De leden van de PvdA-fractie hebben met enige teleurstelling kennisgenomen van de informatie die door de Staatssecretaris aan de Kamer is gestuurd.

Alle kinderen en jongeren moeten op school de ruimte krijgen hun talenten te ontdekken. Het onderwijs moet aansluiten op de interesses, mogelijkheden en behoeften van individuele leerlingen zodat zij het beste uit zichzelf kunnen halen. Door op een slimme manier van ICT gebruik te maken, wordt het voor leraren makkelijker om zicht te houden op de ontwikkeling van individuele leerlingen en aan te sluiten op hun onderwijsbehoeften. Tegelijkertijd moet ervoor worden gezorgd dat verkregen digitale informatie alleen toegankelijk is voor mensen die het aangaat en de privacy van leerlingen wordt gegarandeerd.

De leden van de SP-fractie hebben kennisgenomen van de drie brieven over privacy en informatiebeveiliging in het funderend onderwijs.

De leden van de VVD-fractie merken op dat de Staatssecretaris in zijn brief van 3 juli jongstleden1 de maatregelen beschrijft die door de sector zelf worden opgetuigd om werk te maken van privacybescherming op scholen, hiervoor wordt onder andere een helpdesk ingericht. Zij vragen hoe het staat met deze acties.

De Staatssecretaris geeft aan dat de invoering van het pseudoniem in het onderwijs de hoeveelheid en de koppelbaarheid van gegevens vermindert. De eerdergenoemde leden vragen hoe dit laatste zich verhoudt tot het belang dat soms bestaat om gegevens juist wel te koppelen, bijvoorbeeld bij contacten tussen scholen, gemeenten en jeugdhulp.

Deze leden zijn ook benieuwd naar de rol van ouders als het gaat om de bescherming van persoonsgegevens. Zij vragen of ouders straks ook kunnen inzien hoe scholen omgaan met privacy en wie welke gegevens kan inzien.

De leden van de PvdA-fractie ondersteunen de gedachte dat scholen de ruimte en verantwoordelijkheid hebben om de privacy van leerlingen te waarborgen, tegelijkertijd mogen leerlingen nooit het slachtoffer worden van falende scholen die dit niet op orde hebben. Gegevens van individuele leerlingen mogen nooit buiten de school terecht komen met NAW2 gegevens. Gegevens mogen niet herleidbaar zijn tot kinderen. Deze leden onderschrijven het belang van een zorgvuldige ontwikkeling en het testen van het pseudoniem alvorens het in te voeren in de onderwijspraktijk. Tegelijkertijd dient de privacy van leerlingen, ook op dit moment, te worden gegarandeerd. Tijdens het plenair debat van 21 januari 2015 hebben deze leden daarom aangedrongen op het zo spoedig mogelijk pseudonimiseren van leerlinggegevens (voor het begin van 2016). Nu blijkt dat, vanwege een periode van ontwikkeling en testen, het pseudoniem pas per schooljaar 2017–2018 door scholen kan worden gebruikt. Dit stelt de leden van deze fractie teleur en het baart hen zorgen. Welke mogelijkheden ziet de Staatssecretaris om het moment van invoeren te versnellen en welke maatregelen neemt de Staatssecretaris om de privacy van leerlingen in de tussenliggende periode te garanderen?

Eerder hebben de leden van deze fractie de Staatssecretaris verzocht om het CBP3 en de Inspectie van het Onderwijs te vragen samen de privacy van leerlingen te bewaken en in te grijpen bij mogelijke misstanden. Het overleg tussen het CBP en de Inspectie van het Onderwijs over de afstemming van toezichtactiviteiten is gestart, maar de uitwerking hiervan is nog niet beschikbaar. Zij vragen op welke termijn de Staatssecretaris de Kamer kan informeren over de inhoud, de voortgang en de resultaten van dit overleg.

