Handeling
Datum publicatie | Organisatie | Vergaderjaar | Vergadernummer | Datum vergadering |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2014-2015 | nr. 44, item 9 |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Vergaderjaar | Vergadernummer | Datum vergadering |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2014-2015 | nr. 44, item 9 |
Aan de orde is het debat over privacy in het onderwijs.
De voorzitter:
Ik heet de staatssecretaris van Onderwijs, Cultuur en Wetenschap van harte welkom, net als de andere aanwezigen in de zaal, de mensen op de publieke tribune en de mensen die op een andere manier dit debat volgen. We voeren een meerderheidsdebat met vier minuten spreektijd per fractie. Zes leden hebben zich ingeschreven. We proberen het regime te voeren van twee interrupties per keer. De eerste spreker is tevens de aanvrager van het debat, de heer Van Meenen.
De heer Van Meenen (D66):
Voorzitter. De aanleiding voor dit debat was de ophef die is ontstaan rondom het verkenningsonderzoek van PricewaterhouseCoopers over de vraag hoe scholen en uitgeverijen omgaan met de privacy van leerlingen. Hieruit kwam het zorgelijke beeld naar voren dat scholen onzorgvuldig zouden omgaan met de privacy van leerlingen. Privacy en beveiligingsmaatregelen worden slechts op basis van gezond verstand toegepast en er worden veel te veel gegevens verzameld. Het is onduidelijk wat uitgeverijen en leveranciers met die gegevens doen en met wie ze gedeeld worden, terwijl er wel een commercieel belang is om de gegevens door te spelen aan derden. Al met al is het een zorgelijke situatie, zeker gezien het feit dat de digitalisering de komende jaren steeds verder zal gaan. Scholen zullen meer en meer digitale leer- en hulpmiddelen gebruiken. Dat biedt kansen voor maatwerk, maar kent ook bepaalde risico's. Het genereren, opslaan, analyseren en koppelen van gegevens zal steeds gemakkelijker worden, waardoor de privacy van leerlingen steeds meer onder druk komt te staan. Kinderen moeten de mogelijkheid hebben om zich vrij te ontwikkelen zonder in een bepaald risicoprofiel geduwd te worden. Daarom is het goed om hierover met elkaar te spreken en tot een aantal uitgangspunten te komen over de wijze waarop we met de privacy van leerlingen omgaan.
De staatssecretaris kijkt vooral naar de scholen. Die zouden verantwoordelijk zijn voor de privacy van de leerlingen. Hij wil de verhoudingen tussen scholen en leveranciers verduidelijken. Daarmee zou het probleem opgelost zijn. Volgens D66 zijn scholen echter niet als enige verantwoordelijk voor de privacy van hun leerlingen. Uit het onderzoek van PricewaterhouseCoopers blijkt dat de markt voor leerlingvolgsystemen en digitale leermiddelen in handen is van een klein aantal leveranciers. Daardoor kunnen scholen niet genoeg tegenwicht bieden en eisen stellen aan de privacy en beveiliging. Hoe kijkt de staatssecretaris tegen de macht van de leveranciers aan, in het kader van zijn pleidooi voor het verduidelijken van de verhoudingen tussen scholen en leveranciers? D66 vindt dat de verantwoordelijkheid voor de privacy deels ook bij de leveranciers ligt en wil daarom dat de principes "privacy by design" en "security by design" leidend zijn in het gehele traject van ontwikkeling en implementatie van alle soorten ICT-systemen in het onderwijs, waaronder leerlingvolgsystemen en digitale leermiddelen. Op die manier wordt vanaf de ontwerpfase over privacy en veiligheid van de ICT nagedacht. Is de staatssecretaris bereid om ervoor te zorgen dat dit de leidende principes worden in het convenant dat in maart wordt gesloten?
Hetzelfde geldt voor de transparantie voor ouders. Scholen kunnen deze niet alleen realiseren, ook leveranciers spelen hierin een rol. Het moet voor ouders volstrekt duidelijk zijn welke gegevens worden opgeslagen, voor hoe lang, wie inzage heeft en met wie ze gedeeld worden. D66 vindt bovendien dat ouders invloed moeten hebben op de gegevens die over hun kind verzameld worden. Kan de staatssecretaris aangeven of en hoe ouders betrokken zijn bij de totstandkoming van het convenant en of hij bereid is hen medezeggenschap te geven, bijvoorbeeld door instemmingsrecht op het privacyreglement?
De uitkomsten van het verkennend onderzoek van PricewaterhouseCoopers zijn alarmerend en vereisen directe actie. Desalniettemin is het een verkennend onderzoek en zijn de conclusies die getrokken kunnen worden, beperkt. Daarom is het van groot belang om een grondig en volledig beeld te krijgen van de wijze waarop scholen, leveranciers en uitgeverijen met de privacy omgaan en of de risico's van misbruik van gegevens, waarvoor PricewaterhouseCoopers waarschuwt, werkelijkheid zijn geworden. Is de staatssecretaris van plan hier nader onderzoek naar te laten doen? In 2014 organiseerde Kennisnet een privacythemamaand. Zal dit in 2015 ook het geval zijn?
Ik sluit af. Er zijn nog veel meer risico's. Ik wijs op het hacken van Magister, dat recentelijk schijnt te hebben plaatsgevonden. ICT biedt kansen, maar heeft ook risico's. Simpelweg zeggen dat scholen verantwoordelijk zijn, is niet genoeg. Privacy en security by design moeten de leidende principes zijn bij de ontwikkeling en implementatie van ICT in het onderwijs.
De voorzitter:
On the dot, heel goed.
De heer Van Meenen (D66):
Nul seconden over, echt een man van de klok.
De voorzitter:
Dank u voor uw bijdrage. Dan geef ik nu het woord aan de heer Beertema van de PVV.
De heer Beertema (PVV):
Voorzitter. Op 25 november 2014 berichtte RTL over het doorgeven van persoonsgegevens van basisschoolleerlingen aan leveranciers en ontwikkelaars van digitaal lesmateriaal. We hebben ook het rapport van PricewaterhouseCoopers gezien dat in opdracht van het ministerie is gemaakt. Het rapport is niet actief en direct gedeeld met de Kamer, maar sinds september staat het wel op de website van de rijksoverheid. In het rapport worden een aantal risico's genoemd, zoals te weinig kennis bij scholen en het onvermogen om tegenwicht te bieden tegen de uitgeverijen. De heer Van Meenen heeft die net gememoreerd.
Het optimaal borgen van leerlinggegevens heeft natuurlijk veel aandacht gekregen. Dat is terecht. De sector hecht zelf ook grote waarde aan de privacy van leerlingen. Daarbij staat voorop dat scholen verantwoordelijk zijn voor de zorgvuldige verwerking van leerlinggegevens, met borging van de privacy van die leerlingen. D66 ziet een gevaar voor pseudonimisering, voor authenticatie en voor autorisatie van gegevens die verkeerd gebruikt kunnen worden, bijvoorbeeld voor sociaalwetenschappelijk onderzoek. Voor de PVV staat centraal dat het thema "privacy" breder is dan alleen het misbruik van gegevens. Instanties zoals Jeugdzorg maken bijvoorbeeld ook nuttig gebruik van digitale informatie.
Onze insteek is de volgende. Laat het voorlopig, althans zolang er niet direct misbruik van persoonsgegevens in het onderwijs wordt gesignaleerd. Laat het over aan het veld. Het gaat niet om individuele scholen, het gaat om het veld. Het is overigens niet mijn middenveld, ik ben er niet zo'n grote vriend van — het is al heel drukbevolkt — maar dat veld zou zelf in staat moeten zijn om dit probleem te adresseren. Laten we ons als Tweede Kamer eventjes op afstand zetten en ons beperken tot de hoofdlijnen.
Er gebeurt namelijk al heel veel. In 2013 zijn de VO-raad, de PO-Raad en de ministeries van OCW en EZ gestart met het Doorbraakproject Onderwijs & ICT. Het doel daarvan is dat scholen in 2017 beter in staat zijn, om te gaan met ICT en digitaal lesmateriaal. Dat digitale lesmateriaal is heel belangrijk. Dat is echt een vernieuwing. Om die ambities waar te maken wordt in de publiek-private wereld gezocht naar samenwerking op die thema's, zoals digitale leermiddelen en toegankelijkheid.
Een van de thema's is privacy. Dat wordt concreet uitgewerkt in het convenant over privacy dat naar verwachting in maart van dit jaar gereed zal zijn. Het uitgangspunt hierbij is dat scholen de regie houden over de gegevens en de verstrekking daarvan aan andere partijen. Het is belangrijk dat schoolbestuurders zich bewust zijn van die rol, zodat ze de juiste overeenkomsten kunnen afsluiten, afspraken kunnen maken en belanghebbenden, zoals ouders, goed kunnen informeren.
Er wordt nu ook geïnformeerd bij andere partijen over het belang van het borgen van privacy en de digitale veiligheid van gegevens, onder meer door speciale bijeenkomsten. Kennisnet is net al genoemd, maar het gaat ook om de ondertekenaars van het privacyconvenant, ouderorganisaties en scholen. Er worden instrumenten gemaakt, zoals modelcontracten en checklists voor scholen en docenten. Ik vind het veel en ik vind het goed. Laten we dat inbedden en ons als Tweede Kamer niet direct met micropolitiek bemoeien.
De PVV is van oordeel dat de sector hier zelf het beste raad mee weet. Doe onderzoek en stel vervolgens een convenant voor privacy op. Tackel het probleem. In dit convenant kunnen alle partijen inzicht geven in de wijze waarop ze in de toekomst op verantwoorde wijze met deze gegevens kunnen omgaan. Is de staatssecretaris dit met ons eens? Ik krijg hierop graag een reactie. Het lid Van Meenen pleit ervoor om IT meer te promoten en in te zetten in het onderwijs. Dan moeten we de ontwikkeling daarvan ook een beetje ruimte durven gunnen. Anders wordt het allemaal in de kiem gesmoord.
Voorzitter, ik probeerde op nul seconden uit te komen, maar het is net niet gelukt.
De voorzitter:
De heer Van Meenen gaat ervoor zorgen dat u nog even mag blijven staan, want hij heeft een vraag voor u.
De heer Van Meenen (D66):
De heer Beertema weet me altijd weer te verrassen. Hier spreekt de man die tot op elk uur nauwkeurig wil weten hoeveel lessen er gegeven worden in de school; dat moeten we vooral niet vrijlaten, stel je voor. Maar nu het gaat om de bescherming van privacy van leerlingen moeten we het eigenlijk allemaal maar zo laten. Welke Beertema hebben we hier voor ons staan? Is dat de man die de afgelopen jaren besteed heeft aan het volproppen van de scholen met allerlei regels, voorschriften, toetsen en noem het allemaal maar op? Of schuilt er in de heer Beertema toch ook ergens een soort hippie?
De heer Beertema (PVV):
Spreekt hier "Dr. Jekyll" Beertema of "Mr. Hyde" Beertema, daar lijkt de vraag op. Ik vraag me dat altijd af bij senator De Graaf van D66 met wie we te maken hebben.
Het is niet zo dat wij zeggen: laat het maar over aan de goden want dan komt het vanzelf wel goed. Ik heb net gememoreerd wat er allemaal al gebeurt. In de brief staat dat er vele acties lopen: het verkennend onderzoek van PricewaterhouseCoopers, het convenant en model bewerkersovereenkomst, de pseudonimisering, Basispoort, het Samenwerkingsplatform Informatie Onderwijs, de monitor standaarden, de themamaand over privacy, het sectorakkoord voor het primair onderwijs. Ook heeft de rol van toezicht de aandacht. Ik zou willen zeggen: hallo, dat is allemaal nogal wat. Ik heb al gezegd dat ik geen groot vriend van het middenveld ben. Dit is ook mijn staatssecretaris niet, maar hij doet genoeg. Er is niet zo heel veel aan de hand. Ik heb gewerkt met die gedigitaliseerde lesmethodes. Daarvoor moeten de gegevens van leerlingen opgehoest worden, want op die manier kun je vooruitgang meten. Je kunt zo van alles meten; dat is geweldig, het is hartstikke mooi. Een moderniseerder als de heer Van Meenen zou daar zijn hart voor moeten openstellen en moeten zeggen: het heeft genoeg aandacht, laten we het even inbedden en de Tweede Kamer gaat pas acteren op het moment dat het echt nodig is. Dat is nu niet het geval.
De heer Van Meenen (D66):
De woorden van de heer Beertema zijn me in zijn algemeenheid uit het hart gegrepen. Ik zal ze ook bij gelegenheid nog eens aanhalen bij andere debatten. Maar nu gaat het om het volgende. Er gebeurt heel veel, en de vraag is of de Kamer daar nog iets aan wil toevoegen. Ik heb twee dingen genoemd. Ten eerste moeten we bekijken of ouders invloed kunnen hebben op het privacyreglement dat een school dient te hebben, met name via instemmingsrecht. Ten tweede vragen we om privacy by design. Dat zeg ik vooral omdat ik vind — ik hoop dat de heer Beertema dat met mij eens is — dat scholen geen ICT-bedrijven moeten worden en dat we de verantwoordelijkheid moeten leggen waar die het beste uitgeoefend kan worden.
De heer Beertema (PVV):
Dat laatste ben ik van harte met de heer Van Meenen eens. Wat het eerste betreft, zeg ik nogmaals: verdere maatregelen op deze hele berg maatregelen die de staatssecretaris en het veld zelf al hebben genomen vind ik prematuur, zonde van de tijd en te veel regeldrift, dus niet doen.
Mag ik de elf seconden spreektijd die ik overheb meenemen naar een volgende keer, voorzitter?
De voorzitter:
Helaas, we doen niet aan dat soort emissiehandel in tijd. Ik geef het woord aan de heer Rog van het CDA.
