijsinstelling en student is bijvoorbeeld de registratie van de student bij de centrale studentenadministratie bij contractonderwijs.

Grondslag: Gerechtvaardigd belang

In sommige gevallen kun je als onderwijsinstelling persoonsgegevens verwerken met gerechtvaardigd belang als grondslag. De verwerking moet hiervoor noodzakelijk, proportioneel en subsidiair zijn. Per verwerking zal deze belangenafweging gemaakt moeten worden.

Grondslag: Toestemming

De student geeft toestemming om gegevens te verwerken. Deze toestemming moet de student ‘in vrijheid’ geven, wat inhoudt dat hij toestemming zonder consequenties moet kunnen weigeren. Daarnaast moet de toestemming ondubbelzinnig zijn en moet de student goed geïnformeerd worden over de verwerkingen in kwestie.

In de praktijk

Ook als het verwerken van persoonsgegevens niet direct noodzake­lijk is voor het onderwijs, maar gerelateerd is aan de opleiding, is er zeer waarschijnlijk een grondslag. Denk bijvoorbeeld aan informatie delen over activiteiten die de ‘community building’ bevorderen of de kansen op de arbeidsmarkt verhogen, inhoudelijk binnen het domein van de opleiding vallen, of waarover de student het niet vreemd vindt informatie te ontvangen.

Wanneer de verwerking van persoonsgegevens echt niet noodzakelijk voor het onderwijsproces is of niet gerelateerd aan de opleiding , dan moet je als docent expliciet toestemming vragen aan de studenten.



De instelling moet zelf beoordelen of de verwerking van persoonsgegevens te rechtvaardigen is op basis van één of meer van de grondslagen.

Leg de antwoorden voor de zekerheid op stappen 1 t/m 3 voor aan de privacy-officer van je instelling. Bepaal samen met de privacy-officer of een data protection impact assessment (DPIA) noodzakelijk is uit. Elke instelling hanteert hiervoor zijn eigen proces. Bespreek hierna samen stap 4 en 5.

Stap 4: Realisatie

Nu is het tijd om de nodige juridische, technische en organisatorische maatregelen te treffen. Aan de hand van je ontwerp in stap 2 moet je als instelling en/of docent regelingen treffen op het gebied van bescherming en het sluiten van overeenkomsten wanneer je een partij inschakelt die persoonsgegevens gaat verwerken.

Verwerkersovereenkomst opstellen

Een verwerkersovereenkomst beschrijft de relatie tussen een ingeschakelde partij (de verwerker) die in opdracht van een instelling (de verwerkingsverantwoordelijke) persoonsgegevens verwerkt. Deze overeenkomst is verplicht. Grote leveranciers hebben vaak een eigen model. Een verwerker mag alleen persoonsgegevens verwerken waartoe hij opdracht heeft van de verwerkingsverantwoordelijke op basis van de verwerkersovereenkomst.

Hiervoor kun je de modelovereenkomst van SURF gebruiken. Deze hebben we samen met de instellingen opgesteld als onderdeel van het SURF Juridisch Normenkader (Cloud)services. Dit document stelt normen op het gebied van vertrouwelijkheid, privacy, eigendom en beschikbaarheid.

Buitenland

De AVG garandeert in ieder land in de Europese Unie dezelfde gegevensbescherming voor individuen. Maar voor de doorgifte van persoonsgegevens naar partijen buiten Europese Unie - naar entiteiten in zogeheten derde landen - gelden aparte regels. Derde landen zijn alle landen buiten de EU plus Noorwegen, Liechtenstein, Engeland en IJsland (de Europese Economische Ruimte).

Controleer daarom welke oplossing partijen in derde landen hanteren om de doorgifte van persoonsgegevens mogelijk te maken. Zie meer informatie van de Autoriteit Persoonsgegevens over internationaal verkeer.

Bescherming gegevens

SURF helpt instellingen in het hoger onderwijs bij de beveiliging van informatie. We ontwikkelen gemeenschappelijk beleid en tools. Voor meer informatie over informatiebeveiliging.

Meer over (digitale) informatiebeveiliging en privacy vind je ook op Cybersave Yourself.

Stap 5: Evaluatie

De organisatie en de buitenwereld veranderen. Daarom is het van belang periodiek te evalueren of het systeem nog steeds verantwoord is. Hierdoor ontdek je nieuwe risico’s op tijd en creëer je een feedbackloop.

Meer lezen? Check de SURF Wiki met uitleg over de AVG en de interpretatie ervan.