Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 3 december 2014

Het gebruik van ICT in het onderwijs biedt kansen voor de kwaliteit van onderwijs, maar brengt ook nieuwe risico's met zich mee.1 De privacy van leerlingen mag niet in het geding komen. De omgang met persoonsgegevens moet daarom zorgvuldig gebeuren. Daarvoor is terecht de afgelopen tijd veel aandacht, in de praktijk, bij schoolbesturen en de sectorraden, bij het College Bescherming Persoonsgegevens (CBP), in de media en in het Doorbraakproject Onderwijs en ICT, dat naar aanleiding van het regeerakkoord in 2013 is gestart.

U stelde mij vragen naar aanleiding van de uitzendingen en nieuwsberichten van RTL-nieuws over het doorgeven van persoonsgegevens van basisscholen naar leveranciers van digitaal lesmateriaal. Ik begrijp dat de berichtgeving van RTL aanleiding geeft tot zorgen. In deze brief wil ik, op basis van de feiten, deze zorgen graag in perspectief plaatsen.

Er loopt al langere tijd een traject waarbij diverse partijen zich buigen over vraagstukken van privacy op het gebied van onderwijs en ICT. In dat kader heeft in opdracht van het Ministerie van OCW een verkennend onderzoek plaatsgevonden door PricewaterhouseCoopers (PwC). De verkenning benoemt de risico’s van te weinig kennis bij de scholen en het onvermogen om tegenwicht te bieden tegenover de uitgeverijen. PwC geeft niet aan dat gegevens massaal zijn misbruikt, noch concludeert zij dat scholen op grote schaal de wet overtreden. De bevindingen van deze verkenning onderstrepen het belang van lopende trajecten en inmiddels ingezette maatregelen. Ik beschouw de verkenning als een bevestiging van en aansporing voor ingezet beleid en lopende acties.

In deze brief ga ik verder op het bovenstaande in. Ik zal eerst de algehele thematiek bespreken: de omgang met persoonsgegevens bij digitale leermiddelen. Vervolgens ga ik in op maatregelen die al zijn genomen, waaronder de verkenning van PwC, dan wel in de nabije toekomst genomen zullen worden om de privacy van leerlingen te borgen. De beantwoording van aanvullende vragen van uw Kamer2 vindt u in de bijlage. De schriftelijke vragen gesteld door de leden Rog (CDA), Voordewind (ChristenUnie) en Jasper van Dijk (SP) worden gelijktijdig met deze brief verzonden.

Uitwisseling van persoonsgegevens speelt breder

Het waarborgen van de privacy van leerlingen en leraren staat hoog op de maatschappelijke en politieke agenda. We zien in de praktijk van het onderwijs nieuwe initiatieven die vragen met zich meebrengen rondom privacy en digitale gegevensverwerking. Het vraagstuk is dan ook breder dan alleen Basispoort, dat tot nu toe veel publiciteit genoot. Er zijn ook andere educatieve dienstverleners, die niet aangesloten zijn bij Basispoort. Daarnaast zijn ook andere organisaties actief met gegevens en ICT in het onderwijs: aanbieders van leerlingvolgsystemen, van administratiesystemen en ICT-leveranciers in zowel het primair als in het voortgezet onderwijs. De aanbieders zijn ook verschillend van karakter: traditionele uitgeverijen, maar ook startups, kleine gespecialiseerde bedrijven en initiatieven vanuit het onderwijs zelf, Nederlandse spelers, maar ook buitenlandse aanbieders van ICT-diensten. Tot slot wisselen onderwijsinstellingen ook met overheidsorganisaties, zoals DUO, persoonsgegevens uit.

De veelheid aan partijen en initiatieven weerspiegelt de huidige dynamiek van innovaties in de leermiddelenmarkt. Het is een jonge en groeiende markt waar zowel de aanbieders als de schoolbesturen, aan de vraagkant, moeten leren omgaan met nieuwe risico's, rollen en verantwoordelijkheden, zeker ten aanzien van de omgang met persoonsgegevens.