Het valt de leden van de SP-fractie op dat er veel aandacht is voor het aanbod van het lesmateriaal zelf, maar dat er weinig gesproken wordt over de apparatuur («devices») waarmee dat lesmateriaal aangeboden moet worden. Zij vragen of de Staatssecretaris kan aangeven of het wenselijk is dat ouders zelf verantwoordelijk worden gesteld voor de aanschaf van de (nieuwe) apparatuur. Welke risico’s zijn er dat de aanschaf van nieuwe apparatuur door ouders belemmerend werken voor het volgen van onderwijs (o.a. vanwege onvoldoende financiële middelen van ouders)? Kan de Staatssecretaris uiteenzetten of de aanschaf van nieuwe apparatuur voor het primaire proces onderdeel is van de vrijwillige ouderbijdrage of dat scholen verantwoordelijk zijn voor de aanschaf van deze apparatuur? Is de Staatssecretaris van mening dat ouders op moeten draaien voor de kosten van de aanschaf van die apparatuur wanneer scholen besluiten digitaal lesmateriaal aan te bieden? Welke eisen mogen scholen stellen aan de aan te schaffen apparatuur? Welke lering trekt de Staatssecretaris uit de problemen die bijvoorbeeld in het mbo4 bestaan rond de hoge schoolkosten door onder andere de aanschaf van een laptop voor het onderwijs? Zij vragen of de Staatssecretaris hierop een uitgebreide reactie wil geven.

De voornoemde leden zien dat de modelbewerkersovereenkomst vooral de kleinere scholen en instellingen een houvast geeft in de onderhandelingen met bedrijven over onder andere de aan te schaffen software. Zij vragen in hoeverre uitgevers en/of leveranciers verplicht zijn een dergelijk modelbewerkersovereenkomst te accepteren. In hoeverre kunnen bedrijven zo’n overeenkomst weigeren als een school hier gebruik van wil maken? De leden hebben kennisgenomen van het feit dat de modelbewerkersovereenkomst niet verplicht is en dat scholen en bedrijven met een eigen overeenkomst kunnen komen. Zij vragen of de Staatssecretaris bereid is om minimale eisen te stellen aan de te treffen overeenkomsten ten aanzien van privacy en informatiebeveiliging en of de Staatssecretaris dit kan toelichten.

Uit het onderzoek over standaarden en beveiliging in het po5, vo6, mbo en ho7 blijkt dat er met name in het funderend onderwijs gebrek is aan kennis over de standaarden en voorzieningen. Deze leden vragen hoe de ondersteuning van scholen er in de praktijk uit zien. Vergroot dit de kennis van het open standaardenbeleid bij scholen, zodat de lacune in het funderend onderwijs kan worden gedicht?

De eerder genoemde leden zijn blij te lezen dat er werk gemaakt wordt van de pseudonimisering van leerlinggegevens, maar benadrukken dat de kracht van een dergelijk systeem vooral zit in het universeel gebruik daarvan, anders worden er alsnog gegevens onnodig met derden gedeeld. Volgens de brief ondersteunen alle grote leveranciers een dergelijk systeem, maar hoe zit het met de kleinere leveranciers, zo vragen deze leden. Werken zij ook mee met dit systeem en zo niet, waarom niet?

Als een school passend materiaal vindt bij een leverancier die niet met een pseudoniem werkt, kunnen daar dan nog diensten worden afgenomen in de toekomst?

Zij vragen voorts wie eindverantwoordelijk is voor de ontwikkeling van het nummersysteem door Stichting Kennisnet en wat de kosten zijn van dit systeem. Daarnaast wijzen de leden op eerdere, omvangrijke ICT-projecten, hoe worden problemen voorkomen, zo vragen zij ten slotte.

De leden van de CDA-fractie merken op dat ten aanzien van pseudonimisering bij digitale leermiddelen het belangrijk is dat dit zorgvuldig wordt ingevoerd en het systeem werkt. Daarom hebben deze leden er begrip voor dat de Staatssecretaris kiest voor een zorgvuldige invoering met ingang van het schooljaar 2017/2018. In de tussentijd moet echter goed de vinger aan de pols worden gehouden. Kan de Staatssecretaris dit toezeggen? Scholen bewaren leerlingdossiers vaak op plaatsen die voor velen toegankelijk zijn, bijvoorbeeld ook voor onderwijsgevenden en onderwijsondersteunend personeel. Ouders wordt vaak niet gevraagd of zij ermee akkoord gaan dat deze personeelsleden inzage hebben in hun dossier. De voornoemde leden vragen de Staatssecretaris of hij deze signalen herkent en zo ja, wat de Staatssecretaris onderneemt om dit te verbeteren. Professionals hebben op het niveau van grote schoolbesturen of samenwerkingsverbanden vaak inzagemogelijkheid in dossiers van andere leerlingen dan de leerlingen die zij direct begeleiden. De leden vragen de Staatssecretaris hoe geborgd wordt dat ouders ook hier expliciet toestemming voor geven. Tevens vragen deze leden onder wiens verantwoordelijkheid dit valt.

