Aanhangsel van de Handelingen
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2017-2018 | 2063 |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2017-2018 | 2063 |
Heeft u kennisgenomen van het bericht «Hoe de digitale halsband van Magister de privacy van schoolkinderen nekt»?1
Hoe beoordeelt u de zeer geconcentreerde markt van leerlingvolgsystemen, waarbij 95% van het marktaandeel in handen is van twee aanbieders?
De markt van leerlingvolgsystemen kent inderdaad een hoge concentratiegraad. Dat hoeft op zichzelf geen probleem te zijn, van belang is de vraag of een partij misbruik maakt van een dominante marktpositie. Ik ken daar tot op heden geen signalen van. De Autoriteit Consument en Markt houdt toezicht op de naleving van de Mededingingswet, waarin bepalingen rondom misbruik van een economische machtspositie zijn opgenomen.
Is het bij u bekend hoelang scholen en de bedrijven die leerlingvolgsystemen aanbieden de leerlinggegevens bewaren?
De privacywetgeving schrijft voor dat persoonsgegevens niet langer worden opgeslagen dan noodzakelijk voor het doel waarvoor zij zijn verzameld. Ten aanzien van de gegevens in een leerlingdossier staat de Autoriteit Persoonsgegevens op het standpunt dat een school de meeste gegevens nog twee jaar mag bewaren nadat het kind van school is gegaan.2 Op grond van specifieke bepalingen in de onderwijswetgeving moeten scholen bepaalde gegevens langer bewaren:
▪ gegevens over verzuim en in- en uitschrijving moeten tot 5 jaar nadat de leerling is uitgeschreven bewaard blijven;
▪ gegevens over een leerling die naar een school voor speciaal onderwijs is doorverwezen, moet een school 3 jaar na het vertrek van de leerling bewaren, en
▪ het centraal examen, inclusief de cijferlijsten, moet minstens 6 maanden bewaard worden na de vaststelling van de uitslag.
In de modelverwerkersovereenkomst die hoort bij het privacyconvenant (waarin de sectorraden en inmiddels meer dan 200 leveranciers afspraken hebben gemaakt over privacy en informatiebeveiliging) zijn bepalingen opgenomen over hoe scholen en bedrijven die in opdracht van scholen persoonsgegevens verwerken om moeten gaan met bewaartermijnen en de vernietiging van persoonsgegevens.3 De bedrijven die leerlingvolgsystemen aanbieden hebben het convenant ondertekend.
Klopt het dat marketingdoeleinden buiten het gesloten privacyconvenant zijn gehouden, waardoor deze bedrijven geld kunnen verdienen door scholen aanbiedingen te sturen gericht op de geaggregeerde data?
Nee dat klopt niet. Artikel 5, lid 3 van het privacyconvenant bepaalt: «De Verwerking van Persoonsgegevens met betrekking tot Digitale Onderwijsmiddelen vindt nooit plaats voor reclamedoeleinden of het doen van ongevraagde aanbiedingen door Leveranciers.»
Kunt u de Inspectie toezicht laten houden op de bewerkingsovereenkomsten tussen scholen en aanbieders van leerlingvolgsystemen of deze overeenkomsten voldoen aan de wet en regelgeving rondom privacy.
De modelverwerkersovereenkomst die opgesteld is voldoet aan de wet- en regelgeving rondom privacy. Het is de taak van de Autoriteit Persoonsgegevens om toezicht te houden op de wet- en regelgeving rondom privacy. De Inspectie van het Onderwijs en de Autoriteit Persoonsgegevens hebben een samenwerkingsovereenkomst afgesloten waarin zij afspraken hebben gemaakt over hoe zij elkaar informeren.
Deelt u de mening dat het zeer onwenselijk is dat de gegevens van Nederlandse leerlingen in een Amerikaans netwerk worden verwerkt en daarmee onder Amerikaanse wetgeving valt, gezien de grote concentratie van gevoelige persoonsgegevens?
Ik vind het onwenselijk als persoonsgegevens van Nederlandse leerlingen op Amerikaanse servers staan. Magister verzekert onderwijsinstellingen ervan dat daar geen sprake van is. De data wordt versleuteld opgeslagen op Nederlandse servers. Magister maakt voor haar beveiliging gebruik van de diensten van Akamai, een Amerikaans bedrijf. Die diensten (met name de bescherming tegen DDoS-aanvallen) worden geleverd in Europa, conform Europese privacywetgeving. De AVG stelt voorwaarden voor doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Voor scholen zijn deze hanteerbaar gemaakt in artikel 10 van de modelverwerkersovereenkomst.
Wat is uw oordeel over de capaciteit van toezicht en handhaving van privacywetgeving bij leerlinggegevens?
Het kabinet heeft de capaciteit van de Autoriteit Persoonsgegevens met oog op de inwerkingtreding van de AVG uitgebreid. Daarmee verwacht ik dat de Autoriteit Persoonsgegevens voldoende geëquipeerd is om haar taken uit te voeren. Ik zie dat de Autoriteit Persoonsgegevens ook actief is binnen het onderwijsdomein met onderzoek, voorlichting en recent bijvoorbeeld ook met de ontwikkeling van lesmateriaal over privacy.4
Bent u bereid onderzoek te doen naar gebruik, opslag en verwerking van leerlinggegevens door scholen en aanbieders van leerlingvolgsystemen?
Het is de rol van de Autoriteit Persoonsgegevens om toezicht te houden en indien nodig onderzoek te doen. Recent is er door de Autoriteit Persoonsgegevens bijvoorbeeld onderzoek gedaan naar de werkwijze van scholen rondom hun leerlingvolgsystemen.5 Naar aanleiding van dit onderzoek hebben scholen en de leverancier hun werkwijzen en systemen aangepast zodat de omgang met leerlinggegevens voldoet aan de Wet bescherming persoonsgegevens. Zo hebben leraren nu bijvoorbeeld alleen nog toegang tot persoonsgegevens van leerlingen die zij voor de uitvoering van hun taken nodig hebben en is de beveiliging van de persoonsgegevens verbeterd door bij te houden welke bestanden van welke leerlingen zijn gelezen of aangepast.
Met het privacyconvenant en de modelverwerkersovereenkomst worden scholen ondersteund bij het maken van de juiste afspraken over gebruik, opslag en verwerking van leerlinggegevens met onder meer aanbieders van leerlingvolgsystemen.
Zoals toegezegd tijdens het AO Digitalisering op 31 januari jongstleden, informeer ik uw Kamer later dit jaar over de uitkomsten van een monitor naar de stand van zaken rondom privacy en beveiliging in het primair en voortgezet onderwijs.
Follow the Money, «Hoe de digitale halsband van Magister de privacy van schoolkinderen nekt» (17 maart 2018)
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/onderwijs/leerlingdossiers?qa=leerlingdossier
Het privacyconvenant en de bijbehorende modelverwerkersovereenkomst is te vinden op https://www.privacyconvenant.nl/
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/ah-tk-20172018-2063.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.