De heer Rog (CDA):
Voorzitter. Kinderen zijn bijzondere burgers in onze samenleving. Zij verdienen de hulp en de bescherming van volwassenen: van ouders, van de school en ook van de overheid. Eind vorig jaar bracht RTL Nieuws naar buiten dat persoonlijke gegevens van leerlingen via Basispoort werden doorgesluisd naar de educatieve uitgeverijen. Volgens de staatssecretaris is er eigenlijk helemaal geen probleem. Deze wat laconieke houding van de staatssecretaris doet geen recht aan de kwetsbare positie die leerlingen hebben. Er was namelijk veel maatschappelijke onrust bij ouders, die niet wisten dat persoonlijke gegevens van hun kroost bij commerciële partijen terechtkwamen. En er was onduidelijkheid bij scholen, die in de veronderstelling leefden dat zij gegevens van leerlingen beschikbaar moesten stellen om hun educatieve software draaiende te houden. Het CDA begrijpt heel goed dat bijvoorbeeld bij een overdrachtsgesprek tussen basisschool en voortgezet onderwijs persoonlijke gegevens van kinderen worden gedeeld. Dat is dan ook onmiskenbaar in het belang van dat kind en de uitvoering van de onderwijstaak. Maar wat is er eigenlijk de noodzaak van om gegevens van leerlingen te verzamelen en door te geven aan uitgeverijen? Waarom zijn deze gegevens niet vanaf het prille begin geanonimiseerd of gepseudonimiseerd? Het CDA ziet net als de Kinderombudsman wel degelijk een taak voor de staatssecretaris om het recht op privacy van kinderen te beschermen.
De staatssecretaris was in maart 2014 al gewaarschuwd door een alarmerend rapport van PwC over privacy en beveiliging. Dat rapport heeft een halfjaar in een bureaula op het ministerie stof liggen happen, terwijl actie geboden was. PwC concludeert na onderzoek onder vier scholen dat zij onvoldoende tegenwicht kunnen bieden aan leveranciers en niet in staat zijn eisen te stellen aan privacy en beveiliging. PwC concludeert verder dat er risico's zijn bij Basispoort. Het is onduidelijk welke gegevens precies worden verzameld, door wie en voor welke doeleinden. Bovendien is er het risico dat niet aan de Wet bescherming persoonsgegevens wordt voldaan. Me dunkt dat als je deze conclusies leest, alle alarmbellen moeten afgaan. De staatssecretaris kan dan toch niet volhouden dat hij dit rapport niet met de Kamer hoefde te delen? Het zou de staatssecretaris sieren als hij hier vandaag ruiterlijk erkent dat hij een fout heeft gemaakt door dit rapport niet onverwijld naar de Kamer te sturen en een fout heeft gemaakt door geen actie te ondernemen.
De staatssecretaris meldt nu dat er vele acties lopen. Er is een streven om in maart 2015 een convenant te sluiten tussen scholen en uitgevers. Scholen kunnen straks eisen dat uitgeverijen zo'n convenant ook naleven en na de zomer volgt er een heuse test met pseudonimisering. Het CDA vraagt de staatssecretaris om nú concreet te worden en zijn verantwoordelijkheid te nemen. Kunnen scholen nu weigeren om leerlinggegevens te verstrekken zonder dat ze uit de digitale leeromgeving worden gezet?
Ik heb nog een zestal vragen en suggesties waarop ik graag een reactie hoor omdat het mogelijk maatregelen zijn die kunnen helpen. Kan de staatssecretaris ervoor zorgen dat zo spoedig mogelijk geborgd is dat leerlinggegevens alleen geanonimiseerd of gepseudonimiseerd aan uitgeverijen worden verstrekt? Kan hij er ook voor zorgen dat leerlinggegevens alleen nog aan derden worden verstrekt na de expliciete toestemming van ouders? Kan hij het College bescherming persoonsgegevens laten onderzoeken of gebruik van persoonsgegevens strijdig is met privacywetgeving of kinderrechten? Is hij bereid leveranciers zich te laten verantwoorden aan scholen over het feit dat zij voldoen aan de Wbp? Is hij bereid te bevorderen dat de reeds verstrekte gegevens worden vernietigd en de Kamer daarover te informeren? Is de staatssecretaris ook bereid om de ouderorganisaties te betrekken bij een privacyprotocol?
De heer Jasper van Dijk (SP):
Voorzitter. "Via een truc zijn commerciële partijen met medeweten van de staatssecretaris in bezit gekomen van gegevens van honderdduizenden leerlingen. De gegevens zijn waarschijnlijk niet beschermd. Ze zijn verhandelbaar en ze zijn te koppelen met andere bestanden." Aldus Werner van Katwijk van OUDERS VAN WAARDE. Eind vorig jaar werden we opgeschrikt door een flinke reeks nalatigheden van de staatssecretaris. Gegevens van leerlingen zijn in handen van commerciële uitgevers. Een kritisch rapport bleef maandenlang onder tafel. Er was zelfs een lek in de website waar die gegevens zich bevinden. De staatssecretaris doet weinig. Hij vindt dat dit alles prima kan. Daar wordt heel anders over gedacht. Zo wijst OUDERS VAN WAARDE op een richtlijn van het Europees Parlement, waarin staat dat een betrokkene expliciet toestemming moet geven om gegevens te verstrekken. Ook zou de praktijk in strijd zijn met het kinderrechtenverdrag en met de Wet medezeggenschap scholen. Bovendien staat in de Wet bescherming persoonsgegevens dat het verstrekken van dit soort gegevens alleen kan als dit noodzakelijk is. Graag een reactie op die verschillende kritiekpunten.
Het gaat vooral om de vraag wat wij nu eigenlijk wenselijk vinden. Kinderen kunnen zichzelf niet beschermen. Zij moeten dus beschermd worden. Als een echte liberaal leunt de staatssecretaris achterover en stelt hij dat uitgeverijen en scholen het maar moeten oplossen. Hij komt met flyers en een papieren convenant en werkt aan de anonimisering van gegevens. De gegevens zijn op dit moment echter nog niet anoniem en dus onbeschermd. Hoe naïef is deze opstelling! Volgens de staatssecretaris geven uitgeverijen aan dat zij gegevens niet doorverkopen. De uitgeverijen hebben echter een belang: ze willen winst maken. Deze gegevens zijn business. Ga even mee met de tijd, staatssecretaris, informatie is geld waard.
De staatssecretaris wist dit al heel lang want het onderwerp speelt al vanaf juni 2013. De uitgeverijen dwongen scholen toen min of meer om alle gegevens aan te leveren. De staatssecretaris greep destijds niet in en doet dat nog steeds niet. Een groter brevet van onvermogen is nauwelijks denkbaar.
En dan is er het gerommel met het rapport van PricewaterhouseCoopers over de risico's. Het rapport lag april vorig jaar al op het ministerie, maar werd in september pas openbaar. In schriftelijke vragen hebben wij gevraagd hoe dat zit. We hebben aan de staatssecretaris gevraagd: had u dat rapport in april al in handen? De staatssecretaris heeft daarop geantwoord: "Mijn ambtenaren beschikten sinds april over het rapport." "Mijn ambtenaren", dat kan niet! De staatssecretaris spreekt namens zichzelf. Als zijn ambtenaren over het rapport beschikken, dan beschikt hij erover. Wat vindt de staatssecretaris zelf van dit antwoord? Het is niet parlementair verantwoord. De hamvraag is: waarom maakte hij het rapport niet al in april openbaar? Daar moet het om gaan. De problemen waren bekend. Daarom zou zo'n rapport juist aanleiding moeten zijn om aan de bel te trekken en om de Kamer te informeren. Ik krijg daar graag een reactie op.
Wat kan de staatssecretaris doen om de zaak te herstellen? Hij moet zorgen voor beter onafhankelijk toezicht op privacygegevens. Een publieke instantie als het College bescherming persoonsgegevens moet veel actiever gaan controleren of de regels niet worden geschonden. Hij moet zorgen voor de anonimisering van de gegevens. Kan dit sneller dan in de zomer van 2015? De staatssecretaris moet onderzoeken of er geen doorverkoop van leerlinggegevens heeft plaatsgevonden. Hij moet voorkomen dat commerciële partijen kunnen beschikken over leerlinggegevens zonder de expliciete toestemming van ouders. Hij moet ervoor zorgen dat scholen kunnen weigeren om mee te doen aan zo'n project.
We hebben nu een onwenselijke situatie: commerciële partijen beschikken over gevoelige informatie. Gaat de staatssecretaris ervoor zorgen dat deze gegevens vernietigd worden zodat we zeker weten dat de informatie niet misbruikt kan worden? Ik krijg daar graag een reactie op.
Mevrouw Straus (VVD):
Voorzitter. Het gebruik van digitale leermiddelen is niet meer weg te denken uit het eigentijdse onderwijs. ICT hoort bij onze moderne maatschappij. Zij geeft het onderwijs ook nieuwe mogelijkheden. Door gebruik te maken van ICT kan het onderwijs veel beter inspelen op de individuele leerbehoefte van leerlingen. Het sluit daardoor beter aan op talenten van leerlingen en geeft leraren inzicht in de wijze waarop zij op de leervragen van hun leerlingen kunnen inspelen.
Digitaal leren biedt dus enorme kansen voor het onderwijs, maar er kleven ook risico's aan. De individuele leerlinggegevens worden meer dan voorheen inzichtelijk gemaakt, wellicht ook voor degenen die geen rol hebben in het leertraject van de leerling. Met de leerlinggegevens moet dan ook zorgvuldig worden omgegaan. De VVD-fractie hecht groot belang aan de privacy van leerlingen. Zij vindt het ook cruciaal dat bij ICT-methoden altijd de school — het liefst de ouders, maar zeker geen derden — eigenaar is van de leerlinggegevens. Dat betekent in onze ogen dat gegevens van individuele leerlingen niet in handen van derden mogen komen zonder toestemming van ouders, zoals dat nu ook gemeengoed is in het omgaan met foto's van leerlingen. In hoeverre kan in het onderwijs de afspraak gemaakt worden dat ouders uitdrukkelijk worden geïnformeerd en hun toestemming wordt gevraagd als individuele leerlingengegevens buiten de school gaan?
De eerstverantwoordelijke voor deze leerlinggegevens is en blijft de school. Het College bescherming persoonsgegevens geeft aan dat scholen zeggenschap moeten houden over de gegevens van hun leerlingen en dat zij moeten weten wat daarmee gebeurt. De school is daarmee dus verantwoordelijk voor de privacy van zijn leerlinggegevens. Tijdens het rondetafelgesprek over dit onderwerp dat vlak voor het kerstreces plaatsvond, bleek echter dat de kennis en expertise op dit punt bij scholen vaak tekortschieten, terwijl deze expertise wel in de sector aanwezig is. Dat is bijvoorbeeld het geval bij Kennisnet, de stichting die informatie en tools biedt op het gebied van privacy en internet in scholen, zoals de privacyscan. Wat kan de staatssecretaris doen om deze expertise beter bij scholen onder de aandacht te brengen? Vindt hij dat zo'n privacyscan onderdeel zou moeten zijn van de visie op en de besluitvorming over digitaliseren in een school?
Wat de VVD betreft, zijn ook de PO-Raad en de VO-raad bij dit onderwerp nadrukkelijk in beeld. De schaal van veel scholen is te klein om expertise in huis te organiseren. De raden zouden scholen kunnen ontzorgen. Zij zouden bijvoorbeeld modelcontracten kunnen opstellen die scholen vervolgens kunnen gebruiken bij de keuze van een leverancier. En als een leverancier dan niet met dit contract uit de voeten kan, kan de school beter voor een andere leverancier kiezen.
In het Doorbraakproject Onderwijs & ICT wordt gewerkt aan een convenant met strenge afspraken waar leveranciers zich aan moeten houden. Ook het toezicht op de naleving van het convenant wordt naar verwachting een onderdeel daarvan. Hoe ziet de staatssecretaris dit toezicht? Zou het College bescherming persoonsgegevens hier bijvoorbeeld een rol in kunnen krijgen?
Ons onderwijs digitaliseert en dat is goed, maar er kleven dus wel risico's aan. Dit moeten we onderkennen. Wat de VVD betreft, gaat de staatssecretaris samen met het onderwijs een extra inspanning leveren om op korte termijn de bekendheid van scholen met de beschikbare expertise in het veld te verbeteren. Ik noem voorts het aanjagen van het zo veel mogelijk ontzorgen van die scholen door de raden met bijvoorbeeld modelcontracten in de sector. Er moet echter ook snel aan de slag worden gegaan met de realisering van die strenge afspraken in het convenant. Als wij dit doen, stellen wij de scholen in staat om hun verantwoordelijkheid op dit terrein te nemen en kunnen ouders erop vertrouwen dat hun kinderen goed, maar ook veilig eigentijds onderwijs volgen.
De heer Jasper van Dijk (SP):
Mevrouw Straus zegt dat je privacygevoelige informatie nooit zou mogen weggeven zonder toestemming van de ouders. Helaas moeten wij constateren dat dit wel is gebeurd. Hoe kwalificeert mevrouw Straus die gang van zaken? Erkent zij dat de staatssecretaris daar eigenlijk veel meer bovenop had moeten zitten?
Mevrouw Straus (VVD):
De staatssecretaris heeft ons in mei een brief gestuurd over digitaliseren in het onderwijs. Een paragraaf in die brief is gewijd aan de privacy van leerlingen. Volgens mij laat dit zien dat de staatssecretaris wel degelijk onderkent dat dit onderwerp in het onderwijs geadresseerd moet worden.