Het is binnen het onderwijs gebruikelijk om leerlingen, die extra ondersteuning nodig hebben, te bespreken met diverse mogelijke betrokkenen en deskundigen. De intenties hiervan zijn positief; doel is om voor één kind, één plan te ontwikkelen, snel extra ondersteuning voor kind en/óf ouder in te schakelen en leraren beter toe te rusten. Maar ook hier ontvangen deze leden signalen dat dit met regelmaat zonder expliciete toestemming van ouders gebeurt en dat veel meer persoonsgebonden informatie wordt gedeeld dan strikt noodzakelijk is. Zij vragen of de Staatssecretaris zicht heeft op de omvang hiervan en zo ja hoe dat eruit ziet. Zo niet, wat doet de Staatssecretaris om dit helder in beeld te krijgen? Wanneer scholen onzorgvuldig omgaan met privacygevoelige cliëntgegevens kan dit een goede samenwerking tussen jeugdhulp en onderwijs belemmeren en zorgen voor ingewikkelde discussies en onbegrip. De laatste tijd lezen deze leden in de media dat ook gemeenten c.q. jeugdzorg niet even zorgvuldig omgaan met privacygevoelige gegevens. De voornoemde leden vragen de Staatssecretaris of hij in overleg is met de Staatssecretaris van Volksgezondheid Welzijn en Sport om tot gezamenlijke afspraken te komen zodat er geen misverstanden kunnen ontstaan over de borging en omgang met persoonsgevoelige gegevens in zowel onderwijs als jeugdhulp.

De leden van de D66-fractie merken op dat het voor ouders niet altijd duidelijk is wie er precies inzage heeft in de gegevens van hun kinderen: welke leraren, ondersteuners of bestuurders. Hoe wordt ervoor gezorgd dat de gegevens alleen inzichtelijk zijn voor de mensen die het nodig hebben voor het onderwijs- en begeleidingsproces van de leerling? Daarnaast vinden deze leden het belangrijk dat ouders weten met wie de gegevens worden gedeeld, en zij hier ook bezwaar tegen kunnen maken. Zij vragen of de Staatssecretaris in zijn contact met scholen ook aandacht hiervoor heeft.

Zeker waar het gaat om kinderen die extra ondersteuning nodig hebben, gaat het vaak om gevoelige informatie die wordt gedeeld tussen leraren, ondersteuners, besturen en andere betrokken organisaties als jeugdzorg. Hoe wordt geborgd dat er niet onzorgvuldig wordt omgegaan met deze gegevens? De voornoemde leden hebben begrepen dat het soms een belemmering kan vormen voor instanties als jeugdzorg om gevoelige informatie te delen met scholen, omdat zij niet zeker weten of er zorgvuldig met deze informatie wordt omgesprongen. Dit is zorgelijk, want het kan goede begeleiding en zorg voor de leerling in de weg staan. Zij vragen of de Staatssecretaris deze signalen herkent en of hij bereid is hier samen met zijn collega van Volksgezondheid Welzijn en Sport naar te kijken. De leden van deze fractie lezen dat leerlingen een pseudoniem krijgen. Zij stellen zich zo voor dat dit een nummer of code is, waarbij alleen op de school bekend is welk nummer of code welke leerling is. Zij vragen of dit correct is. Hoe wordt deze lijst waarin codes aan leerlingen worden gekoppeld goed beschermd? Hoe wordt voorkomen dat de «indicator» er alsnog toe leidt dat de gegevens te herleiden zijn tot individuele leerlingen, zo vragen de eerder genoemde leden.

De leden van de VVD-fractie vragen hoe het staat met de voortgang van de activiteiten die de sector zelf optuigt om de privacybescherming op scholen te verbeteren.

