Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 3 juli 2015

Leerlingen en ouders moeten er altijd op kunnen rekenen dat er zorgvuldig omgegaan wordt met de privacy van leerlingen. Juist in deze tijd waar er in het onderwijs steeds meer gebruik gemaakt wordt van digitale leermiddelen, is het van het grootste belang dat het delen van persoonsgegevens tot het absolute minimum wordt beperkt. Scholen zetten steeds vaker ict en digitale leermiddelen in. Hiermee creëren zij een eigentijdse leeromgeving, waardoor zij beter in staat zijn om onderwijs op maat voor iedere leerling te bieden. Ik stimuleer dat en juich die kansen voor verbetering van de kwaliteit van het onderwijs toe, maar we mogen onze ogen niet sluiten voor de bijbehorende risico’s. Leerlingen hebben recht op een veilige digitale leeromgeving waarin een zorgvuldige omgang met persoonsgegevens vanzelfsprekend is.

Tegen deze achtergrond sprak ik op 21 januari 2015 met uw Kamer over privacy in het onderwijs (Handelingen II 2014/15, nr. 44, item 9). Tijdens dit overleg heb ik aangegeven welke uitgangspunten voor mij belangrijk zijn: (1) de scholen en niet de leveranciers voeren de regie over de persoonsgegevens, (2) dataminimalisatie is daarbij een leidend principe en (3) ouders dienen goed geïnformeerd te worden.1 Ook heb ik aangegeven dat de privacy van leerlingen mijn grootst mogelijke aandacht heeft en dat er een aantal activiteiten in gang gezet is die bijdragen aan het verbeteren van de bewustwording én de ontzorging van scholen op dit onderwerp. Want dat is hard nodig. Op al deze aspecten zijn en worden flinke stappen gezet.

Zo is recent binnen het Doorbraakproject Onderwijs en ICT het convenant «Digitale Onderwijsmiddelen en Privacy – Leermiddelen en Toetsen» afgesloten, met een bijbehorende modelbewerkersovereenkomst. Beide stukken bied ik u met deze brief aan2. Daarnaast zijn er stappen gezet om de pseudonimisering van leerlinggegevens mogelijk te maken. Ik meld u in deze brief de laatste stand van zaken, waarmee ik inga op de motie van het lid Rog.3 Ook het onderwerp privacy by design waar de motie van het lid Van Meenen c.s. voor pleit komt daarbij aan de orde.4 Ik heb onderzoek laten uitvoeren naar het gebruik van standaarden en informatiebeveiliging in alle onderwijssectoren. Zoals toegezegd in mijn brief van 3 december 20145 over privacy en digitaal leermateriaal, bied ik u hierbij de resultaten van dit onderzoek aan6. Tot slot zal ik ingaan op het toezicht op de zorgvuldige omgang van persoonsgegevens naar aanleiding van de motie van het lid Ypma c.s.7

Convenant: scholen voeren de regie

De afgelopen maanden hebben de PO-Raad, de VO-raad, de Groep Educatieve Uitgeverijen (GEU), de Vereniging Digitale Onderwijs Dienstverleners (vDOD) en de leden van de sectie Educatief van de Koninklijke Boekverkopersbond gewerkt aan het convenant «Digitale Onderwijsmiddelen en Privacy – Leermiddelen en Toetsen». Deze partijen dekken op dit moment gezamenlijk zo’n 95 procent van de markt van leermiddelen en leerlinginformatiesystemen.

Het convenant regelt onder meer dat de scholen, en niet de aanbieders van digitale onderwijsmiddelen, de regie hebben op wat er gebeurt met de gegevens die worden verwerkt bij het gebruik van digitale onderwijsmiddelen. Ook is in het convenant opgenomen dat scholen, onder meer op basis van gegevens van aanbieders, ouders en leerlingen informeren over het gebruik van persoonsgegevens en hoe ouders en leerlingen gebruik kunnen maken van hun rechten zoals inzage en correctie. Het convenant concretiseert hiermee de naleving van de verplichtingen van scholen en hun leveranciers die uit de Wet bescherming persoonsgegevens (Wbp) voortvloeien.