De heer Jasper van Dijk (SP):
Ja. De staatssecretaris had ook een rapport — excuses, zijn ambtenaren hadden een rapport — waarin stond dat dit fout ging. Dat kreeg de Kamer pas een paar maanden later te horen omdat het op een website was geplaatst. Ik vind dit nogal onverschillig. Graag hoor ik van mevrouw Straus wat zij daarvan vindt. De vraag is nu: hoe nu verder? Mevrouw Straus zegt dat er geen gegevens meer mogen worden weggegeven zonder toestemming van de ouders. De uitgevers hebben echter al gegevens van leerlingen, op naam. Deelt mevrouw Straus mijn mening dat die gegevens vernietigd moeten worden?
Mevrouw Straus (VVD):
In ieder geval vind ik dat dit niet moet kunnen in het onderwijs. Als je informatie ter beschikking stelt voor bijvoorbeeld de ontwikkeling van een lesmethode, wat ik mij op zich wel kan voorstellen, moet je ervoor zorgen dat deze niet te herleiden is naar de individuele leerling. Dat is mijn punt. Individuele leerlinggegevens zouden alleen buiten de school mogen worden gebruikt als de ouders daar toestemming voor geven.
De heer Rog (CDA):
Mevrouw Straus zegt dat ook de VVD aandacht wil hebben voor de privacy van leerlingen en risico's wil uitsluiten. Als zij staatssecretaris zou zijn en zij een rapport zou krijgen waarin staat er grote risico's zijn rond de Wet bescherming persoonsgegevens en dat onduidelijk is of aan die wet voldaan wordt, zou zij dat rapport dan onverwijld naar de Kamer sturen en actie ondernemen? Of zou zij die informatie geschikt vinden om een halfjaar in een bureaula te leggen?
Mevrouw Straus (VVD):
Naar mijn beoordeling heeft de staatssecretaris dat rapport wél gebruikt, namelijk om ons in de voornoemde brief van mei te informeren over het feit dat privacy rond leerlinggegevens in het onderwijs een onderwerp is dat hij wil oppakken. Dat is voor mij het punt. Als hij die prioriteit er niet aan had gegeven en er in de brief geen verwijzing had gestaan naar de privacy rond gegevens van leerlingen, zouden wij inderdaad de minister kunnen vragen of hij niets vergeten is. Dit is immers een heel belangrijk onderwerp. De staatssecretaris heeft het echter geadresseerd in de brief van mei. Er was bij mij dus geen reden om eraan te twijfelen dat hij serieus met dit onderwerp aan de slag was.
De heer Rog (CDA):
Ik heb niet het gevoel dat op dat moment de noodzakelijke actie is ondernomen. Ik ben blij dat mevrouw Straus nu in elk geval zegt dat er actie ondernomen moet worden.
Ik ga nog even terug naar het punt van de gegevens die verwerkt zijn. Is mevrouw Straus het met mij eens dat scholen zo snel mogelijk de zekerheid moeten hebben dat zij de leerlinggegevens niet meer hoeven te sturen naar commerciële partijen? Is zij het eens met het CDA dat de gegevens die inmiddels in handen van derden zijn, daar niet thuishoren en dus vernietigd moeten worden?
Mevrouw Straus (VVD):
Ik vind het belangrijk dat de gegevens die bij derden zijn in elk geval geanonimiseerd worden. Op dit punt zouden wij een inspanning moeten leveren. Misschien kan de heer Rog nog even het eerste deel van zijn vraag herhalen, want dat is mij ontschoten.
De heer Rog (CDA):
Het gaat mij om twee dingen. Nu wordt de zekerheid aan scholen geboden dat zij de desbetreffende gegevens niet meer hoeven te verstrekken. Achter het verstrekken van die gegevens zitten allemaal goede bedoelingen, maar die zijn materieel nog niet zodanig dat ouders en scholen zeker weten dat zij dit niet meer hoeven te doen, of dat het niet meer gebeurt.
Mevrouw Straus (VVD):
Precies. Een van de dingen die ik in mijn betoog gevraagd heb, is het regelen van modelcontracten voor scholen. Zij kunnen die gebruiken bij de inkoop van digitale leermiddelen. In die modelcontracten moet ook wat mij betreft klip-en-klaar staan aan welke voorwaarden ICT-methodes zouden moeten voldoen. Wat mij betreft zou een school zich dus moeten afvragen of zij nog wel zaken wil doen met een leverancier die zich niet aan dergelijke afspraken zou willen houden. Dus ik zou als school nu in gesprek gaan met die leverancier, tegen wie ik zou zeggen: onder deze leveringsvoorwaarden wil ik zaken met je blijven doen, maar wanneer je daar niet aan tegemoet wilt of kunt komen, ga ik naar een ander.
Mevrouw Ypma (PvdA):
Voorzitter. Mijn kinderen komen wekelijks thuis met verschillende papieren schrijf-, lees- en rekenboekjes maar de ontwikkeling van digitale middelen en ICT in de klas gaat heel snel. Dat is een goed teken, want daardoor halen wij het maximale uit ieder kind.
Adaptief lesmateriaal zorgt ervoor dat kinderen die het nog niet zo goed begrijpen wat extra oefeningen krijgen en daagt de kinderen uit die al wat verder zijn. Zo halen we in het eigen tempo van ieder kind het maximale uit dat kind. Dit brengt echter ook nieuwe vragen met zich mee, vragen over veiligheid en privacy. Want de privacy van kinderen moet altijd gewaarborgd zijn.
Gegevens over onze kinderen mogen niet, of zeker niet, zonder toestemming en goede afspraken bij commerciële partijen terechtkomen. Wij zijn dan ook geschrokken van het PwC-rapport. Wij zijn geschrokken over de manier waarop wordt omgegaan met de informatie over onze kinderen en wij zijn geschrokken door de laconieke houding van de staatssecretaris.
De PvdA heeft moeite met de laisser faire-reactie van de staatssecretaris, die stelt: laten marktpartijen hier maar zelf hun verantwoordelijkheid nemen. Wij vinden dat een politieke inschattingsfout. Het is ook aan de overheid om haar rol te pakken. Kinderen zijn kwetsbaar. Zij hebben de hulp en bescherming van ouders, de school en de Staat nodig als hun rechten worden geschonden.
Artikel 16 van het Verdrag inzake de rechten van het kind gaat over privacy. Wij horen graag van de staatssecretaris of hij er zeker van is dat dit recht niet wordt geschonden.
Privacy van kinderen is geen onderwerp waarover je een beetje water bij de wijn doet. Dat zeg ik via u, voorzitter, tegen de staatssecretaris. Het is daarom belangrijk om er goed over na te denken hoe wij de privacy van leerlingen garanderen. Het mag niet zo zijn dat uitgeverijen misbruik maken van gegevens die alleen bedoeld zijn voor docenten. De gegevens mogen niet herleidbaar zijn naar kinderen. Commerciële partijen hebben geen recht op de gegevens van onze kinderen. Daarom willen wij dat alle gegevens over kinderen worden gepseudonimiseerd en dat de staatssecretaris hieraan hoge prioriteit geeft en snelheid maakt. Het liefst is het wat ons betreft per morgen geregeld. Wij moeten vaart maken. Dit gebeurt al in het voortgezet onderwijs, dus het kan ook in het primair onderwijs. Wanneer is dit nu precies geregeld en kan dat niet sneller, kan het niet per morgen worden geregeld? Ouders moeten er zeker van kunnen zijn dat er geen misbruik wordt gemaakt van de gegevens van hun kinderen voor commerciële doeleinden. PwC concludeert dat dit nog wel kan gebeuren. Dat kan niet en dat mag niet.
Heeft de staatssecretaris naast de marktpartijen ook scholen, ouders en medezeggenschapsraden geraadpleegd om hierover te praten en tot oplossingen te komen, of de ouderorganisaties? Wat de PvdA betreft, moet ondubbelzinnig door ouders en in tweede instantie door scholen het recht worden verleend om privacygevoelige gegevens over te dragen. Het is noodzakelijk dat ouders en ook scholen weten waar zij mee instemmen en dat zij duidelijk weten wat de gevolgen zijn van het delen van gegevens van hun kinderen. Het moet voor ouders en ook voor scholen duidelijk zijn waaronder zij hun handtekening zetten, want als jaren later de gegevens kunnen worden gekoppeld en ineens weer naar boven komen, waar ligt dan de grens? Waarom hebben de uitgevers niet direct de gegevens geanonimiseerd? Kan de staatssecretaris dit toelichten? Welke overweging ligt hieraan ten grondslag?
Gegevens buiten de school brengen gaat in tegen de Wet bescherming persoonsgegevens wanneer dit geen onderwijsdoeleinden dient. Ik heb daarom twee vragen. Het is hier duidelijk misgegaan. Wat gaat het CBP nu anders doen waardoor dit nooit meer kan voorkomen? En heeft het CBP nu genoeg tanden om hierin in te grijpen? Het CBP kan wel toetsen of het gebruik voldoet aan de wet maar kan vervolgens niks, dus moet er niet worden samengewerkt tussen het CBP enerzijds en de Inspectie van het Onderwijs anderzijds, waardoor we een onafhankelijke toezichthouder hebben die hierop toezicht houdt? Ik zie dat ik door mijn tijd heen ben.
De heer Jasper van Dijk (SP):
Laconiek, laisser faire, een politieke inschattingsfout: dat zijn zware woorden. Ik deel ze echter wel. Ook ik vind dat er niet goed is opgetreden als het gaat om dit dossier in het algemeen. De gegevens hadden nooit zomaar aan de bedrijven verstrekt mogen worden. We moeten daar nu zo gauw mogelijk verbetering in aanbrengen. Wat vindt mevrouw Ypma van het feit dat een alarmerend rapport hierover in april blijkbaar alleen door ambtenaren is gezien, en niet met de Kamer is gedeeld? Had dat niet ook met de Kamer gedeeld moeten worden?
Mevrouw Ypma (PvdA):
Ja, dat had met de Kamer gedeeld moeten worden. Dat heb ik al eerder een politieke inschattingsfout genoemd, ook in de media. De privacy van onze kinderen is zo verschrikkelijk belangrijk dat daarbij direct de alarmbellen hadden moeten afgaan, als ik de heer Rog mag citeren, en dat deze informatie direct met de Kamer gedeeld had moeten worden. De staatssecretaris heeft echter niet niks gedaan. Ten eerste heeft hij het rapport publiekelijk bekendgemaakt. Ten tweede heeft hij een brief aan de Tweede Kamer gestuurd waar wel een zinnetje over de privacy in stond. Het ligt dus ergens ook aan ons. Wij hadden dat misschien kunnen vinden. Ik vind dat er naar aanleiding van dit rapport te weinig actie is ondernomen, en dat dit misschien iets actiever aan ons gemeld had kunnen worden. Dat heb ik een politieke inschattingsfout genoemd.
De heer Jasper van Dijk (SP):
Volgens mij zijn twee zaken van belang om deze zaak in de toekomst te verbeteren. Ten eerste moet het toezicht beter, zoals mevrouw Ypma zelf al zegt. Zij laat het echter bij de vraag of het College bescherming persoonsgegevens beter toezicht kan houden. Wat wil zij zelf precies? Eist zij dit, of vraagt zij het alleen? Ten tweede vraag ik haar wat zij ervan vindt dat de uitgevers nu persoonsgegevens van leerlingen hebben. Moeten die niet zo snel mogelijk vernietigd worden, zeker als de zaak geanonimiseerd is?
Mevrouw Ypma (PvdA):
Ik heb al gezegd dat ik vind dat er sneller aan oplossingen gewerkt moet worden, liefst per morgen. Ik heb gezegd dat dit per morgen geregeld moet zijn. Ik heb die vraag bij de staatssecretaris neergelegd en wacht op het antwoord. Daarnaast heb ik gevraagd of het CBP genoeg tanden heeft om hier in te zetten. Het kan dit wel constateren, maar wat kan het vervolgens doen?
In de eerste ronde vraag ik iets en eis ik nog niks. Ik heb gevraagd of het niet nuttiger zou zijn als het CBP met de inspectie gaat samenwerken om ook door te zetten als dit gebeurt. Als dit geconstateerd wordt, kan het doorzetten richting scholen en verantwoordelijkheden nemen. Ik ben er dus geen voorstander van dat de markt in de lead is. Laat ik dat nadrukkelijk zeggen. Het mag geen commerciële partij zijn die informatie over onze kinderen heeft. Misschien moet het juist wel een onafhankelijke publieke instelling zijn, die transparant is en die toeziet op een goede en zorgvuldige omgang met gegevens van onze kinderen. Ook die vraag leg ik graag bij de staatssecretaris neer.
De voorzitter:
Daarmee is er een einde gekomen aan de eerste termijn van de zijde van de Kamer. De staatssecretaris heeft aangegeven dat hij zich even wil voorbereiden op de beantwoording. Ik schors de vergadering voor tien minuten.
De vergadering wordt van 15.12 uur tot 15.25 uur geschorst.
Staatssecretaris Dekker:
Voorzitter. Ook in een ander kader is in de Kamer wel eens aan de orde geweest dat de school een veilige plek moet zijn. Dat geldt in dit geval eigenlijk ook. Je kunt alleen maar goed leren op een school als je daar met een gerust hart naartoe gaat. Kinderen en ouders moeten zich op hun school veilig voelen. Ouders moeten daarvoor het vertrouwen hebben dat hun kinderen en de gegevens over hun kinderen op een zorgvuldige manier worden behandeld. Ik vind die zorgvuldige omgang met persoonsgegevens dan ook enorm belangrijk: de privacy van leerlingen mag niet ter discussie staan.
In eerste termijn vroegen sommigen in hun inbreng: "Neemt de staatssecretaris het wel serieus genoeg? Is hij niet te laconiek?" Laat ik dat misverstand maar meteen wegnemen. Het is volstrekt onacceptabel dat er persoonsgegevens uitgewisseld worden tussen een school en welke andere organisatie dan ook als dat niet strikt noodzakelijk is om goed onderwijs te geven. Daar mag geen misverstand over bestaan. Ik voel mij en ben als staatssecretaris verantwoordelijk voor het stelsel als geheel, voor alles wat bij goed onderwijs komt kijken. In de privacywetgeving is vastgelegd dat de school verantwoordelijk is voor de omgang met gegevens van individuele kinderen. Die basis is in wetgeving belegd. Ook daar moeten we helder over zijn, want het is belangrijk dat scholen zich daarvan bewust zijn.