Een belangrijke activiteit is het daadwerkelijk gebruiken van de modelbewerkersovereenkomsten. Scholen en aanbieders zijn hiermee gestart en het gebruik zal in de loop van het huidige schooljaar toenemen door het afsluiten van nieuwe contracten. De PO-raad en de VO-raad zijn, ondersteund door Kennisnet, bezig met activiteiten om het bewustzijn bij scholen te vergroten. Het belang van privacy wordt benadrukt in workshops en campagnes. Zo heeft Kennisnet in september 2015 voor de tweede keer de Maand van de Privacy georganiseerd. De sectorraden ondersteunen de scholen ook door concrete instrumenten te bieden zoals de brochure «Privacy in 10 stappen».8 Met deze praktische handleiding kunnen scholen in tien makkelijke stappen privacy op school regelen. Ook zijn er een model privacyreglement, een voorbeeld sociale mediaprotocol, voorbeeldteksten om ouders te informeren over privacy op school, een online «Quickscan privacy» en een voorbeeldbrief voor toestemming van ouders voor gebruik van foto’s en video’s beschikbaar voor scholen.

De leden van de VVD-fractie vragen ook hoe het pseudonimiseren, waarmee het koppelen van gegevens bemoeilijkt wordt, zich verhoudt tot het belang dat soms bestaat om gegevens juist wel te koppelen, bijvoorbeeld tussen scholen en jeugdhulp.

In alle gevallen waarin sprake is van gegevensuitwisseling staan het doel en de afweging omtrent noodzakelijkheid en passend gebruik voorop. In de Wet Bescherming Persoonsgegevens (Wbp) staan alle grondslagen voor verwerking van persoonsgegevens beschreven. Dat kan bijvoorbeeld op basis van een wettelijke grondslag, zoals voor passend onderwijs is geregeld. De uitwisseling van persoonsgegevens tussen school en samenwerkingsverband is daar toegestaan voor de uitvoering van de taken van het samenwerkingsverband en voor advisering over begeleiding van leerlingen. Een andere grondslag is bijvoorbeeld expliciete toestemming van ouders. Pas als er een grondslag is, mag de gegevensuitwisseling ook daadwerkelijk plaatsvinden. Als gegevens daadwerkelijk worden uitgewisseld, zou dat op een goede manier met behulp van een pseudoniem kunnen. Het pseudoniem zorgt ervoor dat de koppeling van gegevens binnen de gewenste en toegestane uitwisseling beter verloopt. Tegelijkertijd is het een slot op de deur dat ervoor zorgt dat er geen ongewenste koppelingen met andere gegevens gemaakt kunnen worden. Afgelopen juni stuurden de Minister en ik uw Kamer het rapport «Big Data in onderwijs en wetenschap. Inventarisatie en essays».9 Dit rapport heeft Dialogic in het kader van beleidsvoorbereiding in opdracht van OCW opgesteld. Big Data gaat onder andere over het koppelen van datasets. De Minister en ik overdenken de betekenis van Big Data en zullen uw Kamer hierover komend voorjaar informeren.

De leden van de VVD-fractie, CDA-fractie en D66-fractie hebben vragen bij de rol en de mogelijkheden van ouders als het gaat om de bescherming van persoonsgegevens. De leden van alle drie voornoemde fracties vragen naar de mogelijkheden die ouders hebben om in te zien wie welke gegevens kan inzien, daar toestemming voor te kunnen geven en eventueel bezwaar te kunnen maken.

Ouders hebben een belangrijke rol bij de bescherming van gegevens van hun kinderen. Ouders hebben op grond van de Wbp verschillende rechten om de privacy van hun kind te waarborgen. Dat geldt voor kinderen totdat zij zestien jaar zijn, daarna mogen kinderen hier zelf over beslissen. Zo hebben ouders en leerlingen het recht om door de school goed, begrijpelijk en actief geïnformeerd te worden over hoe de school omgaat met de gegevens van leerlingen. Ouders en leerlingen kunnen de school vragen om inzage, correctie en verwijdering van gegevens van hun kinderen. En zij kunnen bij de school bezwaar aantekenen als zij willen dat bepaalde persoonsgegevens van hun kind niet meer gebruikt worden. Daarnaast zijn ouders en leerlingen vertegenwoordigd in de medezeggenschapsraad (MR) van de school. De MR heeft instemmingsrecht bij alle regelingen voor de verwerking van persoonsgegevens en het gebruik van leerlingvolgsystemen die de school opstelt. Deze mogelijkheden brengen ouders en leerlingen in positie om een goed gesprek te kunnen voeren over de manier waarop de school omgaat met persoonsgegevens.