Het convenant gaat vergezeld van een modelbewerkersovereenkomst die door scholen en leveranciers gebruikt kan worden bij het afsluiten van contracten. De uitgangspunten van deze modelbewerkersovereenkomst sluiten aan bij de bepalingen in het convenant, de Wbp en de uitgangspunten zoals het College Bescherming Persoonsgegevens (CBP) deze in richtsnoeren en uitspraken heeft aangegeven. De modelbewerkersovereenkomst eist van de leveranciers een passende beveiliging van gegevens, zodat dit juridisch afdwingbaar wordt. Als de leverancier en de school gebruik maken van de modelbewerkersovereenkomst, dan worden de afspraken uit het convenant automatisch onderschreven.

Scholen worden door de modelbewerkersovereenkomst maximaal ontzorgd bij het aangaan van contracten. Door de brede dekking die de ondertekenaars hebben, zullen de uitgangspunten van het convenant straks in de praktijk de norm zijn. De school is en blijft altijd zelf verantwoordelijk voor het afsluiten van deugdelijke contracten. Het convenant en de modelbewerkersovereenkomst ondersteunen hierbij, maar een school kan ook zonder modelovereenkomst, zelf, binnen de kaders van wet, de juiste afspraken maken met leveranciers. En het CBP houdt hier toezicht op.

De convenantspartijen bewaken de bepalingen uit het convenant en passen deze aan aan gewijzigde regelgeving en technische ontwikkelingen. Zij richten een structureel publiek-privaat platform in. In dit zogeheten ketenplatform zal verder worden gewerkt aan het concretiseren van wettelijke verplichtingen. Onderdeel hiervan zijn ook afspraken over het monitoren van de toepassing van de modelbewerkersovereenkomst. In antwoord op de eerder genoemde motie van het lid Van Meenen c.s., worden in dit ketenplatform afspraken gemaakt over hoe privacy by design wordt vormgegeven bij de ontwikkeling van digitale onderwijsmiddelen.

Ik ben nauw betrokken geweest bij de totstandkoming van het convenant, omdat ik het van groot belang vind dat de privacy van leerlingen geborgd is en scholen worden ontzorgd. Ik heb het convenant informeel besproken met het CBP, de Landelijke Ouderraad (nu Ouders & Onderwijs) en de Kinderombudsman. Hun opmerkingen zijn naar tevredenheid meegenomen in de definitieve versie. Inmiddels hebben de algemene ledenvergaderingen van de PO-Raad en de VO-raad het convenant met brede instemming aangenomen.

De modelbewerkersovereenkomsten zullen in de loop van het komend schooljaar, bijvoorbeeld bij het afsluiten van nieuwe contracten, gebruikt gaan worden door scholen en aanbieders. Alle partijen zullen dit zo snel als mogelijk gaan doen. Het is belangrijk dat de scholen goed worden geïnformeerd over wat zij kunnen verwachten. Dit zullen de sectorraden en de aanbieders samen oppakken.

Het convenant en de modelbewerkersovereenkomst zijn samen een goede eerste stap in het vastleggen van de verschillende taken en verantwoordelijkheden van partijen. Ik wil nog een stap verder gaan om met behulp van pseudonimisering ook daadwerkelijk in de praktijk de bestaande uitwisseling van het aantal persoonsgegevens tussen scholen en aanbieders terug te dringen. De scholen zijn daarmee beter dan voorheen in staat om goede afspraken te maken en daarbij zo min mogelijk persoonsgegevens uit te wisselen.

Pseudonimiseren: dataminimalisatie

Digitale leermiddelen verzamelen, gebruiken en rapporteren data over leerlingen. Daardoor wordt maatwerk mogelijk: materiaal dat is toegesneden op en zich aanpast aan de leerling en zijn vorderingen. Met de voordelen van meer data ontstaan ook de risico's voor privacy. De leerling, leraar en school moeten meer inzicht krijgen in de ontwikkeling van een specifieke leerling, maar specifieke resultaten van een persoon gaan andere partijen niets aan. We zoeken in turbulente en innovatieve ontwikkelingen naar een werkbare situatie binnen de kaders van de privacy. Het pseudonimiseren van leerlinggegevens is een goede methode om dit te doen. Pseudonimiseren houdt in dat een leerling een versleuteld nummer krijgt (een pseudoniem) dat voor elk gebruik in de digitale leermiddelenketen hetzelfde is.