Rollen en verantwoordelijkheden

Uit hoofde van hun onderwijstaak hebben scholen op grond van de Wet bescherming persoonsgegevens (Wbp) een grondslag om persoonsgegevens te verwerken. Deze grondslag omvat mede het verwerken van persoonsgegevens in samenhang met de beschikbaarstelling van digitale leermiddelen. Ook mogen scholen daarbij andere partijen, zoals uitgevers, inschakelen. Die andere partijen kunnen dan persoonsgegevens verwerken in het kader van die leermiddelen. Leerlingen moeten kunnen inloggen om gebruik te maken van de digitale leermiddelen, zodat het systeem zeker weet wie het voor zich heeft en aan de leerkracht kan terugkoppelen wat een leerling heeft gedaan en met welk resultaat hij dat gedaan heeft. Er worden daarom enkele gegevens van de leerling gevraagd. Zowel voor de school als voor de andere partijen gelden de uitgangspunten van de privacywetgeving, zoals: doelbinding, dataminimalisatie en beveiligingswaarborgen.

In de praktijk van de – razendsnelle – ontwikkeling van digitale leermiddelen is de bescherming van de privacy van de leerlingen langs twee wegen geregeld. Er zijn scholen die bewerkersovereenkomsten hebben afgesloten met leveranciers. In die situatie zijn de scholen verantwoordelijke in de zin van de Wbp. Zij bepalen hoe de verwerking van de leerlinggegevens bij de leveranciers gebeurt. De leveranciers zijn daarbij bewerkers in de zin van de Wbp: zij verwerken de persoonsgegevens voor de scholen. De tweede weg is dat scholen de persoonsgegevens verstrekken aan de leveranciers en dat deze laatsten die gegevens eveneens volgens de Wbp als verantwoordelijke verwerken. De leveranciers kunnen dan geen gebruik maken van de verwerkingsgrondslag van de scholen. Zij doen een beroep op een «eigen» Wbp-grondslag: hun gerechtvaardigde belang om de gegevens voor de toepassing van het leermiddel te gebruiken. Het gaat dan om gebruik uitsluitend binnen het kader van de leermiddelen; zo worden de gegevens van een leerling vernietigd wanneer deze het leermiddel niet langer gebruikt. Wanneer de persoonsgegevens van een leerling worden verwerkt op basis van en binnen de grenzen van de grondslag van de school, en ook in het geval dat de persoonsgegevens worden verwerkt op basis van en binnen de grenzen van de grondslag van de leverancier, is aparte toestemming van de betrokken leerling of zijn of haar ouders niet noodzakelijk.

Ik constateer dat het feit dat er verschillende juridische vormen worden gebruikt om de privacy van de leerlingen te borgen niet altijd leidt tot de gewenste helderheid voor betrokkenen. Bovendien vind ik, met de PO-Raad en de VO-Raad, dat de rol van verantwoordelijke voor de persoonsgegevens van leerlingen in beginsel bij de scholen zou moeten liggen. Zij zijn immers ook verantwoordelijk voor het onderwijs en de inzet van leermiddelen. Ik ben de verhoudingen tussen scholen en leveranciers, zoals uitgeverijen, aan het verhelderen langs deze lijn: de school in de rol van verantwoordelijke, de leverancier in de rol van bewerker.

Belangrijk is dat de schoolbesturen hun rol als verantwoordelijke goed invullen. Daarin worden zij ondersteund door de sectorraden, Kennisnet en andere adviseurs. Het afgelopen jaar is het aantal activiteiten op dit terrein verder opgevoerd, hier ga ik verderop in deze brief op in.

De overheid is verantwoordelijk voor het stelsel als geheel. Een bijzondere rol heeft het CBP als toezichthouder voor de privacywetgeving. De stelselverantwoordelijkheid van OCW impliceert dat OCW de ontwikkelingen in de leermiddelenmarkt volgt en scholen en de sectorraden ondersteunt, direct in het Doorbraakproject Onderwijs en ICT, of indirect, via Kennisnet.