De leden van de D66-fractie vragen hoe ervoor gezorgd wordt dat de gegevens alleen inzichtelijk zijn voor de mensen die het nodig hebben voor het onderwijs- en begeleidingsproces van de leerling.

Het is de verantwoordelijkheid van de school om de privacy van leerlingen op een goede manier te waarborgen. Scholen kunnen daar verschillende afwegingen en keuzes in maken. Scholen hebben de plicht om ouders en leerlingen actief en op een begrijpelijke en toegankelijke manier inzicht te geven in hoe zij omgaan met privacy van hun leerlingen. Als ouders of leerlingen willen weten welke gegevens over de leerling op de school bekend zijn en hoe de school hiermee omgaat, kunnen zij hierover in gesprek met de school.

De leden van de CDA-fractie vragen of ik het signaal herken dat leerlingdossiers vaak voor vele personeelsleden inzichtelijk zijn.

Dergelijke signalen herken ik, onder andere uit de rapporten die ik eerder aan uw Kamer stuurde over dit onderwerp. In zijn algemeenheid komt het beeld naar voren dat scholen in het primair en voortgezet onderwijs op basis van eigen ervaringen en gezond verstand omgaan met privacy en informatiebeveiliging op school. Er doen zich geen grootschalige incidenten voor, tegelijkertijd bevestigt dit beeld dat er nog stappen gezet moeten worden om de privacy beter te waarborgen. Het is aan de school om als verantwoordelijke hier op een goede manier mee om te gaan en aan ouders uit te leggen welke personeelsleden om welke redenen bij de gegevens van hun kinderen kunnen. Daarom blijf ik mij inzetten om bewustzijn op scholen te vergroten. Dat doe ik samen met de sectororganisaties, die ook werken aan betere ondersteuning van scholen op het gebied van privacy en informatiebeveiliging.

Voornoemde leden vragen, net als de leden van de D66-fractie ook hoe geborgd is dat ouders toestemming geven voor gebruik van persoonsgegevens door professionals buiten de school, bijvoorbeeld op het niveau van schoolbestuur, samenwerkingsverband of jeugdhulp en dat er zorgvuldig met die gegevens wordt omgesprongen. Tevens is de vraag wie er in deze gevallen verantwoordelijkheid draagt.

Het moet voor ouders en leerlingen duidelijk zijn welke informatie wordt vastgelegd en gedeeld en waarom dit gebeurt. De organisatie die de persoonsgegevens verwerkt, is hiervoor verantwoordelijk. Dat kan de school, het schoolbestuur of het samenwerkingsverband zijn. De organisatie die de gegevens verzamelt is als verantwoordelijke gehouden om op een zorgvuldige manier om te gaan met deze gegevens en ouders en leerlingen hierover actief te informeren. In de wetgeving passend onderwijs is vastgelegd dat de uitwisseling van persoonsgegevens tussen school en samenwerkingsverband is toegestaan voor de uitvoering van de taken van het samenwerkingsverband en voor advisering over begeleiding van leerlingen. Voor bredere uitwisseling is toestemming van de ouders nodig. Als andere instanties informatie over kinderen willen ontvangen, moeten ouders daarvoor expliciet toestemming geven aan de school of het samenwerkingsverband.

De leden van de CDA-fractie vragen in dit verband nog of ik inzicht heb in de omvang van de gegevensuitwisseling, specifiek voor leerlingen die extra ondersteuning nodig hebben, en het feit dat dit regelmatig zonder expliciete toestemming van ouders gebeurt.

Hier heb ik geen inzicht in. Mijn inzet is dat zoveel mogelijk mét, in plaats van óver, ouders (en leerlingen) wordt gesproken. Ook als het gaat om de extra ondersteuning, begeleiding en eventuele zorg. Uit steeds meer samenwerkingsverbanden hoor ik dat langs die lijn wordt gewerkt. Zoals al eerder in overleg met de Tweede Kamer over passend onderwijs aan de orde is geweest, is het ondoenlijk dat ouders bij elk gesprek waar hun kind aan de orde komt aanwezig zijn. Ouders en leerlingen kunnen vragen welke gegevens over de leerling bij de school of het samenwerkingsverband zijn vastgelegd, worden gedeeld en op welke manier de school of het samenwerkingsverband borgt dat zorgvuldig met deze gegevens wordt omgegaan. Eerder dit jaar hebben de sectorraden en het Steunpunt medezeggenschap passend onderwijs hiervoor een handreiking privacy voor ouders gemaakt. Ook is er een model privacyreglement voor samenwerkingsverbanden beschikbaar. Recent ontwikkelde Ouders & Onderwijs in samenwerking met een aantal samenwerkingsverbanden de informatietoets. Deze toets helpt scholen, samenwerkingsverbanden en ouders om op basis van begrijpelijke informatie de juiste afspraken te maken.