Momenteel ontbreekt het aan deze eenduidige identiteit waardoor verschillende organisaties op hun eigen manier de identiteit van leerlingen vaststellen en verwerken. Een voorbeeld: in de huidige situatie wisselen scholen, distributeurs en uitgevers direct tot de persoon herleidbare gegevens uit zoals voornaam, achternaam, geboortedatum, emailadres en geslacht. Scholen, distributeurs en uitgevers wisselen deze gegevens nu uit om duidelijk te maken welke leerlingen bij welk leermateriaal moeten kunnen en dat de licenties daarvoor betaald zijn. Met de komst van het pseudoniem vervalt de noodzaak om persoonsgegevens uit te wisselen voor het aanschaffen en het toegang krijgen tot leermiddelen.

Op het moment dat leerlingen de leermiddelen gebruiken is van belang dat leraren weten welke resultaten van welke leerling zijn. De leraar werkt, net als de leerlingen, in de digitale omgeving van de uitgever. De school heeft geen eigen systemen, maar gebruikt voor alle doeleinden pakketten van leveranciers. Daarom is het goed mogelijk dat de school ervoor kiest om naast het pseudoniem (het versleutelde nummer) een extra gegeven te gebruiken, dat dan ook bekend is bij de uitgever, zodat leraren wel de leerresultaten aan leerlingen kunnen koppelen. Het is de verantwoordelijkheid van de school om de keuze te maken welke gegevens hiervoor gebruikt worden. U kunt het vergelijken met de keuze van een gebruikersnaam: die is aan de leerling en/of de school en ook bekend bij de aanbieder van het leermiddel.

Dat er op beperkte schaal persoonsgegevens uitgewisseld blijven worden tussen de school en aanbieders is ook aan de orde geweest tijdens de hoorzitting die uw Kamer op 22 april organiseerde met onder andere het CBP en de Groep Educatieve Uitgeverijen. De uitwisseling van deze gegevens gebeurt dan wel binnen het regime van het convenant en de bewerkersovereenkomst, waarbij de school de regie heeft en de ouders en leerlingen goed geïnformeerd worden door de school. Op deze manier ondersteun ik scholen maximaal bij het realiseren van dataminimalisatie, maar laat ik de regie bij de scholen en treed ik niet in de eigen verantwoordelijkheid die scholen hebben op basis van de Wbp bij het verwerken van persoonsgegevens.

Vergeleken met de huidige situatie, waarin uitgevers beschikken over de bovengenoemde set aan direct tot de persoon herleidbare gegevens, is de nieuwe situatie een grote stap voorwaarts. De facto zullen alle grote leveranciers in het onderwijs het gebruik van het pseudoniem ondersteunen en daarmee zullen bijna alle scholen het pseudoniem gebruiken. Het risico dat er gegevens op straat belanden door hackers of beveiligingslekken valt nooit volledig uit te sluiten, maar mocht zo’n incident zich inderdaad voordoen in de praktijk dan zal er een onbruikbare lijst van pseudoniemen en gebruikersnamen openbaar worden waar niemand iets mee kan.

Met de partners in het Doorbraakproject Onderwijs en ICT (de PO-Raad, VO-raad en het Ministerie van EZ), zorg ik ervoor dat het pseudoniem door scholen gebruikt kan worden in de leermiddelenketen. Dat pseudoniem moet er wat mij betreft zo snel mogelijk komen. Tegelijkertijd streef ik naar een toekomstvaste, uniforme standaardoplossing voor de sectoren po, vo en mbo. De betrokkenheid van veel partijen en systemen vergt een invoeringsproces waarin zorgvuldigheid en kwaliteit voor mij net zo belangrijk zijn als snelheid. Alle partijen moeten procedures en systemen aanpassen en testen. En het moet in één keer goed gaan: als leerlingen en leraren niet bij het materiaal kunnen, hebben scholen en leerlingen een groot probleem.