Ik ondersteun scholen en sectorraden bij hun omgang met deze problematiek. Ik spreek ze ook aan als dat nodig is. In die zin kun je zeggen dat er een gezamenlijke verantwoordelijkheid is om het te laten slagen. Individuele scholen zijn verantwoordelijkheid voor het materiaal dat wordt afgenomen en de uitwisseling van specifieke gegevens. De onderwijssector draagt hiervoor ook verantwoordelijkheid. Dat zeg ik tegen de heer Beertema, want ik ben dat helemaal met hem eens. De sector moet actie ondernemen om dingen beter te organiseren en om een vuist te maken tegen de grote partijen in de uitgeverij. Maar er ligt wel degelijk ook een verantwoordelijkheid voor mij. Het is een soort partnerschap, waarbij de partners verschillende activiteiten ondernemen. Het meest concrete voorbeeld daarvan is het Doorbraakproject Onderwijs & ICT dat in het regeerakkoord is aangekondigd. Heel veel concrete acties en maatregelen vinden in die context plaats.
De voorzitter:
Mevrouw Ypma, ik zie dat u wilt interrumperen. Ik twijfel of ik dat toesta, want de staatssecretaris is nog bezig met zijn inleiding. Ik stel voor dat hij zijn inleiding afmaakt en dat ik u daarna in de gelegenheid stel om vragen te stellen.
Staatssecretaris Dekker:
Voorzitter. Wij verwachten van onze scholen dat zij eigentijds en goed onderwijs geven. Scholen innoveren en gebruiken steeds vaker nieuwe digitale middelen. Vanochtend bezocht ik toevallig een school in Bergen op Zoom. Ik merkte in de gesprekken met de leraren daar dat zij enthousiast zijn over adaptieve leermiddelen als Rekentuin en Taalzee. Daaraan hebben ze veel, want ze kunnen daardoor de vorderingen beter, sneller en meer individueel volgen. Maar leerlingen vinden het ook heel erg leuk. Zij gaan er graag en enthousiast mee aan de slag. Een van de leraren op die basisschool zei tegen mij: "Dan geef ik ze huiswerk mee om vier opdrachten te doen en dan komen ze de volgende dag terug en hebben ze er acht gedaan." Met andere woorden: het gebruik van ICT in de school kan zowel voor leraren als leerlingen heel motiverend werken.
In zo'n situatie is het nodig dat een leerling kan inloggen in specifieke programma's. Deze programma's draaien namelijk op grote servers bij de uitgeverijen; die servers staan niet binnen de muren van de school. Daarvoor is het nodig en soms wenselijk dat een beperkte set met leerlinggegevens wordt uitgewisseld. Ik zeg daar nog een keer heel nadrukkelijk bij: uiteraard met de nodige waarborgen omkleed. De gegevens die gebruikt worden, gaan op basis van need to know en niet op basis van nice to know van scholen naar aanbieders van digitaal leermateriaal. Dat noemen we dataminimalisatie; alleen strikt noodzakelijke gegevens, niet meer.
De voorzitter:
Sommige inleidingen zijn soms net zo lang als de hele inbreng. Is dit zo ongeveer waar uw algemene verhaal eindigt?
Staatssecretaris Dekker:
Nee.
De voorzitter:
Dan ga ik wel interrupties toestaan. Als een inleiding langer dan vijf minuten duurt, dan lijkt mij dat wel verstandig.
Mevrouw Ypma (PvdA):
De PvdA is van mening dat gegevens van kinderen buiten de school nooit herleidbaar moeten zijn tot het kind. De staatssecretaris geeft aan dat gegevens alleen buiten de school mogen komen als dat strikt noodzakelijk is voor het onderwijs. De vraag is natuurlijk: wie bepaalt dat dan? Mag een commerciële partij bepalen dat het noodzakelijk is voor het onderwijs, of zijn het de ouders die daarvoor toestemming mogen geven en is het de school die om toestemming vraagt?
Staatssecretaris Dekker:
De school moet de afweging maken. De school heeft de beschikking over de gegevens en de school besluit of zij die gegevens al dan niet doorgeeft. Wettelijk gezien is het ook de taak van de school, niet van de uitgeverijen, om die afweging te maken. Als uitgeverijen te veel vragen, kunnen scholen daar nee tegen zeggen. Sterker nog, als uitgeverijen dingen doen met die gegevens die zij niet mogen doen, dan is er een toezichthoudende instantie, het College bescherming persoonsgegevens, die daarop toeziet en kan ingrijpen als dat nodig is.
Mevrouw Ypma (PvdA):
De staatssecretaris zegt dat de school de afweging moet maken, maar ouders moeten hier toch toestemming voor geven? Als de school een afweging heeft gemaakt, wie houdt daar dan toezicht op? Het CPB heeft dan toch gefaald? Moet de inspectie niet meekijken?
Staatssecretaris Dekker:
Ik zal straks uitvoerig ingaan op de juridische basis. Dit zijn allemaal vragen naar waar de verantwoordelijkheid ligt en hoe zich dat tot ouders verhoudt. Welke informatie mag je wel of niet doorgeven en heb je daarvoor toestemming nodig van ouders op individueel kindniveau? Mag ik met permissie daar straks wat uitvoeriger op ingaan? Na mijn inleiding kom ik hier in het eerste blokje op terug.
De heer Van Meenen (D66):
De staatssecretaris had het over nice to know en need to know, maar de vraag is: wie bepaalt wat nice en wat need is? In mijn overtuiging zijn het de uitgevers die dat bepalen.
Staatssecretaris Dekker:
Dat ben ik niet met de heer Van Meenen eens. Ik vind dat de scholen daarin een veel krachtiger stem zouden moeten hebben. Zij moeten nadenken welke gegevens zij willen afgeven. Zijn de gegevens die eventueel gevraagd worden echt noodzakelijk om een goed onderwijsproces in te richten? Dat is precies waar op dit moment de discussies over gaan. Een daarvan is — ook hier zal ik straks uitvoerig op terugkomen — het gevoel bij scholen en bij ons dat het goed zou zijn om je, bovenop wat er nu van de wet moet, af te vragen of je die inloggegevens zou kunnen "pseudonimiseren". Bij anonimiseren zijn ze niet meer terug te leiden tot het kind en kan ook een leraar er niets meer mee. Maar kan dat niet op een manier waarop het voor de buitenwereld niet helder aan wie rekenresultaten of taalresultaten of toetsen of spelletjes worden gelinkt, maar dat dat alleen maar herleidbaar is voor de docenten? Die discussie loopt op de scholen.
De heer Van Meenen (D66):
Die discussie loopt, dat weten we allemaal. De uitgeverijen hebben met zo'n programma als Basispoort een monopoliepositie gecreëerd. Zij bepalen wat er gevraagd wordt, want anders kan je niet meedoen. Dat was de essentie van de rapportage destijds: scholen voelen zich met de rug tegen de muur gezet; dit is de voorwaarde waaronder je mee kunt doen en anders moet je je kinderen die mogelijkheid onthouden. Dat is de positie waarin scholen en ouders zich bevinden. Ik vraag de staatssecretaris dus nog een keer: wie bepaalt dit nu?
Staatssecretaris Dekker:
Daarin ligt ook echt een grote rol voor scholen. Niemand dwingt een school om iets af te nemen bij een uitgeverij of om deel te nemen aan Basispoort. Uit de gesprekken die wij voeren met individuele scholen blijkt echter dat zij het gevoel hebben dat zij met de rug tegen de muur staan. Zij zijn op zich best tevreden met bepaalde leermiddelen, maar vragen zich ook af: wil ik onder deze voorwaarden hieraan deelnemen? Wat dan nodig is, is dat ook in het onderwijs meer georganiseerd wordt, dat er ook een tegenkracht georganiseerd wordt tegen deze uitgeverijen. Als de scholen in gezamenlijkheid zeggen tegen grote uitgeverijen "alles leuk en aardig, maar onder deze voorwaarden kopen wij niet bij u in", dan worden zij tenminste serieus genomen door die uitgeverijen. Dat proces komt maar langzaam op gang en om die reden zijn wij met de PO-Raad en de VO-raad bezig om de tegenkracht van scholen veel beter te organiseren.
De heer Rog (CDA):
Volgens mij zijn wij halverwege de inleiding van de staatssecretaris al bij de kern van de situatie gekomen. Meent de staatssecretaris niet dat hij zelf een verantwoordelijkheid heeft om kinderen te beschermen? Als scholen in hun positie ten opzichte van uitgeverijen onvoldoende tegenwicht kunnen bieden, dan is het nog altijd de verantwoordelijkheid van de overheid om kinderen te beschermen en te stellen: die gegevens worden alleen gepseudonimiseerd verstrekt of als expliciet toestemming is gegeven. Is de staatssecretaris dat met mij eens?
Staatssecretaris Dekker:
In de huidige wet- en regelgeving is wat er op dit moment gebeurt toegestaan. Het inloggen op eigen naam is niet strijdig met de regelgeving. Dat betekent niet dat het de meest wenselijke vorm is. Ik steun het onderwijs — sterker nog, ik vind het ook persoonlijk beter — in het kijken naar extra voorzorgsmaatregelen bovenop de wet- en regelgeving. Die moeten ouders en scholen meer waarborgen bieden. Pseudonimisering is een belangrijk onderdeel daarvan. Ik vind dat scholen dat vervolgens gewoon ook kunnen gaan eisen van uitgeverijen. Zij zeggen dan: wij willen best bij jullie afnemen, maar dan moeten jullie je systemen zodanig inrichten dat inloggen niet op eigen naam hoeft te gebeuren maar ook met een pseudoniem kan worden gedaan.
De heer Rog (CDA):
Ongetwijfeld gaat de staatssecretaris straks nog wat vertellen over die pseudonimisering en de termijnen. Hopelijk gaat hij ons daarover dan nog geruststellen. Mijn andere vraag is: is de staatssecretaris het met mij eens, na deze discussie en na dit maatschappelijke debat, dat het wel degelijk zo zou moeten zijn dat leerlinggegevens alleen na expliciete toestemming van ouders bij derden, buiten de school, terecht zouden mogen komen? Over dat pseudonimiseren komen we straks te spreken; het gaat mij nu even over dat tweede.
Staatssecretaris Dekker:
Met permissie, want het is echt een enorme trits: dat maakt onderdeel uit van wet- en regelgeving. In de privacy wet- en regelgeving zitten expliciete bepalingen over onderwijs. Die zitten er niet voor niets in. Die raken aan het thema dat de heer Rog aanhaalt. Ik zou daar straks wat uitvoeriger op terug willen komen. Ik doe dat eigenlijk langs drie lijnen. Ik zou eerst wat willen zeggen over de juridische basis en vervolgens over de rol van OCW en de acties die inmiddels in gang zijn gezet. Als derde ga ik heel expliciet in op de taak, positie en rol van ouders. Ik wil dat echter niet doen voordat ik een ander punt heb aangehaald. Ook hierbij wil ik iets rechtzetten. Dat gaat over het gevoel dat bij sommige leden van de Kamer bestaat, dat een rapport bewust is achtergehouden of maandenlang in een la heeft liggen verstoffen zonder dat daar iets mee is gebeurd. Dat is een beeld dat ik absoluut niet deel. Het belang van privacy en het verantwoord omgaan met de gegevens van kinderen staan hoog op onze agenda. Het is een expliciet onderwerp in het Doorbraakproject Onderwijs & ICT dat naar aanleiding van het regeerakkoord is gestart. Zo moet het rapport van PwC ook worden beschouwd. Mijn ambtenaren waren met de sectorraden en Kennisnet in gesprek over de privacy en daarbij kwamen allerlei indrukken naar voren als: wij denken dat het hier en daar nog niet helemaal goed loopt. Op een gegeven moment in de beleidsvoorbereiding hebben de ambtenaren tegen elkaar gezegd: zullen we de thermometer er eens in steken om te kijken of we nu alles scherp op het netvlies hebben? Zijn er wellicht nog dingen die we over het hoofd hebben gezien? Het beeld dat PwC gaf, sloot eigenlijk naadloos aan bij de vermoedens die er al waren. Er liggen geen gegevens van kinderen op straat, maar er zijn wel degelijk potentiële risico's. De aandacht, kunde en kennis bij scholen vragen om verbetering. Aan al deze thema's werkte mijn ministerie al. Het rapport onderschreef het belang er nog eens van en diepte ook een aantal van die onderdelen uit.
Heel veel van de dingen waar we straks over komen te spreken, als het gaat over de rol van mijn departement en de acties die wij ondernemen, waren al in gang gezet voor het verschijnen van dit rapport. We hebben die acties voortvarend voortgezet, ook nadat dit rapport in mijn bezit kwam en bekend was bij mijn ambtenaren. Dat is vooral ook gebeurd omdat het aansloot bij het beeld dat daar leefde.
We hebben dit rapport zelf actief naar buiten gebracht. Het is weliswaar geen rapport dat iets representatiefs zegt over het voltallige stelsel en het is ook niet zozeer een rapport waar door de Kamer naar is gevraagd. Het is een van de rapporten die een belangrijke rol spelen in de beleidsvoorbereiding, zoals er daarvan veel zijn. Ik vind dat eigenlijk wel goed. Een en ander is voortgekomen uit de motie-Voortman, waarin werd gevraagd om te kijken of er maximale transparantie gegeven kon worden en waarin werd verzocht om de interne en externe rapporten en voorbereidende notities die wellicht interessant en relevant zouden kunnen zijn, ook voor de buitenwereld, op een of andere manier te openbaren. Dat hebben we in september gedaan en dit rapport was daar een onderdeel van.