De leden van de D66-fractie hebben begrepen dat het soms een belemmering kan vormen voor instanties als jeugdzorg om gevoelige informatie te delen met scholen en vice versa, omdat zij niet zeker weten of er zorgvuldig met deze informatie wordt omgesprongen. Zij vragen, net als de leden van de CDA-fractie of ik samen met mijn collega van Volksgezondheid Welzijn en Sport hiernaar wil kijken om tot gezamenlijke afspraken te komen zodat er geen misverstanden kunnen ontstaan over de borging en omgang met persoonsgevoelige gegevens in zowel onderwijs als jeugdhulp.

Het Nederlands Jeugdinstituut heeft instrumenten ontwikkeld om samenwerkende instanties te ondersteunen bij het maken van afspraken over de uitwisseling van informatie en het borgen van de privacy. Zo is er een handreiking privacy, waarin ook een privacyreglement en privacyprotocol is opgenomen. Scholen en jeugdzorginstanties kunnen deze instrumenten gebruiken om de privacy op een goede manier te borgen en de onnodige belemmeringen weg te nemen. Het is aan scholen en jeugdzorginstanties om hierover met elkaar in gesprek te gaan en met behulp van deze instrumenten tot goede gezamenlijke afspraken te komen. Er is regelmatig contact tussen mijn ministerie en het Ministerie van Volksgezondheid Welzijn en Sport. Vooralsnog bereiken mij geen signalen die het nodig maken om naast de bestaande afspraken en instrumenten tot aanvullende afspraken te komen.

De leden van de PvdA-fractie vragen naar de mogelijkheden om het moment van invoeren van het pseudoniem te versnellen.

Ik deel de wens om het pseudoniem zo snel mogelijk in te voeren, maar vind hierbij zorgvuldigheid van het grootste belang. Zodra scholen met het pseudoniem gaan werken moet alles foutloos functioneren. De huidige planning is hiervoor – gelet op de afhankelijkheid van vele partijen die hun systemen moeten aanpassen – al ambitieus en mogelijkheden om dit te versnellen, zonder afbreuk te doen aan de benodigde zorgvuldigheid, zie ik niet.

Net als voornoemde leden zijn ook de leden van de CDA-fractie benieuwd welke maatregelen er in de tussentijd genomen worden om de privacy van leerlingen te beschermen.

De belangrijkste maatregelen zijn de eerder genoemde activiteiten om het privacybewustzijn bij scholen te vergroten. Ook het afsluiten van de bewerkersovereenkomst, waarbij precies geregeld is welke gegevens uitgewisseld mogen worden is belangrijk. Dit leidt ertoe dat scholen bewuster omgaan met de persoonsgegevens van leerlingen en dat zij ouders hierover beter kunnen informeren en bij betrekken. In overleg tussen sectorraden en de ondertekenaars van het convenant worden, vooruitlopend op de pseudonimisering, nadere afspraken gemaakt over het terugdringen van het aantal uit te wisselen persoonsgegevens. Deze beoogde dataminimalisatie verkleint het risico op het ongewenst verspreiden van gegevens van leerlingen.

Tevens vragen de leden van de PvdA-fractie naar de inhoud, voortgang en resultaten van het overleg over de afstemming van toezichtactiviteiten tussen de Inspectie van het Onderwijs en het College Bescherming Persoonsgegevens (CBP).