In de afgelopen maanden is door Kennisnet gewerkt aan het functionele ontwerp van de nummervoorziening die het pseudoniem moet genereren. Dit ontwerp is extern getoetst op kwaliteit, haalbaarheid en juridische gronden en informeel besproken met het CBP. Er heeft ook afstemming plaatsgevonden met tientallen partijen die hun systemen moeten gaan aanpassen. Een dergelijke nummervoorziening vind ik een goed voorbeeld van privacy by design, waarvan de motie Van Meenen c.s. het belang terecht aangeeft.

Momenteel laat ik een privacy impact assessment (PIA) uitvoeren, waarin gekeken wordt naar de proportionaliteit en de risico’s van de gegevensverwerking tussen scholen en leveranciers en de gewenste beheersmaatregelen. Mede op basis van de PIA wordt er een definitieve keuze gemaakt voor de inrichting van de nummervoorziening. Ik overweeg sterk om het pseudoniem te voorzien van een wettelijke basis, zodat er een goed doordachte, transparante, door uw Kamer gedragen systematiek voor een zorgvuldige uitwisseling van persoonsgegevens ontstaat. Ik informeer u hierover en over de precieze planning van de bouw, testfase en invoering per sector na het zomerreces en kom dan ook terug op de motie van het lid Jasper van Dijk over het vernietigen van de persoonsgegevens na pseudonimisering.8

Standaarden en beveiliging in het po, vo, mbo en ho

In de brief «privacy en digitaal leermateriaal» van 3 december 2014 heb ik uw Kamer toegezegd om het onderzoeksrapport «standaarden en beveiliging in het po, vo, mbo en ho» aan te bieden aan uw Kamer.9

Het onderzoek is uitgevoerd in de periode november 2014–januari 2015. Onderzocht zijn de bekendheid met en de toepassing van relevante standaarden, zowel onder scholen (besturen en instellingen) als onder leveranciers in alle onderwijssectoren. Kennis en toepassing van deze standaarden bevorderen een zorgvuldiger omgang, gebruik, uitwisseling en betere beveiliging van gegevens. Het onderzoek bevestigt het beeld dat het merendeel van de onderwijsorganisaties het belang van standaarden en sectorbrede voorzieningen onderkent. In het mbo en het hoger onderwijs loopt een omvangrijk traject voor het versterken van privacy- en informatiebeleid van de instellingen. Op basis van sectorbrede risico-analyses worden maatregelen genomen. Tevens is een systematiek van continue verbetering neergezet waarin instellingen van elkaar leren. Hierbij wordt bijvoorbeeld samengewerkt in de concretisering van abstracte toetsingskaders zoals de ISO-normen voor informatiebeveiliging, naar producten die in de praktijk voor onderwijsinstellingen hanteerbaar zijn. In toenemende mate vindt sectoroverstijgende kennisdeling richting de po- en vo-sector plaats.

In het primair en voortgezet onderwijs blijft de bekendheid met de (juridische) eisen, de standaarden en de voorzieningen bij scholen achter. Dit hangt deels samen met het grote aantal kleine organisaties in deze sectoren, waarbij er aanzienlijke verschillen zijn tussen scholen in de manier waarop de verantwoordelijkheid en expertise zijn belegd. Het gebrek aan bewustzijn van scholen op deze thematiek baart mij zorgen. Voor de duidelijkheid: dit gebrek aan bewustzijn betekent niet automatisch dat er persoonsgegevens op straat belanden. Maar de school dient wel in staat te zijn om zijn verantwoordelijkheid op basis van de wet na te komen. Die verantwoordelijkheid kan en wil ik niet overnemen. Wat ik wel kan doen, in samenwerking met de sectorraden, is het werken aan goede ondersteuning voor scholen. Want ik begrijp best dat het vooral voor de kleinere scholen ingewikkelde materie is die specifieke kennis vereist.

Het onderzoek bevestigt het beeld dat ik in januari met uw Kamer heb gedeeld. Het bevestigt voor mij ook het belang van de ingezette activiteiten waarin scholen ontzorgd worden en in staat gesteld worden om hun verantwoordelijkheid te nemen, onder andere met de genoemde modelbewerkersovereneenkomst. Ik ben in gesprek met de PO-Raad en de VO-raad over verdere mogelijkheden om bewustwording op scholen te vergroten en over mogelijke interventies om gericht de achterblijvers te ondersteunen. De PO-Raad en de VO-raad hebben ook aangegeven privacy van het grootste belang te vinden. Zij zullen hier blijvend aandacht aan besteden. Zo willen zij scholen verder ondersteunen door een helpdesk te organiseren, praktische handreikingen te verspreiden en een modelprivacyreglement voor scholen te ontwikkelen. Ook zetten zij in op het leren van de goede praktijken uit het middelbaar beroepsonderwijs en hoger onderwijs en deze te vertalen naar praktische instrumenten voor scholen in het primair en voortgezet onderwijs. Ik ondersteun dit van harte. Met deze hulp is het nu zaak dat scholen ook gaan handelen.