Mevrouw Ypma (PvdA):
Het is een compliment waard dat de staatssecretaris dit soort onderzoeken laat doen en zo'n rapport laat schrijven. Wat mij echter nog onduidelijk is, is wanneer de staatssecretaris zelf op de hoogte was van dit rapport. Ik hoor hem goed, want hij zegt iedere keer: toen mijn ambtenaren daarvan op de hoogte waren. Ik ben dus benieuwd wanneer de staatssecretaris zelf van dit rapport op de hoogte was.
Staatssecretaris Dekker:
Ik kwam daarvan op de hoogte en ik heb het rapport gelezen toen RTL daarmee naar buiten kwam. Het raakt ook aan de vraag van de heer Van Dijk over hoe het dan precies in de verhoudingen zit. Er zijn heel veel rapporten die mijn bureau niet bereiken. Tegelijkertijd heeft de heer Van Dijk helemaal gelijk dat ik, ook al heb ik die rapporten niet gelezen, er voor de volle 100% verantwoordelijk voor ben. Ik ben ook 100% verantwoordelijk voor alles wat mijn ambtenaren doen. Het is wel goed om aan de Kamer te laten zien dat er in de beleidsvoorbereiding rapporten worden gemaakt, dat die worden meegenomen, dat die niet allemaal het bureau van de staatssecretaris bereiken en dat die ook niet allemaal naar de Kamer gaan, maar dat die wel een rol kunnen spelen in die beleidsvoorbereiding. Dat is hoe het hier ook is gelopen.
Mevrouw Ypma (PvdA):
Het siert de staatssecretaris dat hij dat ook ruiterlijk toegeeft. Ik vind het wel een probleem dat een rapport over zo'n belangrijk onderwerp pas zo laat de staatssecretaris bereikt. En nogmaals, er is geen reden om water bij de wijn te doen als het gaat over de privacy van onze kinderen. Een en ander betekent wel dat de staatssecretaris het rapport vervolgens direct aan de Tweede Kamer heeft gestuurd. Ik wil hem daarvoor bedanken.
De heer Rog (CDA):
Het is goed dat om dit rapport is gevraagd en het is ook goed dat het is uitgebracht. Tot mijn spijt begrijp ik nu dat het rapport inderdaad een halfjaar in een la heeft gelegen. Dat baart me wel zorgen. Deelt de staatssecretaris mijn conclusie dat, gezien de aard van de risico's en de omvang van datgene wat in dit rapport beschreven is, het rapport achteraf gezien beter direct naar de Kamer had kunnen komen?
Staatssecretaris Dekker:
Ik verzet mij echt tegen het beeld dat de heer Rog schetst, als zou dit rapport een half jaar in de la hebben gelegen. Dat is gewoon pertinent niet juist. Dit rapport is uitvoerig besproken, met de PO-Raad, met de VO-raad, met de uitgeverijen, met alle betrokkenen in dat doorbraakproject ICT en onderwijs om te bekijken wat dit betekent. Het sluit ook aan bij de gevoelens die al leefden en de thema's die al waren opgepakt. Als dat het geval is, dan is de vraag of het niet juist een goede afweging is geweest — ik steun dat voor de volle 100% — om dan te zeggen: dit is een rapport dat het beeld bevestigt en we gaan gewoon keihard door met de dingen te doen die nodig zijn om die risico's te ondervangen. We gaan scholen ondersteunen met convenanten, met modelbewerkersovereenkomsten en met een traject waarbij het ook technisch mogelijk wordt om in de toekomst de gegevens van kinderen te pseudonimiseren.
De heer Rog (CDA):
Het is goed dat de staatssecretaris of, in dit geval, zijn ambtenaren initiatief nemen. Daar zijn de conclusies ook naar. Het is dus goed dat dat gebeurt. Mijn vraag aan de staatssecretaris was echter: bent u het met de kennis van nu en de conclusies die getrokken zijn in het rapport, met mij eens dat u dit rapport wel degelijk eerder naar de Kamer had moeten sturen? Dat is de vraag en het zou de staatssecretaris sieren als hij dat hier zou erkennen.
Staatssecretaris Dekker:
Ik ben dat niet met de heer Rog eens. Het gaat hier om een snelle steekproef en niet om een representatief beeld. Mijn ambtenaren hebben op dat moment gezegd: het sluit aan bij een aantal beelden dat we al hebben. U zou een punt hebben — ik zou dan ook boos geworden zijn en daar had ik dan ook de volle verantwoordelijkheid voor genomen — als er een kritisch rapport had gelegen waar vervolgens niets mee was gedaan. Ik ben echter steeds door mijn ambtenaren geïnformeerd over het feit dat er hard werd gewerkt aan een systeem waarbij gepseudonimiseerd werd, dat er gewerkt werd aan bewerkersovereenkomsten en dat privacy een heel pregnant en nadrukkelijk thema was in het Doorbraakproject Onderwijs & ICT. Ik vind dan ook dat er alleen maar goede keuzes en afwegingen zijn gemaakt.
De heer Jasper van Dijk (SP):
Ik zat vanochtend op de fiets en toen dacht ik: wat zou de staatssecretaris antwoorden op de vraag waarom dat rapport zes maanden in een la heeft gelegen en waarom het niet direct naar de Kamer is gestuurd? Toen bedacht ik het volgende antwoord: ach, mijnheer Van Dijk, er zijn zoveel rapporten waar mijn ambtenaren mee moeten werken; het is een steekproef; het is niet representatief. Et voilà, we krijgen het te horen. Maar er zit wel iets geks in. De staatssecretaris zegt terecht: dit is een groot probleem, er zijn risico's en de privacy van leerlingen is van groot belang, dus het is goed dat mijn ambtenaren ermee aan de slag zijn gegaan. Maar dan vergeet hij toch de parlementaire spelregels? Juist omdat het zo belangrijk is, is het toch niet zo moeilijk om nu te zeggen: ja, dat had in april naar de Kamer moeten gaan, want het is een groot probleem?
Staatssecretaris Dekker:
Ik ben dat niet met de heer Van Dijk eens. We hebben dit thema opgepakt, ook in het kader van het Doorbraakproject Onderwijs & ICT. Daar bent u eerder al bij andere gelegenheden over geïnformeerd. Ik vind het belangrijk dat we werk maken van de dingen die we hebben beschreven en die nodig zijn om een aantal van de risico's te ondervangen.
De heer Jasper van Dijk (SP):
Ik krijg een beetje een afgemeten antwoord: we zijn ermee aan de slag. Dat is het antwoord. Maar kijk naar de RTL-uitzendingen, kijk naar de onrust die is ontstaan onder ouders. Al die ouders zeggen: wij hadden nooit gewild dat die gegevens van mijn kind zomaar naar commerciële bedrijven zouden gegaan. En eigenlijk zegt de staatssecretaris dat hij dat begrijpt. Dan is het toch niet zo moeilijk om nu te erkennen: ja, dat is de afgelopen tijd niet goed gegaan en we gaan er nu alles aan doen om dat te verbeteren? Dat laatste heeft hij overigens al gezegd. Maar dat is de afgelopen tijd toch niet netjes gegaan? Durft de staatssecretaris dat te erkennen?
Staatssecretaris Dekker:
Ook met het beeld dat de heer Van Dijk schetst, ben ik het niet eens. Het beeld dat er heel veel is fout gegaan, of het beeld dat RTL schetst dat de gegevens van anderhalf miljoen kinderen op straat liggen: het is niet zo! Het rapport van PwC laat zien waar een aantal risico's zitten. Ik heb geen concrete signalen van misbruik van gegevens van kinderen. Ik vind wel dat er meer moet gebeuren met de bewustwording, maar dat wisten we daarvoor ook al. Daar heeft de hele berichtgeving van RTL, ironisch genoeg, aan bijgedragen, want ouders en scholen zijn zich er nu bewuster van. Ik vind dat het gesprek over de zorgvuldige en bewuste manier van omgaan met gegevensuitwisseling in een digitale context vaker op scholen gevoerd kan en moet worden.
De heer Van Meenen (D66):
Ik had mij voorgenomen om over dit punt niets meer te zeggen. Ik heb in het verleden al gezegd dat het rapport de Kamer laat bereikt heeft. Dat heb ik ook gedaan bij de aanvraag van dit debat. Ik constateer echter dat de staatssecretaris een beetje dubbele houding aanneemt. Hij zegt dat het een beperkt rapport was en dat er vervolgens allerlei actie op ondernomen is. Hij zou kwaad geworden zijn als er niets gedaan werd. Met de PO-Raad, de VO-raad, de uitgevers en met iedereen is het gesprek aangegaan, terwijl de staatssecretaris van niets wist. Het enige wat hij wist was dat men bezig was met privacy. Dat is een goede zaak! Ik zie het als volgt. Er komt een brisant rapport uit waarin staat dat er grote problemen zijn. Ambtenaren gaan aan het werk en gaan met allerlei vertegenwoordigers spreken. Dan is het toch vrij bijzonder dat zowel de staatssecretaris als de Kamer niet wisten dat dit de oorzaak was van intensieve gesprekken met al die vertegenwoordigende organen?
Staatssecretaris Dekker:
Ik denk dat de volgordelijkheid belangrijk is. De genoemde acties zijn niet gestart nadat het rapport er lag. Het Doorbraakproject Onderwijs & ICT is kort na de start van dit kabinet begonnen. Toen is het thema "privacy" onmiddellijk op tafel gekomen. Er zijn heel snel allerlei thema's geïdentificeerd die een rol zouden kunnen spelen, waaronder het thema waar de heer Rog en Van Meenen aan refereerden: hoe zorg je voor genoeg tegenkracht vanuit het onderwijs tegen de uitgeverijsector? Hoe zorg je ervoor dat je scholen ontlast door te werken met modelovereenkomsten? Daar is samen met de sectorraden, Kennisnet en heel veel andere betrokken partijen naar gekeken. Op een goed moment werd door de ambtelijke organisatie, de PO-Raad en de VO-raad besloten dat onderzocht moest worden of men wellicht nog iets over het hoofd zag. Daarvoor is op vier scholen door PwC gekeken welke kwesties in de praktijk speelden. Het beeld dat daaruit kwam, strookte met het beeld dat iedereen al had. Het sloot ook aan bij de acties die reeds in gang waren gezet. Het beeld dat er een stevig rapport lag en dat men toen aan de slag is gegaan, is niet juist. Er was al heel veel in gang gezet. Het rapport was een validatie om te kijken of we alles scherp in het vizier hadden. Dat bleek het geval. Vervolgens is er voortvarend doorgewerkt aan de dingen die eerder in gang gezet waren.
De heer Van Meenen (D66):
Als alles scherp in het vizier was, hoefde men niets te onderzoeken. Er werd een onderzoek gedaan naar Basispoort en hoe dat werkte. Uit het rapport bleek dat er eigenlijk niets van klopt, als het wordt bezien in het licht van de privacy. Het is toch echt bijzonder dat er geen enkele alarmbel ging rinkelen, ook niet bij de staatssecretaris, maar dat men gewoon het gesprek voortzette alsof er niets gebeurd was: we waren er al mee bezig, goed om te weten dat het een puinhoop is maar we gaan er gewoon mee verder. Nogmaals: ik was van plan om er niks van te zeggen, maar door het voortgaan van deze vragenronde beginnen bij mij nu ook vraagtekens te komen. Stel dat er weer zo'n rapport komt, dat er weer iets onderzocht wordt wat in eerste instantie ondersteunend voor het beleid moet zijn maar wat toch aanleiding geeft tot enig alarm, is de staatssecretaris dan bereid om zulke rapporten voortaan wel met de Kamer te delen?
Staatssecretaris Dekker:
Laat ik refereren aan de vraag van de heer Van Meenen waarin hij vroeg of ik bereid ben om het een keer sectorbreed te bekijken. Dan krijg je een representatief beeld, dat volgens de desbetreffende onderzoekers iets zegt over de sector. Dan heb je een betrouwbaar, valide beeld van hoe het zit. Dat onderzoek loopt. De heer Van Meenen krijgt dat ook. Sterker nog, hij krijgt dat op zeer korte termijn. Ik meen dat het binnen enkele maanden is afgerond.
De voorzitter:
Gaat u verder met uw betoog.
Staatssecretaris Dekker:
Ik wil graag beginnen aan de drie belangrijke blokken die ik zojuist noemde. Het moet juridisch gezien volstrekt helder zijn dat scholen een beperkte set aan persoonsgegevens mogen uitwisselen met uitgevers als dat voor onderwijsdoelstellingen noodzakelijk is. Dat raakt aan een aantal vragen die de Kamer heeft gesteld. De toetssteen is steeds: is dit noodzakelijk om goed onderwijs te geven? De Wet bescherming persoonsgegevens staat scholen toe om persoonsgegevens te verwerken voor zover dat nodig is om hun onderwijstaak uit te voeren. De grondslag daarvan ligt in artikel 8. Daarmee mogen ze deze persoonsgegevens dus ook verwerken als dat nodig is om digitale leermiddelen goed in te zetten.
In het vrijstellingsbesluit van diezelfde wet is zelfs een specifieke bepaling opgenomen, artikel 19, waarin staat dat scholen voor de verwerking van gegevens voor het verstrekken of ter beschikking stellen van leermiddelen geen melding hoeven te doen aan het CBP, omdat het eigenlijk gaat om vrijstellingen voor, wat genoemd wordt, evidente verwerking. Scholen mogen bij de uitvoering van hun taak ook andere partijen, zoals uitgeverijen, inschakelen, mits, zeg ik met nadruk, er goede afspraken en een bewerkersovereenkomst onder liggen. Partijen moeten zich daar ook aan houden. Ik vind dat ouders daar nadrukkelijker bij betrokken mogen worden. Ik zal daar in het laatste blok als apart thema graag heel specifiek op terugkomen. Uitgevers mogen die gegevens niet zelf voor andere doeleinden gebruiken. Denk aan doorverkopen, te lang opslaan of meer dan een beperkte set aan gegevens hebben. Ook dat moet volstrekt helder zijn.