Het overleg dat het afgelopen jaar tussen het CBP (binnenkort: de Autoriteit Persoonsgegevens) en de Inspectie van het Onderwijs heeft plaatsgevonden over de afstemming van toezichtactiviteiten, zal resulteren in een samenwerkingsovereenkomst tussen beide toezichthouders. Daaraan leggen zij op dit moment de laatste hand. Na ondertekening vindt publicatie in de Staatscourant plaats. De inspectie heeft de samenwerking met het CBP in het jaarwerkplan voor 2016 opgenomen. Het CBP en de inspectie zullen elkaar alle informatie verstrekken die mogelijk relevant is voor de uitvoering van ieders taak. De inspectie zal de signalen die het inspectieloket ontvangt over problemen met de bescherming van persoonsgegevens bij een onderwijsinstelling terstond aan het CBP doorgeven. Daarnaast zullen de inspecteurs van de inspectie vermoedens dat een onderwijsinstelling in strijd handelt met de bij of krachtens de Wbp gestelde voorschriften, direct via een coördinatiepunt bij de inspectie aan het CBP melden.

De SP-fractie heeft een aantal vragen over de rol van de ouders bij de aanschaf van apparatuur zoals laptops en tablets.

Als een school besluit om het gebruik van apparatuur in het onderwijs te integreren, dan is de school er in de eerste plaats verantwoordelijk voor dat leerlingen over een geschikt apparaat kunnen beschikken. De school kan ouders niet verantwoordelijk maken voor de aanschaf van een (specifiek) apparaat ten behoeve van het onderwijs. Wel kunnen scholen met ouders kijken naar de mogelijkheden van «bring your own device». De school kan daarbij echter niet verplicht stellen een specifiek device aan te schaffen. Het is wel mogelijk dat – indien ouders bereid zijn zelf een apparaat aan te schaffen – de school zorgt voor een specifieke aanbieding van een bepaald apparaat. Bijvoorbeeld omdat de school afspraken heeft kunnen maken over grootschaligere inkoop. De aanschaf van apparatuur kan een behoorlijke investering betekenen voor een school. Scholen kunnen hiervoor een vrijwillige bijdrage vragen aan ouders. Het is belangrijk dat scholen de ouders goed betrekken bij de plannen die zij maken over het gebruik van apparatuur in het onderwijs. Op het gebied van schoolkosten (vrijwillige ouderbijdrage) heeft de medezeggenschap een belangrijke stem. De oudergeleding van de medezeggenschap heeft instemmingsrecht op de hoogte en de bestemming van de vrijwillige ouderbijdrage. Als ouders de bijdrage voor een tablet of laptop niet kunnen of willen betalen, moeten zij samen met de school tot een oplossing komen. Het mag niet zo zijn dat een kind niet mee kan doen het onderwijs omdat zijn of haar ouders toevallig geen geld hebben voor de aanschaf van een apparaat.

De leden van de SP-fractie hebben ook vragen over de status van de modelbewerkersovereenkomst, of bedrijven deze kunnen weigeren en of er minimale eisen aan een eigen overeenkomst gesteld kunnen worden.

Scholen en aanbieders zijn verplicht om inhoudelijk de juiste afspraken over het gebruik van persoonsgegevens te maken, zodat voldaan wordt aan de verantwoordelijkheden en verplichtingen die de Wbp aangeeft. De modelovereenkomst dient als voorbeeld voor het vastleggen van de onderlinge afspraken. Er bestaat geen verplichting op basis waarvan scholen of leveranciers altijd gebruik moeten maken van de modelovereenkomst. Maar het is niet zo dat het partijen die het convenant ondertekenen vrij staat om een eigen overeenkomst te gebruiken. In het convenant is opgenomen dat scholen, en aanbieders die het convenant hebben ondertekend bij het maken van afspraken gebruik zullen maken van de modelbewerkersovereenkomst. Daarbij is tevens bepaald dat indien door omstandigheden geen gebruik kan worden gemaakt van (onderdelen van) de modelovereenkomst, daar alleen gemotiveerd en schriftelijk van mag worden afgeweken. Deze ruimte voor aanpassing is overigens beperkt. Dat komt omdat veel bepalingen in de overeenkomst volgen uit de wet of uit de richtsnoeren van het CBP. In de praktijk wordt bovendien door de sectororganisaties aan de scholen geadviseerd om de modelovereenkomst standaard toe te passen bij aanbestedingen, ook bij partijen die het convenant nog niet hebben ondertekend.

De leden van de SP-fractie signaleren dat er met name in het funderend onderwijs gebrek is aan kennis over standaarden en informatiebeveiliging. Zij vragen hoe de ondersteuning van scholen er in de praktijk uit ziet.