Vele acties lopen

In 2013 zijn we met het Doorbraakproject Onderwijs en ICT gestart om het gebruik van digitale leermiddelen voor gepersonaliseerd onderwijs te ondersteunen. Binnen het Doorbraakproject Onderwijs en ICT neemt privacy een belangrijke plaats in. Een werkgroep met experts van private en publieke partijen heeft een advies opgeleverd dat bestaat uit drie punten:

• • Maak een heldere verdeling van rollen en verantwoordelijkheden van betrokken partijen;

• • Stimuleer en vergroot bewustzijn van privacy bij scholen;

• • Richt een platform in waar ketenpartners zoals scholen, uitgevers en leveranciers gezamenlijk afspraken vastleggen.

Dit advies heeft betrekking op het primair en voortgezet onderwijs. Op de website van het Doorbraakproject Onderwijs en ICT is het eindrapport te vinden waar dit onderwerp deel van uitmaakt.3

Verkennend onderzoek PwC. Om een beeld te krijgen van de praktijk op scholen rond het gebruik van persoonsgegevens, heeft het Ministerie van OCW in het najaar van 2013 aan PwC opdracht gegeven een beperkte verkenning uit te voeren. PwC heeft met vier scholen gesproken. Uit deze verkenning blijkt dat de vier onderzochte scholen de Wbp vooral toepassen op basis van «gezond verstand», zonder dat men de precieze eisen uit de Wbp en de onderwijswetgeving kent. Het ontbreken van voldoende bewustzijn bij deze scholen ten aanzien van het verantwoord verwerken van persoonsgegevens onderstreept het belang van meer aandacht, kennis en kunde bij schoolbesturen voor de borging van privacy bij digitale leermiddelen.

PwC onderstreept dat de kleinschalige aanpak van de verkenning maakt dat er geen algemene conclusies over alle scholen getrokken kunnen worden. Evenmin is de conclusie dat er sprake is van misbruik van leerlinggegevens.

PwC heeft binnen de vier scholen gekeken naar verschillende vormen van uitwisseling van persoonsgegevens. Het rapport signaleert goede voorbeelden, maar ook risico’s, zoals bij Basispoort, waar de onderzochte overeenkomst tekortschoot. Dat is overigens geen nieuwe constatering. Basispoort is ingevoerd in de zomer van 2013. Al eerder is door de PO-raad aangegeven dat er problemen waren met de invoering en met de waarborgen rond privacy.4

De verkenning wijst op risico’s bij zowel uitgeverijen als de onderzochte scholen, maar meldt niet dat deze werkelijkheid zijn geworden. Het gaat om risico’s die volgens PwC breder kunnen spelen en dus verder onderzocht en aangepakt zouden moeten worden. De aanbevelingen van PwC onderstrepen het belang van goede ondersteuning voor schoolbesturen, meer bewustwording en handreikingen om goede afspraken te kunnen maken met leveranciers. Dit sluit naadloos aan bij de gezamenlijke activiteiten die wij met de sectorraden, onder meer in het Doorbraakproject Onderwijs en ICT, in gang hadden gezet.

Ik hecht eraan hier te benadrukken dat er geen sprake van is dat het rapport bewust is achtergehouden. De verkenning is afgelopen september door mijn departement op de website van de rijksoverheid geplaatst in het kader van de Rijkspilot actieve openbaarmaking van onderzoeksrapporten.5 Doel van deze pilot is de vraag te beantwoorden hoe om te gaan met actieve openbaarmaking. Ik sta volledig achter de doelstellingen van de pilot: meer transparantie, ook over rapporten die in eerste instantie alleen bedoeld zijn als bouwstenen voor beleidsvoorbereiding.

Direct bij publicatie heeft Kennisnet hier een bericht over geplaatst op haar website. Trouw en Ouders.nl hebben daar vervolgens weer over gepubliceerd, waarna ook de Groep Educatieve Uitgeverijen (GEU) heeft gereageerd. Afgelopen week berichtte ook RTL over de verkenning.