Ik zal nauw betrokken zijn bij de implementatie van de voorgestelde maatregelen en volgen of ze het beoogde effect sorteren. In de sectoren po en vo zal ik medio 2016 de monitor naar het bewustzijn en de aanwezigheid en de werking van overeenkomsten herhalen. De voortgang in de sectoren mbo en ho zal de Minister volgen op basis van de rapportages van de sectororganisaties. In deze sectoren bestaat een goed beeld van de stand van zaken op instellingsniveau.

Toezicht

In het convenant is vastgelegd dat er afspraken gemaakt worden over het te realiseren niveau van informatiebeveiliging, waaronder de beveiligingsnormen, de beveiligingsaudits, de toegang tot de persoonsgegevens en de afhandeling van incidenten. Het eerder genoemde ketenplatform heeft daar een belangrijke rol in. Ik zal erop toezien dat er tevens een goede structuur komt voor monitoring van en controle op de naleving van de afspraken.

Naar aanleiding van de motie van het lid Ypma c.s. over de verbetering van het toezicht op de leerlinggegevens, kan ik u melden dat het CBP en de Inspectie van het Onderwijs afspraken aan het voorbereiden zijn over de onderlinge afstemming van toezichtactiviteiten.10 Hierbij gaat het met name om het delen met het CBP van meldingen en andere signalen ten aanzien van mogelijke privacyschendingen die bij de Inspectie van het Onderwijs bekend zijn en om hoe inspecteurs in het veld vermoedens van privacyschending gaan behandelen. Momenteel worden de juridische basis, het mogelijk effect en de uitvoeringsconsequenties daarvan in kaart gebracht.

Daarnaast zullen CBP en de Inspectie van het Onderwijs hun samenwerking intensiveren door informatie uit te wisselen over voorgenomen schoolonderzoeken, door samen te werken in thematisch onderzoek en door toezichtstrategieën op elkaar af te stemmen. Hierover wordt u nader geïnformeerd.

Vervolg

Er zijn in de afgelopen periode flinke stappen gezet. In lijn met de door uw Kamer aangenomen moties zijn er een gedegen convenant en bewerkersovereenkomst opgesteld die samen een goede basis leggen voor een zorgvuldige omgang met persoonsgegevens. Scholen zijn voor een belangrijk deel ontzorgd in hun relatie met hun leveranciers. De verantwoordelijkheid voor privacy en informatiebeveiliging kan echter niet geheel worden afgedekt door middel van goede contracten met leveranciers en sectorbrede monitoring. Scholen zullen zich in de dagelijkse omgang met persoonsgegevens bewust moeten zijn van de risico’s en de belangrijkste maatregelen zodat zij hun verantwoordelijkheid op een goede manier kunnen invullen. De sectorraden en partijen als Kennisnet ondersteunen hen daarbij. Zo organiseert Kennisnet in september van dit jaar weer een maand van de privacy en zullen de sectorraden het thema blijvend onder de aandacht brengen.

Het gebruik van data gaat een steeds grotere rol spelen in het onderwijs en dat juich ik toe want ik zie de potentie van moderne leermiddelen. De ontwikkelingen in de techniek gaan snel, en ook de (Europese) privacywetgeving is in beweging. Privacy en informatiebeveiliging blijven daarom voortdurend aandacht van schoolbesturen en hun leveranciers vragen. Samen met de sectorraden zal ik mij hard blijven maken om privacy en informatiebeveiliging op een hoger niveau te brengen.

Mede namens de Minister van Onderwijs, Cultuur en Wetenschap, De Staatssecretaris van Onderwijs, Cultuur en Wetenschap, S. Dekker