De sectorraden en Kennisnet informeren scholen over het belang van open standaarden in het onderwijs en stimuleren hen deze in praktijk toe te passen. Dit gebeurt via de website en nieuwsbrieven, maar krijgt ook aandacht in informatiesessies op scholen of in de regio en op landelijke dagen als de Onderwijsdagen. Ook wordt er gewerkt aan landelijke voorbeeldovereenkomsten en service level agreements (SLA’s) waardoor scholen snel de juiste voorwaarden bij leveranciers kunnen bedingen.

Daarbij vragen deze leden of met deze activiteiten de lacune in het funderend onderwijs op dit punt gedicht wordt.

De lacune wordt gedicht door bovenstaande aanpak in samenhang tussen informeren/stimuleren op schoolniveau en ontzorging op sectorniveau. Dit wordt versterkt door het gegeven dat de sectoren po en vo nauw samenwerken en als het nodig is gebruik kunnen maken van de kennis, ervaring en producten die collega’s in het mbo en ho hebben.

De leden van de SP-fractie hebben vragen over het gebruik van het pseudoniem door kleinere leveranciers.

Het is de bedoeling dat uiteindelijk alle partijen in staat zijn om het pseudoniem te kunnen gebruiken. Ik heb geen signalen dat kleinere leveranciers het pseudoniem niet zouden willen gebruiken. Het is mogelijk dat scholen diensten afnemen bij leveranciers die geen gebruik maken van het pseudoniem. Het is altijd aan de school als verantwoordelijke partij voor een zorgvuldige omgang met persoonsgegevens om richting ouders uit te kunnen leggen welke gegevens voor welk doel worden uitgewisseld.

De leden van de SP-fractie vragen ook naar de eindverantwoordelijkheid voor en de kosten van het ontwikkelen van de nummervoorziening.

Stichting Kennisnet is verantwoordelijk voor de realisatie van het systeem en legt daarover verantwoording af aan OCW. Daarmee is de eindverantwoordelijkheid in publieke handen. De centrale kosten voor de ontwikkeling en invoering van deze voorziening zijn begroot op circa € 500.000. Dit is exclusief de kosten die gemoeid zijn met de aanpassing van systemen van leveranciers, daar heb ik geen zicht op.

Voornoemde leden vragen hoe problemen met eerdere ICT-projecten worden voorkomen.

Er is een aantal maatregelen genomen dat ervoor zorgt dat het project op koers blijft. Deze maatregelen zijn in lijn met of vloeien voort uit de aanbevelingen van de commissie Elias. Zo wordt het project gefaseerd aangepakt om de complexiteit te verminderen. Er zijn op geëigende momenten in het project externe kwaliteitstoetsen uitgevoerd. Deze inzichten zijn verwerkt in het uiteindelijke ontwerp van de voorziening. Om het draagvlak te houden bij alle partijen en om te borgen dat er gedurende de invoering van het pseudoniem haalbare keuzes worden gemaakt, vindt de invoeringsfase onder publiek-private regie plaats. Tot slot is mijn chief information officer (CIO) betrokken bij het project om ervoor te zorgen dat de belangrijkste risico’s in het oog blijven en op de juiste manier belegd worden in de projectbeheersing.

De leden van de D66-fractie vragen of het alleen op de school bekend is welk pseudoniem bij welke leerling hoort en hoe die lijst beschermd wordt.

Dat is inderdaad het geval. In het leerlingadministratiesysteem van de school, en nergens anders, wordt de relatie gelegd tussen leerling en pseudoniem. Er is dus geen centrale lijst met codes en leerlingen buiten de invloedsfeer van scholen, ook niet in de nummervoorziening. De beveiligingseisen die aan het leerlingadministratiesysteem worden gesteld liggen vast in het contract met de school. Voor de opslag van het pseudoniem geldt een aanvullende beveiligingseis.

De leden van de D66-fractie vragen hoe voorkomen wordt dat het pseudoniem alsnog tot individuele leerlingen te herleiden is.

De wijze van pseudonimisering is hierin van belang. Het pseudoniem wordt niet één op één afgeleid van het persoonsgebonden nummer, maar wordt samengesteld uit een combinatie van gegevens (meervoudige basis). Ook wordt het pseudoniem in de systemen van leveranciers apart van de andere persoonsgegevens opgeslagen, waardoor het risico op ongewenste herkenning van leerlingen geminimaliseerd wordt.