De bedoeling van het convenant is de scholen te ontzorgen. Uitgeverijen die het convenant onderschrijven, geven zo aan dat zij verantwoord met de gegevens van leerlingen omgaan. Scholen kunnen op hun beurt straks van uitgeverijen eisen dat zij het convenant getekend hebben.

Pseudonimisering. De hoeveelheid persoonsgegevens van een leerling die bij een uitgever wordt verwerkt moet zo beperkt mogelijk worden gehouden. Een belangrijke ontwikkeling waar we in het kader van het Doorbraakproject Onderwijs en ICT aan werken betreft het pseudonimiseren van persoonsgegevens. Dit betekent dat een leerling onder een pseudoniem (een soort codenaam) inlogt op het digitale leermateriaal. In dat geval zijn leerlingen straks bij uitgeverijen niet meer bekend onder hun eigen naam, maar onder een pseudoniem. Alleen de school weet dan om wie het echt gaat. Bewerkers/uitgeverijen zullen in het geval van pseudonimisering alleen beschikken over gegevens die niet direct herleidbaar zijn tot individuele leerlingen. Momenteel wordt binnen het Doorbraakproject Onderwijs en ICT door Kennisnet gewerkt aan het ontwerp van dit systeem. Op basis van dat ontwerp is het voornemen de voorziening tussen februari en de zomer van 2015 te realiseren. Na de zomer van 2015 kan de voorziening getest worden door deze te implementeren bij enkele scholen in het po, vo en mbo. Er wordt bijvoorbeeld getest of het pseudoniem veilig en betrouwbaar werkt bij het bestellen, betalen, leveren en toegang geven tot leermateriaal. Maar ook of een leerling nog toegang heeft tot zijn of haar digitale leermiddelen als hij verhuist of gebruik gaat maken van een andere elektronische leeromgeving. De pseudonimisering wordt ingevoerd in 2016.6 Pseudonimisering doet met dataminimalisering recht aan zowel de privacy van de leerling als aan het doel van de school met het gebruik van het leermiddel.

Uw Kamer wordt in januari uitgebreider geïnformeerd over de activiteiten die ik samen met de Minister van Economische Zaken, de PO-raad en de VO-raad in het kader van het Doorbraakproject Onderwijs en ICT onderneem. Ik ga daarin uitgebreid in op de uitkomsten van alle publiek-private tafels, de vervolgacties en de rolverdeling daarbij.

Samenwerkingsplatform Informatie Onderwijs. In het Samenwerkingsplatform Informatie Onderwijs7 (SION) wordt gewerkt aan een meer efficiënte en veilige gegevenswisseling tussen partijen in het onderwijsdomein. Privacy en beveiliging zijn daarbij belangrijke thema’s. De sectorraden vormen samen met Kennisnet, Sambo-ICT, Schoolinfo en Surf het SION. OCW ondersteunt dit initiatief financieel. SION stelt kaders en richtlijnen op over gegevensuitwisseling. Deze dienen voor scholen, leveranciers, uitgeverijen en de overheid als richtlijnen voor de verdere verbetering van gegevensuitwisseling. Denk bijvoorbeeld aan kaders over welke gegevensbronnen gebruikt kunnen worden of welke technische standaarden er gelden. Deze kaders zijn vastgelegd in de zogenoemde referentiearchitectuur onderwijs.8

Monitor standaarden. In 2013 ontving uw Kamer een monitor over open standaarden in het onderwijs, naar aanleiding van het verzoek om inzicht te krijgen in het gebruik van deze standaarden door de scholen. 9 Deze monitor laten de Minister van OCW en ik op dit moment opnieuw uitvoeren. We laten hier ook expliciet onderzoeken of uitgeverijen en scholen de standaarden op het gebied van beveiliging kennen en toepassen. We zullen u in maart 2015 over de uitkomsten informeren.