We kunnen constateren dat de omgang met persoonsgegevens en de verplichtingen die daaruit voortvloeien, ook uit de wet, voor een gemiddelde school niet altijd even gemakkelijk zijn. Met de PO-Raad en de VO-raad vind ik dat de school verantwoordelijk is voor de persoonsgegevens van leerlingen, maar we kunnen de scholen daarin wel ondersteunen, bijvoorbeeld door zaken te verhelderen en door de sector te helpen om dingen beter te organiseren. Ook dan moeten we onder ogen zien dat we systemen nooit voor de volle honderd procent sluitend kunnen maken. Er zullen altijd beveiligingsrisico's zijn. Dat is voor scholen en voor aanbieders van leerstof niet anders dan voor heel veel andere sectoren. Het is eigenlijk een maatschappelijk probleem. Ook in het onderwijs hebben we last van hackers, mensen die illegaal in data willen neuzen en die op zoek zijn naar beveiligingslekken. Het is zaak om daar met elkaar de juiste maatregelen voor te treffen om incidenten zo veel mogelijk te voorkomen. Dat gebeurt nu dus ook. Mij zijn geen grote incidenten op dat vlak bekend. Maar we kunnen er ook donder op zeggen dat het een keer fout gaat. Tijdens het rondetafelgesprek werd bijvoorbeeld gesproken over het hacken van Magister. Het is voor een deel ook mensenwerk. Als er slordig wordt omgesprongen met passwords of als mensen USB-sticks aannemen waarvan ze niet weten van wie die komen, en ze die gebruiken in computers waar bijvoorbeeld leerlingvolgsystemen op draaien, zijn daar risico's aan.
Dan de wet- en regelgeving. Daarover heb ik een en ander afgeleid uit het rondetafelgesprek dat de Kamer heeft gevoerd. Verschillende partijen hebben daarin aangegeven dat de wet als zodanig voldoende waarborgen biedt, maar dat er wel een en ander te verbeteren valt aan de toepassing in de praktijk, aan de kennis bij scholen en aan de concrete uitwerking van de manier waarop je er op een zorgvuldige manier mee omgaat.
Heel concreet vroeg mevrouw Ypma hoe de manier waarop het nu is geregeld zich verhoudt tot het kinderrechtenverdrag. Is dat niet op de een of andere manier geschonden? Ik denk dat ik mevrouw Ypma gerust kan stellen: dat is niet het geval. In het verdrag staan de verplichtingen waaraan de Staat zich moet houden. Een van die verplichtingen is dat de Staat ervoor moet zorgen dat geen enkel kind onderworpen is aan willekeurige of onrechtmatige inmenging in zijn privéleven. Nederland voldoet aan die verdragsbepaling, bijvoorbeeld door de Wet bescherming persoonsgegevens. Daarin zijn waarborgen opgenomen voor een zorgvuldige verwerking van persoonsgegevens, waaronder die van kinderen. Dat betekent dat we in Nederland voldoende wettelijke waarborgen bieden om een en ander te garanderen.
De vraag is natuurlijk altijd hoe dat uitpakt in de praktijk. Zo kom ik bij mijn tweede blok. Ik zie het als mijn verantwoordelijkheid om scholen en sectorraden te ondersteunen. Ik noemde het doorbraakproject al. Een organisatie als Kennisnet wordt door ons financieel ondersteund. Kennisnet maakt concrete handvatten en is altijd een vraagbaak voor scholen. Scholen die het even niet weten kunnen terecht op een website waarop een schat aan informatie staat.
De sectorraden hebben er ook een belangrijke rol in. Ik werk veel met hen samen op dit thema. Zij gaan scholen van de benodigde kennis en ondersteuning voorzien, zodat scholen beter in staat zijn om hun verantwoordelijkheid waar te maken. Ik kom op heel korte termijn, begin februari, terug met een uitgebreider overzicht van wat het Doorbraakproject Onderwijs & ICT omvat. Privacy is er een belangrijk onderdeel van, maar het heeft verschillende andere onderdelen, die voor de Kamer minstens net zo interessant zullen zijn.
Mevrouw Straus (VVD):
De staatssecretaris noemde Kennisnet, dat de Kennisnet Federatie heeft. Dit is een "single sign on"-portal waarmee het onderwijs verschillende applicaties kan benaderen. Daarbij is de privacy gewaarborgd. Deze zaken zijn dus geregeld bij de Kennisnet Federatie. Hoe kan er aan de andere kant iets als Basispoort ontstaan? Dat ontwikkelt zich hier los van. Heel veel scholen gaan daarin mee terwijl er dus een alternatief voorhanden is.
Staatssecretaris Dekker:
Die markt is enorm divers. Ook buiten Basispoort bieden verschillende uitgeverijen dingen aan scholen aan. Het is aan de scholen om te kiezen waarmee ze in zee willen en onder welke voorwaarden. Daarom ben ik weleens stellig geweest naar scholen die zeiden: we werden gedwongen om Basispoort af te nemen. Ik zei dan: nee, daar bent u zelf bij geweest, u had ook gewoon nee kunnen zeggen. De portal van Kennisnet is in zijn functionaliteit nog vrij beperkt. Ik denk dat de oplossingen wat breder moeten zijn. Ik wil een aantal dingen aangeven waarvan ik denk dat ze breder toepasbaar zijn. Misschien wel de belangrijkste daarvan is — daarmee haal je direct de enorme angel eruit — de pseudonimisering van de basisgegevens van kinderen. Datgene wat wordt afgegeven is vaak voornaam, achternaam en geboortedatum. De vraag is of je dat verder kunt minimaliseren door te werken met pseudoniemen.
Mevrouw Straus (VVD):
Ik ben blij met dit antwoord van de staatssecretaris. Ik wil hem er nog wel op wijzen dat er nieuwe toetreders zijn op deze markt die zeggen dat pseudonimisering al ouderwets is; je zou die data bij ouders neer kunnen leggen waarbij zij individueel toestemming kunnen geven om die data te gebruiken. Is de staatssecretaris op de hoogte van deze nieuwe ontwikkelingen en, zo ja, gaat hij die dan ook meenemen in de afspraken die er nu gemaakt gaan worden in het onderwijs zodat het ook een soort basisset gaat worden van randvoorwaarden die scholen gaan gebruiken als zij met ICT-middelen aan de slag gaan?
Staatssecretaris Dekker:
Ik vind dat je altijd bij dit soort dingen moet kijken naar alle nieuwe mogelijkheden die er zijn. Ik ken deze ontwikkeling nog niet maar ik zal er serieus induiken. Dat laat onverlet dat ik nog steeds van mening ben dat het toewerken naar pseudonimisering enorm kan helpen. Mevrouw Ypma zei hiervan: het liefst zie ik dat morgen al. Welnu, dat geldt ook voor mij. We werken er in ieder geval wel aan. Ik zal straks nog iets zeggen over het tijdpad. Het is overigens ook best ingewikkeld om dat te doen. Als je het op een goede manier wilt doen, waarbij al die systemen bij de uitgeverijen blijven draaien en waarbij als een kind van de ene school naar de andere school verhuist, niet al zijn gegevens verloren gaan, dan vraagt dat ook in technische zin behoorlijk wat.
Ik sprak al over het hoofdthema van de pseudonimisering. Ik vind het echt enorm belangrijk dat we daarmee nu tempo gaan maken. Er loopt op dit moment een call om te kijken aan welke voorwaarden het moet voldoen. Dan moet het worden ontworpen en getest en dan zou de definitieve uitrol in 2016 kunnen zijn. De invoering van zo'n pseudonaam of -nummer moet wel zorgvuldig gebeuren. Het pseudoniem moet veilig en betrouwbaar zijn als het gaat om het bestellen, het betalen, het leveren en het toegang geven tot leermateriaal, maar ook als een kind verhuist. Volgens een conservatieve schatting zijn er al gauw zo'n 60 partijen in het primair en voortgezet onderwijs en het mbo die straks hun systemen moeten aanpassen, variërend van administratiepakketten tot leerlingvolgsystemen, digitale leeromgevingen, uitgevers en distributeurs. Al die partijen moeten testen. Procedures moeten worden aangepast. Bovendien moet het in een keer goed gaan. Ik wil er niet aan denken dat leerlingen straks niet bij hun materiaal kunnen, dat het straks niet een waterdicht systeem is en dat het niet goed loopt, want dan hebben scholen, ouders en leerlingen een groot probleem. ICT-projecten met deze omvang en met dit doel vragen nu eenmaal tijd. Dat is misschien wel een van de belangrijkste conclusies die ook de commissie-Elias ons laatst voorschotelde. Laat ik er helder over zijn: ik heb geen enkel belang om het ook maar een dag langer te laten duren dan strikt noodzakelijk. Dus snelheid is wat mij betreft belangrijk maar zorgvuldigheid en kwaliteit zijn voor mij in dit proces misschien nog wel belangrijker.
Mevrouw Ypma (PvdA):
Ik ben heel blij dat te horen. Ik denk ook dat de staatssecretaris er inderdaad geen enkel belang bij heeft om het langer te laten duren. Hij geeft tegelijkertijd ook aan waarom het best ingewikkeld is. Ik citeer hem: ook alle systemen bij de uitgeverijen moeten blijven draaien. Maar daar zit nu precies het probleem. Ik vind dat de staatssecretaris te veel oog heeft voor de commerciële belangen van deze partijen en te weinig oog heeft voor de privacy van onze kinderen. Ik vind dat deze staatssecretaris ervoor moet zorgen dat het liefst morgen maar in ieder geval voor het begin van het volgende schooljaar alle kinderen gepseudonimiseerde gegevens hebben. Als hij dat niet toezegt, zal ik een motie hierover indienen. Want hoe kan het dat ik op mijn telefoontje gewoon met software-updates iedere keer die software kan verbeteren, maar dat dit niet mogelijk is met die leerlinggegevens?
Staatssecretaris Dekker:
Het gaat mij absoluut niet om de commerciële belangen van welke partijen dan ook. Het gaat mij om goed draaiende systemen. Dat vraagt ook om een technische ontwikkeling en om testen. Voordat je een systeem uitrolt over heel Nederland, moet je dat eerst een tijdje proberen, want soms komen fouten pas na verloop van tijd bovendrijven. We zien dat bij alle grote bedrijven die werken met applicaties die op grote schaal worden gebruikt door klanten, door afnemers. In dit geval wordt het gebruikt door scholen, ouders en leerlingen. Je kunt dan niet over één nacht ijs gaan. Ook vanuit een technisch oogpunt — ik heb het helemaal niet over commerciële belangen — vraagt dat om tijd. Ik kan geen ijzer met handen breken.
Tegen mevrouw Ypma zeg ik: ik zit er bovenop en zet mijn beste mensen hierop. Zij zitten hier al op. Ik laat mij er ook niet van weerhouden als uitgeverijen zeggen dat dit geld kost. Ze moeten die investering dan maar doen. Ik vind echter wel dat we de tijd moeten nemen om de techniek goed uit te testen, verder te ontwerpen en te laten draaien.
Mevrouw Ypma (PvdA):
Natuurlijk moet dit goed gebeuren. Daar ben ik het mee eens. Ik vind echter wel dat we dit zo snel mogelijk moeten doen. Er zijn allerlei nieuwe technieken. Collega Straus wees daar zojuist ook op. We hebben Kennisnet. Dat kan dit al. Het kan dus al, op allerlei mogelijke manieren. Ik doe nog een laatste poging. Als de wil er is om het te versnellen en om dit project ook echt een doorbraak te laten zijn, kan de staatssecretaris dan toezeggen dat hij ervoor gaat zorgen dat de leerlinggegevens zijn gepseudonimiseerd voor het begin van het komende schooljaar?
Staatssecretaris Dekker:
Het tijdpad wordt steeds ambitieuzer. Dit stond aanvankelijk gepland voor het einde van dit kalenderjaar. Nu wordt gesproken over het begin van het volgende schooljaar. Dat is een halfjaar eerder. Ik kan geen ijzer met handen breken. Als het kan, zou mijn antwoord daarop onmiddellijk "ja" zijn. Ik moet echter ook de mensen die hiermee bezig zijn beschermen. Ik vraag ook enige realiteitszin van de Kamer. Een parlementaire commissie heeft onlangs gezegd: pas op dat je de planning van dit soort ingewikkelde ICT-projecten niet al te veel door de politieke wens laat leiden en kijk juist naar wat realistisch is. We moeten daar zorgvuldigheid bij betrachten zodat het straks ook echt werkt, anders voeren we hier straks misschien een veel ingewikkelder debat over een veel grotere kwestie. Met het oog daarop is het niet reëel om te veronderstellen dat dit in 2015 nog gaat lukken. 2016 is een heel ambitieus tijdpad. We moeten echt alles op alles zetten om dat te halen.
Mevrouw Ypma heeft gezegd dat het al gebeurt in andere sectoren. Ik ben dat uiteraard nagegaan. Ze refereerde bijvoorbeeld aan het voortgezet onderwijs. Hetgeen daar gebeurt, biedt geen soelaas voor het volledige onderwijs. Ook in het voortgezet onderwijs wordt op dit moment met digitale pakketten gewerkt, waarbij vooralsnog gewoon met voor- en achternaam wordt ingelogd. Een goed en sluitend systeem waarin ook dat gepseudonimiseerd wordt, is niet voorhanden. Dan hadden we het misschien gewoon gekopieerd. Dat is dus echt iets wat goed moet worden opgepakt.
