Antwoord 1

Ja.

Antwoord 2

Scholen hebben gegevens over leerlingen nodig om goed onderwijs te kunnen geven en zijn daarbij zelf verantwoordelijk voor een zorgvuldige omgang met persoonsgegevens. Ik zie dat het onderwerp privacy en informatiebeveiliging bij veel scholen hoog op de agenda staat. Tegelijkertijd herken ik de signalen dat scholen onderling verschillen in hun (taak)volwassenheid. Daarom zal ik met de PO-Raad, VO-raad, Kennisnet en leveranciers blijven werken aan het verder wegnemen van risico’s. Ik zal dat doen langs twee lijnen. De eerste lijn richt zich op het vergroten van het bewustzijn en de vaardigheid van gebruikers. In de tweede lijn staat het optimaliseren van ict-voorzieningen centraal.

– Vergroten bewustzijn/vaardigheid

Sectororganisaties en leveranciers hebben een convenant gesloten dat toeziet op een zorgvuldige omgang met gegevens.2 Deze afspraken zijn uitgewerkt in een modelbewerkersovereenkomst die scholen helpt bij het maken van afspraken met leveranciers. Inmiddels hebben 148 leveranciers het convenant getekend.

Tevens zijn er hulpmiddelen gerealiseerd, zoals een voorbeeld sociale mediaprotocol, een quick scan privacy en handreikingen om ouders te informeren.3 Daarnaast zijn scholen via bijeenkomsten op de hoogte gebracht van de laatste ontwikkelingen en hebben ze kunnen leren van elkaars ervaringen. Ten slotte beantwoordt Ouders & Onderwijs vragen die ouders hebben rond de privacy van hun kind en adviseert ze over de mogelijkheden. Door aan te sluiten bij deze vertrouwde kanalen wordt het bereik en effect groter.

– Optimaliseren ict-voorzieningen

Het is belangrijk dat voorzieningen gebruikers helpen bij het borgen van privacy en beveiliging. Naast het hanteren van uitgangspunten als privacy en security by design, is het gebruik van standaarden belangrijk. Met het onderwijs en bedrijfsleven stimuleer ik de ontwikkeling en het gebruik ervan.4 Zo wordt er bijvoorbeeld op dit moment gewerkt aan een nieuwe standaard voor beveiliging. Dit helpt scholen om te kijken of een leverancier de zaken op orde heeft.

Naast standaarden worden voorzieningen gerealiseerd. Denk bijvoorbeeld aan de nummervoorziening die pseudoniemen genereert. Dit zorgt er voor dat scholen en leveranciers alleen nog de minimaal noodzakelijke persoonsgegevens hoeven uit te wisselen. Zodra de beoogde wetswijziging van kracht wordt, kan de voorziening worden ingezet. Uw Kamer ontvangt op zeer korte termijn het wetsvoorstel dat invoering van het pseudoniem mogelijk maakt. Dit voorstel voorziet tevens in de mogelijkheid om nadere voorwaarden te stellen aan het gebruik van het pseudoniem, zoals beveiligingseisen. Wanneer het voorstel op 1 januari 2018 in werking treedt, kunnen scholen en leveranciers beginnen met de implementatie in de eigen systemen. Gelet op het belang van het onderwerp, verzoek ik uw Kamer het wetsvoorstel met voorrang te behandelen.

Antwoord 3

In 2015 heb ik uw Kamer geïnformeerd over de bekendheid met en de toepassing van relevante standaarden in het onderwijs.5 In dit onderzoek is ook aandacht geweest voor de mate waarin scholen beleid hebben ontwikkeld op dit vlak. Daaruit kwam naar voren dat 59 procent van de scholen in het primair onderwijs dergelijk beleid heeft en dat 13 procent dit op korte termijn zou realiseren. In het voortgezet onderwijs gold dit voor respectievelijk 70 procent (al gerealiseerd) en 14 procent (op korte termijn te realiseren) van de scholen. Sindsdien zijn de nodige acties in gang gezet. Eind vorig jaar heb ik daarom met de PO-Raad en VO-raad afgesproken dat zij later dit jaar vervolgonderzoek doen. Zodra de resultaten beschikbaar zijn, zal ik uw Kamer informeren.

Antwoord 4

Uit de voorgaande antwoorden mag duidelijk worden dat ik een groot voorstander ben van het gebruik van standaarden. Het levert een belangrijke bijdrage aan de bescherming van de privacy van leerlingen en neemt een deel van de zorgen van scholen uit handen. Ook scheelt het scholen administratief werk. Dit gebeurt zoals bij vraag 2 aangegeven voor het grootste gedeelte gebundeld over onderwijssectoren heen en met ondersteuning van mijn ambtenaren.

Antwoord 5

Ik ben bekend met de enquête en deel de mening dat scholen ouders goed moeten informeren. De rechten van ouders en leerlingen op grond van de Wet bescherming persoonsgegevens zijn helder. Denk bijvoorbeeld aan het recht om door de school goed, begrijpelijk en actief geïnformeerd te worden over de wijze waarop wordt omgegaan met gegevens. Scholen die dit onvoldoende doen, roep ik op om dit via de schoolgids of eigen website duidelijk te maken. Ook kunnen ouders de school vragen om inzage, correctie en verwijdering van gegevens en kunnen ze bij de school bezwaar aantekenen als zij willen dat bepaalde persoonsgegevens van hun kind niet meer gebruikt worden.

Daarnaast heeft de medezeggenschapsraad van de school instemmingsrecht op alle regelingen voor de verwerking van persoonsgegevens die de school opstelt. Dit zorgt dat ook ouders en leerlingen in positie zijn om een goed gesprek te kunnen voeren over de manier waarop de school omgaat met deze gegevens.

Gevoelige informatie over leerlingen (en medewerkers), zoals informatie over gezondheid, gedragsproblemen, politieke voorkeur, godsdienst, seksuele voorkeur of een problematische thuissituatie zijn bijzondere persoonsgegevens. Deze mogen niet worden gebruikt, tenzij de wet dat toelaat. Dat kan bijvoorbeeld het geval zijn voor speciale begeleiding van leerlingen of om bijzondere voorzieningen te kunnen treffen. Daarbij vind ik het belangrijk dat scholen tijdig met ouders spreken over het delen van persoonsgegevens en toestemming vragen wanneer dat nodig is, zodat ouders en leerlingen niet voor verrassingen komen te staan.

Met Ouders & Onderwijs blijf ik werken aan het vergroten van het bewustzijn. De Onderwijsraad doet hier in haar rapport Doordacht digitaal ook suggesties voor. Ik zal die suggesties en andere manieren om de betrokkenheid van ouders te vergroten verder verkennen en implementeren waar relevant en mogelijk.