Themamaand privacy. In april 2014 organiseerde Kennisnet de themamaand »privacy». Daartoe zijn de volgende producten opgeleverd die scholen helpen:

• − Een aantal webinars gericht op schoolleiders en docenten: webinar «privacy» en «ICT in het onderwijs» 10

• − Een folder «Kinderen en online privacy», gericht op ouders en leerkrachten;11

• − Twee flyers voor scholen, waaronder een checklist privacy-afspraken voor scholen, voor het maken van afspraken tussen een school en haar ICT-leveranciers;12

• − Een quickscan voor scholen, gericht op bewustwording rond privacy, die circa 1.200 keer is gedownload;13

• − Tot slot is er vanuit Kennisnet veel aandacht voor privacy, bijvoorbeeld via de themasite «privacy en internet» die circa 30.000 bezoekers heeft gehad, en op conferenties zoals recent op de Onderwijsdagen 2014.

Sectorakkoord primair onderwijs. In het afgesloten sectorakkoord met de PO-raad wordt expliciet aandacht besteed aan privacy. Afgesproken is dat de PO-raad zorg zal dragen voor overkoepelende afspraken met betrokken (markt)partijen als het gaat om privacy. Daar werkt de PO-raad aan in het Doorbraakproject Onderwijs en ICT.

Rol van toezicht. Partijen in het onderwijsveld werken hard aan verbetering van de afspraken op het gebied van privacy. Zo worden de risico’s op voorhand zo veel mogelijk beperkt. Garanties dat het te allen tijde goed gaat en blijft gaan, zijn echter niet te geven. Op allerlei terreinen waar ICT wordt gebruikt – bij de overheid, webwinkels, financiële instellingen, etcetera – proberen hackers in systemen binnen te dringen. Het onderwijs is hier niet immuun voor. De veiligheid van systemen moet dan ook telkens worden gemonitord, verbeterd en geactualiseerd. In het onderwijs zijn leveranciers en Kennisnet alert om lekken op te sporen en waar nodig te repareren. Daarnaast vraagt de toenemende stroom van gegevens in ICT-toepassingen om zorgvuldigheid van alle partijen. Waar de privacy, ook van leerlingen of leraren, in het geding komt, is het CBP als toezichthouder aan zet. Het onderzoek naar Snappet is een recent voorbeeld dat toont dat het CBP zijn taak als publieke toezichthouder ook in het onderwijsveld oppakt.14

Ten slotte

ICT kan van grote toegevoegde waarde zijn in het onderwijs. Feitelijk staan we pas aan het begin van een veelbelovende ontwikkeling. Tegelijk moeten we op onze hoede zijn. De ontwikkelingen gaan razendsnel en data, waaronder persoonsgegevens, gaan een steeds grotere rol spelen in het onderwijs. Meer bewustzijn en kennis over de omgang met persoonsgegevens is dan ook nodig. Er is de afgelopen maanden veel in gang gezet om risico's te beperken. Tegelijkertijd moet er ook nog veel gebeuren, al was het maar omdat ontwikkelingen rond ICT niet, of misschien wel nooit, stilstaan.

Het is belangrijk dat schoolbesturen hun verantwoordelijkheid nemen en op een goede manier weten in te vullen. De sectorraden en partijen als Kennisnet moeten hen daarbij ondersteunen en zijn daar volop mee bezig. In het Doorbraakproject Onderwijs en ICT werken wij met deze en andere partijen samen aan betere randvoorwaarden (zoals professionalisering van de inkoop en de genoemde voorziening voor pseudonimisering) en strengere afspraken (zoals het convenant privacy). Zo werken we gezamenlijk aan meer bewustzijn en kennis bij scholen en ontzorgen we schoolbesturen bij het maken van goede afspraken met externe partijen.

Tenslotte is transparantie door scholen richting ouders en de leerlingen van groot belang. Ik verwacht van scholen dat zij duidelijk zijn richting ouders, leerlingen en leraren over hoe zij omgaan met hun persoonsgegevens.