De heer Jasper van Dijk (SP):
Die anonimisering of pseudonimisering moet zo snel en goed mogelijk gebeuren. Ik twijfel er niet aan dat de staatssecretaris dat ook wil. De vervolgvraag luidt: wat doen we met de persoonlijke gegevens die de uitgevers nu hebben? Die zijn immers nog wel op naam traceerbaar et cetera. Alleen al vanwege het gevaar van een lek, de risico's dat de gegevens op een verkeerde plek terechtkomen, zou je dus moeten willen dat de uitgevers die gegevens niet meer hebben ofwel dat ze vernietigd worden. Deelt de staatssecretaris de mening dat we daarnaar moeten streven?
Staatssecretaris Dekker:
Ik vind dit een belangrijk aandachtspunt dat ik ook zal meenemen in de gesprekken die wij voeren met de PO-Raad, de VO-raad en de uitgeverijen over de vraag hoe dit op een goede manier kan worden vormgegeven. Er zitten twee kanten aan het verhaal. Aan de ene kant wil je kijken hoe een kind zich ontwikkelt. Als je alles wat er is, vernietigt, zou je die informatie ook onmiddellijk kwijt zijn. Dan begint alles weer opnieuw. Aan de andere kant wil je natuurlijk wel dat, als we richting pseudonimisering gaan, dat dan ook gewoon onmiddellijk voor iedereen geldt. Als dat te doen is en als dat ook de wens is van de scholen en bijvoorbeeld ook van de Landelijke Ouderraad, dan neem ik dat heel serieus. Dan moet dat ook beklonken worden in de afspraken met de uitgeverijen. Ik wil dat echter ook met hen bekijken, omdat het een afweging is van aan de ene kant het behoud van die doorgaande lijn, het zicht op de ontwikkeling van kinderen, en aan de andere kant de vraag wat je met de oude, nog niet gepseudonimiseerde gegevens doet.
De heer Jasper van Dijk (SP):
Het antwoord stelt mij nog niet helemaal gerust. De staatssecretaris houdt wat slagen om de arm en verwijst naar de Landelijke Ouderraad. Als de staatssecretaris toch met ouders gaat praten, dan zou ik zeggen: praat ook met OUDERS VAN WAARDE en met de VOO. Zou hij niet uit zichzelf moeten zeggen: vanzelfsprekend moeten die gegevens verdwijnen, want dat is levensgevaarlijk? Ook al gaan we even uit van de goede bedoelingen van de uitgevers, dan nog is er een risico op een hacker, op een lek, zoals zelfs al aan de orde is geweest. Dus wij moeten daarvan af. Dat kan ook, want op het moment dat er is gepseudonimiseerd, zijn die gegevens niet meer relevant. Dan moeten wij als politiek zeggen: weg ermee, in de prullenbak!
Staatssecretaris Dekker:
Ik vind dat wij ervoor moeten oppassen dat de politiek zegt: weg ermee. Laten wij uitgaan van wat scholen graag willen. Die hebben zelf gezegd naar pseudonimisering te willen gaan. Laten wij daar ook de ouders bij betrekken. Hoe kijken die ertegenaan? Ik vind het goed als dingen weggegooid worden bijvoorbeeld als een kind uit het onderwijs gaat of een volgende stap zet, of als een school beslist om niet langer een bepaalde methode te gebruiken. Als een school echter dezelfde methode wil gebruiken, wil die school ook iets zien over de doorgaande lijn in de ontwikkeling. Ik begrijp het punt van de heer Van Dijk volledig. Ik zal dat nadrukkelijk onder de aandacht brengen. Ik houd echter een slag om de arm, omdat ik daar de scholen en de ouders nog niet over heb kunnen horen.
Misschien is het ook technisch op te lossen, zeg ik onmiddellijk tegen de heer Van Dijk. Wij zouden immers ook kunnen bekijken of alles wat nu op naam staat, op pseudoniem gezet kan worden. Dat moet dan wel gebeuren op een zorgvuldige manier, zodat de uiteindelijke naam niet herleidbaar is. Dat is vooral een kwestie van techniek. Ik hoop dat ik de heer Van Dijk voldoende heb beantwoord, anders ...
De voorzitter:
Wij hebben ook nog de tweede termijn.
Staatssecretaris Dekker:
Pseudonimisering is een belangrijk punt, een van de grootste punten, maar het is niet het enige wat er gebeurt. Naast de techniek van het pseudonimiseren zijn betere afspraken tussen school en leveranciers minstens zo belangrijk. Daarom wordt op dit moment hard gewerkt aan een convenant en een model-bewerkersovereenkomst waarmee scholen concrete producten in handen krijgen die direct tot verbeteringen in de praktijk leiden. De convenanten worden afgesloten door de sectorraden namens de scholen, in eerste instantie met de aanbieders van leermiddelen en informatiesystemen, maar wij voorzien dat de werking zich zal gaan uitstrekken over alle partijen waarmee scholen gegevens uitwisselen. Het convenant moet ervoor zorgen dat duidelijk is wie welke rol heeft en welke richten en plichten men heeft. Uitgangspunt daarbij is dat de school de regie houdt over de gegevens en de verstrekking daarvan aan andere partijen. In het convenant wordt ook aandacht besteed aan de beveiliging van gegevens, voorlichting door partijen en bewaartermijnen.
Tegen de heer Van Meenen zeg ik dat een van de belangrijkste dingen is dat scholen ontlast worden. De scholen zijn verantwoordelijk en hebben te maken met ingewikkelde wet- en regelgeving. Dat geldt overigens op heel veel andere terreinen. Ik noem de wet- en regelgeving op het vlak van arbo en arbeid. Het helpt dan natuurlijk als er vanuit de sector zaken beschikbaar komen, zodat wij tegen de scholen kunnen zeggen: als je het op deze manier doet, als je deze contracten gebruikt en deze afspraken maakt, dan is het goed en degelijk geregeld.
Het is daarbij belangrijk dat er een groot draagvlak onder dat convenant ligt. Dat is een belangrijke voorwaarde voor de naleving daarvan. Ik stel voor dat als het convenant er is, wij dat aan een aantal partijen voorleggen. Ik denk aan het College bescherming persoonsgegevens, de experts op dat vlak, de Landelijke Ouderraad en de Kinderombudsman. De Kinderombudsman was in de afgelopen weken kritisch. Ik heb vandaag nog contact met hem gehad en met hem doorgesproken welk proces doorlopen wordt met het convenant en de daaronder hangende model-bewerkingsovereenkomsten. Hij kijkt graag mee, ook om te bewerkstelligen dat alle partijen straks op één lijn zitten.
Mevrouw Straus vraagt waarom scholen op dit moment onvoldoende gebruikmaken van de expertise die er al is. Wie op de website van Kennisnet kijkt, ziet al enorm veel dingen die gebruikt kunnen worden. Ik denk dat dit voor een deel met bewustwording te maken heeft. Privacy staat nog onvoldoende op het netvlies en er is nog onvoldoende kennis over de wet- en regelgeving. Met andere woorden, er wordt gehandeld met gezond verstand. Dat gaat ook heel vaak heel goed, maar het brengt wel risico's met zich mee. Die kunnen wij verkleinen door het beter en professioneler te organiseren.
Ik zei net iets over het onderzoek. Op dit moment loopt er een representatief onderzoek onder scholen om te kijken waar zij staan en wat hun kennis is. Ik wil dat onderzoek straks ook doen bij de afspraken die uit het convenant komen. Ook daarvan vind ik dat zij moeten worden gemonitord. Daarop moet op de een of andere manier toezicht zijn zodat wij weten wat er gebeurt en dat wij de vinger aan de pols kunnen houden.
Mevrouw Ypma vroeg waarom de uitgevers de gegevens niet direct hebben gepseudonimiseerd. Dat heeft er ook mee te maken dat het verstrekken van een pseudoniem moet gebeuren door een partij die door iedereen wordt vertrouwd en die eigenlijk buiten de uitgevers zelf ligt. Daarvan vind ik ook dat het eigendom bij de scholen moet liggen.
De voorzitter:
Mevrouw Ypma heeft een vraag op het vorige punt.
Mevrouw Ypma (PvdA):
Ik ben het ermee eens dat die gegevens bij een onafhankelijke, betrouwbare partij zouden moeten liggen, dus van de scholen zelf zouden moeten zijn. Maar Basispoort is toch niet van de scholen? Dat is toch van de uitgeverijen? Daar liggen nu die gegevens. Dus hoor ik de staatssecretaris nu pleiten voor een onafhankelijke publieke organisatie waar die gegevens liggen, à la Kennisnet?
Staatssecretaris Dekker:
Er zijn gegevens en gegevens. Het is belangrijk dat wij die uit elkaar houden. Uitgeverijen hebben gegevens, bijvoorbeeld hoe kinderen rekensommen maken. Die hebben zij nodig. Neem bijvoorbeeld Rekentuin. Als een kind heel goed is in optelsommen, krijgt het wat meer aandacht op de onderdelen waarin het minder goed is. Dat zijn adaptieve systemen, die de gegevens bevatten die uitgeverijen nodig hebben om ervoor te zorgen dat het lesmateriaal goed werkt. De vraag is of een uitgeverij ook de identiteit moet hebben: wie is nu de leerling die aan de andere kant van het scherm zit? Van het eerste kan ik me iets voorstellen dat uitgeverijen die gegevens moeten hebben. Van het tweede kun je zeggen dat dat gebruik nog verder beperkt moet worden dan nu het geval is. Uitgeverijen krijgen nu ook niet een hele trits gegevens. Vaak gaat het dan alleen maar om de naam, de voornaam, achternaam en geboortedatum, maar je zou dat nog verder kunnen minimaliseren door uit te gaan van een pseudoniem. De gegevens over dat pseudoniem moeten dan uiteraard niet bij de uitgeverij liggen maar bij de scholen of bij een andere organisatie die het voor de scholen organiseert. Maar de leerontwikkeling, onder het labeltje van het desbetreffende pseudoniem, kan dan nog wel steeds door de uitgever worden bewerkt en geanalyseerd.
Mevrouw Ypma (PvdA):
Helemaal aan het einde van mijn eerste termijn heb ik in reactie op de inbreng van de heer Van Dijk betoogd dat er een onafhankelijke publieke instelling zou moeten zijn, een instelling die transparant is en die toeziet op goede en zorgvuldige omgang met de gegevens van onze kinderen. Als ik het goed begrijp, hoor ik de staatssecretaris daar ook voor pleiten. Klopt dat?
Staatssecretaris Dekker:
Niet helemaal. Er zijn dingen die je moet onderscheiden. Het toezicht op de sector ligt primair bij het College bescherming persoonsgegevens. Dat is de handhavende instantie. Ik vind dat dat niet de instantie moet zijn die ook de beschikking heeft over persoonsgegevens.
Ten tweede vind ik dat je bij de vraag waar welke persoonsgegevens naartoe mogen goed moet kijken of die persoonsgegevens ergens echt nodig zijn. Dat doen wij als overheid ook. We hadden hier nog niet zo lang geleden bijvoorbeeld een discussie over ons eigen systeem, BRON, waar veel informatie in zit, zoals een leerlingnummer en een leerlingkenmerk. Ook daarbij gaan we er steeds van uit dat wij als overheid het minimale willen weten om ons toezicht en ons werk goed te kunnen doen. Dat zou eigenlijk ook voor scholen moeten gelden. Scholen moeten ook niet meer aan ouders vragen dan ze zelf nodig hebben om goed onderwijs te kunnen geven. Dat geldt vervolgens ook voor uitgeverijen. Uitgeverijen moeten alleen datgene krijgen wat zij nodig hebben om ervoor te zorgen dat een kind goed met een lesmiddel kan werken.
Gevraagd is of je niet een soort grote organisatie kunt vinden die veilig is en waar dat allemaal in zit. Dat klinkt misschien heel vertrouwd, maar het brengt ook een heel groot gevaar met zich mee. Als daar ingebroken wordt, hebben we namelijk pas echt een probleem. Dat is dus een organisatie die heel veel gegevens van kinderen bij elkaar heeft. Wie moet die organisatie gaan runnen? Ik weet niet of ouders en scholen zich er erg prettig bij voelen als er een soort overheid is die niet alleen het onderwijsnummer van een kind bijhoudt en die niet alleen maar kijkt met welke diploma's het slaagt, maar die ook precies weet hoe het in de tussenliggende tijd zijn leerlingvolgsysteemtoetsjes of zijn opgaven maakt.
De voorzitter:
Mijnheer Van Dijk, hebt u een vraag over hetzelfde punt?
De heer Jasper van Dijk (SP):
Ja. De staatssecretaris schetst een soort bigbrothersituatie. Die willen we natuurlijk geen van allen. Aan de andere kant willen we evenmin dat de gegevens van onze kinderen bij commerciële partijen liggen. Daar gaat het debat vandaag over. Zij kunnen immers ook een agenda hebben. Hoe kan de staatssecretaris ons nou geruststellen? Hoe wordt het toezicht op die informatie verbeterd?
Staatssecretaris Dekker:
Dat gebeurt op een aantal manieren. Het begint preventief. Er kan en moet ook aan de voorkant veel gebeuren om ervoor te zorgen dat het fundament goed is, dat er goede bewerkersovereenkomsten zijn, en dat scholen in gesprekken en in contracten met uitgeverijen geen afspraken maken over de overdracht van meer gegevens dan strikt noodzakelijk. Op dit moment wordt er in het convenant met modelovereenkomsten gewerkt aan afspraken die daaraan voldoen. Dat is in mijn ogen al een eerste, heel belangrijke voorwaarde. Vervolgens moet iedere partij zich aan de wet houden. De school moet zich aan de wet houden en de uitgeverij moet zich aan de wet houden. We hebben in dit land een waakhond voor als er dingen gebeuren die niet mogen. Het College bescherming persoonsgegevens kan daarnaar kijken. De vraag van mevrouw Ypma was wat het CBP nou kan doen. Het kan ingrijpen, handhaven en boetes uitdelen. Die boetes gaan omhoog om ervoor te zorgen dat de afschrikwekkende werking alleen maar groter wordt. Overigens hebben we in het recente verleden gezien dat een bedrijf ook echt op zijn vingers is getikt. Dat gebeurde in het specifieke geval van Snappet, een weliswaar kleine uitgeverij. Dat laat zien dat er aan de andere kant een sluitstuk is.