De Staatssecretaris van Onderwijs, Cultuur en Wetenschap, S. Dekker

Aanvullende vragen van het lid Straus:

1. Is bij u bekend of de gegevens van leerlingen door de uitgeverijen commercieel zijn benut? Zijn deze bijvoorbeeld doorverkocht of gebruikt om producten aan te bieden?

De Groep Educatieve Uitgeverijen (GEU) meldt dat de bij hen aangesloten uitgeverijen de leerlinggegevens alleen binnen het leermiddel gebruiken. Zij geven aan dat zij deze gegevens niet doorverkopen en niet gebruiken om de ouders en leerlingen persoonlijke aanbiedingen voor commerciële producten te doen. Ik ken geen andere signalen.

2. Wat is er in het «Doorbraakproject Onderwijs en ICT» over dit onderwerp geconstateerd en welke vervolgacties lopen er nu al?

In het Doorbraakproject Onderwijs en ICT heeft een groep experts uit het publieke en private domein geadviseerd dat een heldere verdeling van rollen en verantwoordelijkheden gewenst is. Tevens moet het bewustzijn van privacy onder scholen vergroot worden en zou een platform ingericht moeten worden waar ketenpartijen gezamenlijke afspraken vastleggen. Dit advies wordt momenteel opgepakt door het opstellen van een convenant, een model bewerkersovereenkomst en pseudonimisering van leerlinggegevens. Voor een toelichting daarop verwijs ik u naar mijn brief.

Aanvullende vragen van het lid Ypma:

1. Waarom heeft u de afweging gemaakt om het rapport niet expliciet met een brief aan de Kamer te sturen?

Voor een antwoord op deze vraag verwijs ik u naar mijn brief, en naar mijn antwoord op vraag 6 van de leden Rog, Voordewind en Jasper van Dijk.

2. Is het waar dat het rapport al zeven maanden geleden is afgerond, maar pas een maand geleden openbaar is gemaakt? Zo ja, kunt u de reden hiervoor aangeven?

De verkenning is in april verschenen en in september openbaar gemaakt in het kader van de pilot actieve openbaarmaking.

3. Is de privacy van de leerlingen al die tijd in het geding?

Er is bij mij geen misbruik van persoonsgegevens bekend. De verkenning geeft op basis van vier scholen aan welke potentiële risico’s er zijn, niet dat deze risico’s werkelijkheid zijn geworden.

4. Welke oplossing kan er zo snel mogelijk worden genomen?

Voor een antwoord op deze vraag verwijs ik u naar de acties die ik in mijn brief noem.

5. Wanneer kan die oplossing in werking treden?

Voor een antwoord op deze vraag verwijs ik u eveneens naar mijn brief en naar mijn antwoord op vraag 3 van uw leden Rog, Voordewind en Jasper van Dijk.

6. Bent u van mening dat, buiten de eigen leerkrachten op school, niemand over de individuele gegevens van leerlingen en leerkrachten zou mogen beschikken?»

De aanbieder van het leermiddel heeft om zijn werk te kunnen doen de gegevens van een leerling nodig. Dit werk doet hij in opdracht van de school. Binnen het Doorbraakproject Onderwijs en ICT wordt daarnaast gewerkt aan de pseudonimisering van leerlinggegevens, waardoor de koppeling naar een persoon alleen door de school gemaakt kan worden. Hiervoor verwijs ik naar mijn brief.

7. Bent u van mening dat het onwenselijk is dat er «rankinglijsten» zijn van de beste leerlingen?

Dit laat ik over aan de didactische keuzes die een docent of school maakt.

8. Hoe kan het dat de uitgeverijen zich niet actief verantwoorden over de privacy?

In professionele contractrelaties zijn beide partijen zich bewust van de afspraken die zij maken, zeker waar het om de privacy van leerlingen gaat. Het is dan ook van belang dat schoolbesturen en uitgeverijen expliciet stilstaan bij de omgang met persoonsgegevens, net zoals het van belang is dat schoolbesturen hier helder over zijn naar ouders. Gegeven het toenemend gebruik van digitaal lesmateriaal en de bijbehorende gegevensuitwisseling, vraagt dit dat zowel scholen als uitgeverijen zich hierin verder professionaliseren. De scholen worden hierin ondersteund door de sectorraden, Kennisnet en mijn departement.

9. Hoe kan het dat scholen beperkt inzicht in de privacy hebben?

Uit de PwC-verkenning blijkt dat de 4 scholen uit de steekproef zeer betrokken zijn bij het onderwerp, maar dat hun echte inhoudelijke kennis van de Wbp beperkt is. Het ontbreekt bij hen aan tijd en capaciteit om zich in deze materie te verdiepen. Scholen geven ook aan behoefte te hebben aan ondersteuning op dit gebied. In mijn brief heb ik een aantal activiteiten benoemd waarmee scholen ondersteund worden (zoals de activiteiten van Kennisnet en de activiteiten in het Doorbraakproject Onderwijs en ICT).

10. Hoe kan het dat ouders geen toestemming hoeven te verlenen voor het delen van informatie?

Hiervoor verwijs ik u naar mijn antwoord op vraag 2 van uw leden Rog, Voordewind en Jasper van Dijk.

11. Wat is uw oordeel over de conclusie van het accountantsbureau PricewaterhouseCoopers (PwC) dat scholen niet voldoende gewicht hebben om tegenwicht te bieden aan leveranciers en eisen te stellen aan privacy en beveiliging? Wat gaat u hieraan doen?

Ik deel het beeld dat individuele scholen nog niet voldoende afspraken maken met leveranciers of voldoende eisen stellen aan privacy en beveiliging. In het Doorbraakproject Onderwijs en ICT wordt daarom gewerkt aan een versterking van de zogenoemde vraagkant (scholen). Met de sectorraden maak ik afspraken over verdere professionalisering van de inkoop met behulp van gezamenlijke (sectorale) inkoopvoorwaarden, waar privacy onderdeel van uitmaakt. Ook werk ik met sectorraden aan een convenant dat de scholen kunnen benutten. Voor een uitgebreider antwoord op deze vraag verwijs ik u naar mijn brief.

12. Wat is uw oordeel over de conclusie van PwC dat het onduidelijk is hoe de gegevens door de leveranciers worden gebruikt? Wat gaat u hieraan doen?

Ik verwijs u naar mijn antwoord op vraag 8.

13. Wat is uw oordeel over de conclusie van PwC dat onduidelijk is met wie deze gegevens worden gedeeld? Wat gaat u hieraan doen?

Het is van belang dat duidelijk is met wie deze gegevens worden gedeeld. Zie ook mijn antwoord op vraag 8. Heldere communicatie tussen de scholen en ouders en leerlingen kan hieraan bijdragen. Hier is verbetering mogelijk.

14. Wat is uw oordeel over de conclusie van PwC dat onduidelijk is hoe deze gegevens adequaat worden beschermd? Wat gaat u hieraan doen?

De uitgeverijen werken continu aan de beveiliging van hun systemen, en voeren daartoe regelmatig audits uit. Waar nodig treffen zij passende beveiligingsmaatregelen. Het is aan de uitgeverijen en aan de scholen als opdrachtgevers om de situatie die PwC schetst te verbeteren.

15. Wat is uw oordeel over de conclusie van PwC dat er kan worden gesteld dat er een commercieel belang is om breder gebruik te maken van data? Wat gaat u hieraan doen?

Het is niet toegestaan om gegevens te gebruiken voor andere doeleinden dan die aansluiten bij de verwerkingsgrondslag van de school. Commerciële activiteiten passen hier niet bij en zijn niet toegestaan, behalve wanneer ouders daar expliciet toestemming voor geven. De Groep Educatieve Uitgeverijen (GEU) heeft mij gemeld dat de bij hen aangesloten uitgeverijen de gegevens niet breder gebruiken voor commerciële doeleinden en dat zij daar, gelet op hun doelstelling, geen enkel belang bij hebben.