De heer Jasper van Dijk (SP):
Je ziet in de afgelopen maanden dat er veel ongerustheid is en ook dat er veel interpretatieverschillen zijn. De staatssecretaris zegt dat het doorgeven van gegevens wel mag. Anderen zeggen dat het niet mag. Je zou dus bijna kunnen zeggen dat daar een juridische discussie over is. Ook wordt er geklaagd over het passieve optreden van het College bescherming persoonsgegevens. Het kijkt bijvoorbeeld pas achteraf en zou te weinig personeel hebben om goed te kunnen optreden. Herkent de staatssecretaris dat? En is er een manier om het CBP actiever te laten controleren op privacyvraagstukken in het onderwijs?
Staatssecretaris Dekker:
Ik heb die indruk niet. Ook in de voorbereiding hierop heb ik juist de indruk gekregen dat het CBP wil meedenken. Het CBP zegt dat het mensen niet alleen achteraf op de vingers wil tikken als het niet goed gaat, als een soort waakhond of politieagent. Het vindt het veel belangrijker om er ook aan de voorkant voor te zorgen dat dit in de uitwerking van goede bewerkingsafspraken op een goede manier geregeld is. Er valt dan ook minder te handhaven, want iedereen houdt zich dan op een goede manier aan de wet. Ik heb juist de indruk dat het CBP richting ons volledig bereid is mee te denken en te kijken met een modelbewerkersovereenkomst. Dat heeft het ook aangegeven. Ik heb juist de indruk dat het CBP de volle bereidheid heeft om mee te denken over een dergelijke modelbewerkersovereenkomst.
De heer Rog (CDA):
Ik heb de staatssecretaris gevraagd of hij bij het CBP de vraag wil neerleggen of die persoonsgegevens wel bewerkt mogen worden en of het verstrekken van leerlinggegevens in strijd is met de privacywetgeving of de internationale kinderrechtenverdragen. Ik hoop dat de staatssecretaris deze vraag in zijn eerste termijn kan meenemen, want dat kan voorkomen dat ik hierover een motie moet indienen.
Staatssecretaris Dekker:
Ik heb zojuist aangegeven hoe de internationale regelgeving en de kinderrechten in Nederland in de Wbp zijn verankerd. Ik heb geen aanleiding om aan te nemen dat het niet goed zou zitten, maar misschien kan ik de heer Rog geruststellen door het nog een keer expliciet na te gaan bij het College bescherming persoonsgegevens. Ik vermoed dat dit debat nog wel meer open eindjes zal opleveren en dat ik de Kamer daarover schriftelijk moet informeren. Als dat zo is, zal ik dan ook hierover schriftelijk terugkoppelen.
Voorzitter. Ik heb al iets gezegd over de tanden van het CBP. Mevrouw Ypma deed in dit verband eigenlijk een goede suggestie toen zij vroeg of het CBP en de inspectie wel goed samenwerken. Dat is een nuttige suggestie, omdat de inspectie bij haar bezoeken aan scholen dingen tegenkomt. De inspectie kan daardoor een belangrijke signaalfunctie vervullen, ook richting het CBP. Het CBP doet als onafhankelijke toezichtsorganisatie geen uitspraken over de indicaties die het krijgt en over welke onderzoeken het wel of niet doet. Het is wel belangrijk dat het CBP signalen krijgt als er iets niet helemaal in orde is en daarbij kan de inspectie een belangrijke rol spelen. Ik zal nagaan hoe deze twee organisaties dichter bij elkaar kunnen komen.
Mevrouw Straus vroeg of het een idee is om te gaan werken met privacy impact assessments. Dat doen wij eigenlijk al langere tijd op basis van de bestaande wet- en regelgeving, juist omdat wij het zo'n belangrijk onderwerp vinden. Ik kan me echter ook voorstellen dat straks in het convenant en de modelovereenkomsten wordt vastgelegd dat hierover op schoolniveau afspraken moeten worden gemaakt.
Mevrouw Straus (VVD):
De staatssecretaris verwijst naar het convenant en de modelafspraken en daarover zou ik hem graag nog een vraag stellen, omdat het mij niet helemaal helder is. Wordt dit convenant enkel gesloten tussen de aanbieders van Basispoort en de partijen in het onderwijs of wordt dit convenant de basis voor alle afspraken met ICT-dienstverleners in het onderwijs? Moeten met andere woorden ook nieuwe dienstverleners op basis van het convenant hun nieuwe ontwikkelingen vormgeven?
Staatssecretaris Dekker:
Wij proberen, het zo breed mogelijk te laten zijn. Hoe breder en hoe meer draagvlak er is, hoe makkelijk het wordt om het straks na te leven. Wij kijken dus wel degelijk verder dan alleen Basispoort. Maar er komen dan ook steeds nieuwe partijen bij. Iedere dag kan iemand besluiten om een eigen bedrijf te beginnen. Misschien sluit het ook wel aan bij het principe van privacy by design. Je moet volgens mij met de industrie, de sector en de uitgeverijen goede afspraken kunnen maken over de manier waarop je privacy vanaf het allereerste moment onderdeel laat uitmaken van de ontwikkeling van een systeem. Maar wij hebben de uitgeverijen in dit land natuurlijk niet aan een lijntje.
Wat we wel kunnen doen, is ervoor zorgen dat de sector hierover collectief een uitspraak doet. Als het onderwijs unaniem zou zeggen "wij nemen alleen nog maar af bij partijen die hier-, hier- en hieraan voldoen of die werken met privacy by design", dan is dat een enorm krachtig signaal. Ik vermoed dat de markt dan ook uit zichzelf de daad bij het woord gaat voegen, want voldoet een bedrijf hier niet aan, dan verkoop het geen enkel pakket of abonnement meer.
Mevrouw Straus (VVD):
Dat is precies waar ik naar op zoek ben. Hoe kunnen we met elkaar zodanige randvoorwaarden afspreken voor de privacy dat individuele scholen die kunnen gebruiken als een model dat zij bij een ICT-leverancier van leermiddelen kunnen neerleggen? Een school moet kunnen zeggen: luister, wij willen zaken met jou doen, maar als jij een programma voor ons ontwikkelt, dan moet je het wel op deze manier invullen. Is dit ook de intentie van het convenant dat de staatssecretaris met partijen in de sector wil afsluiten? Daar was ik naar op zoek.
Staatssecretaris Dekker:
Dat is absoluut de insteek. Het helpt natuurlijk altijd om daarover overeenstemming te bereiken. Het onderwijs kan een heel krachtig signaal afgeven maar vervolgens maanden bezig zijn met steggelen met uitgeverijen. Als scholen geen gebruik meer kunnen maken van die lespakketten, hebben ze ook een probleem. Ik heb dus het liefst dat de partijen het aan de voorkant, in een convenant, zo breed mogelijk eens worden over het kader waarbinnen dit zou moeten gebeuren. Het onderwijs mag zich daarin sterker profileren. Het mag zijn eisen sterker op tafel leggen. In ieder geval heeft dat mijn volledige steun.
Voorzitter. Voordat ik overga tot het specifieke thema van het erbij betrekken van ouders, ga ik nog in op de vraag van de heer Van Meenen of er ook dit jaar een privacymaand wordt georganiseerd. Sterker nog, op de NOT, die volgende week begint, is een stand waarmee hieraan aandacht wordt besteed. Ook later in het jaar zal er een moment zijn waarop er bij scholen massaal extra aandacht wordt gegenereerd voor dit thema, naast alle trajecten die al lopen en waarover ik zojuist heb gesproken.
Ik kom op mijn laatste punt, het erbij betrekken van ouders. Ik vind het heel belangrijk dat vertegenwoordigers van ouders betrokken worden bij de totstandkoming van het convenant en bij de invulling van het systeem dat gaat werken met pseudonimisering. Op korte termijn ga ik daarover het gesprek aan met ouderorganisaties om ervoor te zorgen dat ook die invalshoek wordt meegenomen bij het maken van afspraken.
Daarnaast vind ik het belangrijk dat scholen ouders goed informeren over het gebruik van persoonsgegevens van hun leerlingen. Wij moeten daarover wel helder zijn. Volgens de wet hoeven scholen ouders nu geen toestemming te vragen om persoonsgegevens te gebruiken in het kader van onderwijs. Dat laat onverlet dat het wel verstandig is om dat te doen. Ik heb ook wel een aantal ideeën over de manier waarop dat zou kunnen.
Ik kom toch even terug op het individueel om toestemming vragen. Zoals ik eerder zei, staat er voor scholen op grond van hun onderwijstaak in de wet een zelfstandige grondslag om persoonsgegevens te bewerken. Als scholen bijvoorbeeld een administratiekantoor inschakelen voor het innen van een ouderbijdrage, hoeft daarvoor geen aparte toestemming van ouders te worden gevraagd. Scholen mogen in een leerlingsysteem de vorderingen van leerlingen bijhouden. Dat hebben zij nodig om hun onderwijs goed vorm te geven. Daarvoor hoeven zij geen toestemming aan ouders te vragen. Die regel geldt voor evidente bewerkingen van persoonsgegevens waarvan betrokkenen weten of redelijkerwijs kunnen weten dat ze plaatsvinden op de school. Het vragen van toestemming aan ouders zou geen geschikte grondslag zijn voor de verwerking van deze gegevens. Ouders hebben namelijk eigenlijk geen keuze om wel of niet toestemming te verlenen, als de consequentie is dat hun zoon of dochter het onderwijs niet kan volgen, niet kan meedoen met de klas.
De oplossing zit hem dan ook in iets anders. Het is voor scholen een zaak van heel transparant zijn tegenover ouders en leerlingen over wat er gebeurt met persoonsgegevens en over de vraag welke gegevens met welk doel worden gebruikt. De school, in afstemming met de ouder, is de partij die bepaalt onder welke condities andere partijen over gegevens mogen beschikken. De school bepaalt dat en, nogmaals, niet de uitgeverij, niet de aanbieder.
Ik vind de suggestie van de heer Van Meenen hiervoor wel goed. Hij vroeg of je ouders een stem en rol kunt geven in zoiets als een privacyreglement. Met de nieuwe Wbp is het privacyreglement afgeschaft. Het staat niet meer in de Wet bescherming persoonsgegevens. Het staat scholen echter wel vrij om te werken met zo'n privacyreglement, en eigenlijk zou ik dat heel verstandig vinden. En als zij dat doen, geeft de Wet medezeggenschap op scholen de medezeggenschapsraad instemmingsrecht ten aanzien van een dergelijk reglement. Ik vind dit typisch zo'n afspraak waarover de hele sector zou moeten zeggen dat zij dit zo'n belangrijk thema vindt dat zij het wil laten terugkomen als expliciet punt op school, mijnheer Van Meenen. Zij zou moeten zeggen dat zij daarover heldere afspraken wil maken, zodat zij verantwoording kan afleggen aan de ouders, en dat zij wil dat het door de medezeggenschapsraad gaat, waarbij die raad en zeker de oudergeleding op dat moment instemmingsrecht heeft.
De voorzitter:
Mevrouw Straus stelt haar vraag in de tweede termijn van de zijde van de Kamer.
De vergadering wordt van 16.40 uur tot 16.45 uur geschorst.
De voorzitter:
Aan de orde is de tweede termijn in het debat over de privacy in het onderwijs. Ik geef het woord aan de heer Van Meenen van D66. Ik wijs hem er, ondanks dat hij het weet, voor de zekerheid op dat hij twee minuten spreektijd heeft inclusief het voorlezen van eventuele moties.
De heer Van Meenen (D66):
Voorzitter. Ik dank de staatssecretaris voor zijn beantwoording en de warme woorden die hij over medezeggenschap sprak. Dat is heel belangrijk. Ik ben ook blij met het sectorbrede onderzoek dat eraan komt. Bovendien is het goed om nogmaals te constateren dat wij met elkaar vinden dat digitalisering en digitale leermiddelen een grote toekomst in het onderwijs hebben, al zijn er risico's aan verbonden. Daarom dien ik de volgende motie in.
De Kamer,
gehoord de beraadslaging,
constaterende dat het gebruik van digitale hulpmiddelen zoals leerlingvolgsystemen en leermiddelen de komende jaren verder zal toenemen;
overwegende dat de privacy van leerlingen als gevolg van meer digitale hulpmiddelen steeds meer onder druk komt te staan;
constaterende dat het Nationaal Cyber Security Centrum concludeert dat de potentiële impact van cyberaanvallen en verstoringen toeneemt door verdergaande digitalisering;
verzoekt de regering, ervoor zorg te dragen dat digitale hulpmiddelen in het onderwijs volgens de principes van privacy en security by design gemaakt worden,
en gaat over tot de orde van de dag.
De voorzitter:
Aangezien de heer Beertema van zijn tweede termijn afziet, geef ik nu het woord aan de heer Rog.
De heer Rog (CDA):
Voorzitter. Ik dank de staatssecretaris, die in dit debat wel degelijk heeft laten zien dat privacy hem een zorg is. Tegelijkertijd betreurt het de CDA-fractie dat de staatssecretaris niet het inzicht heeft getoond dat hij het rapport van PwC eerder naar de Kamer had moeten sturen. Dat rapport bevat wel degelijk belangrijke conclusies. Zo blijkt dat scholen onvoldoende tegenwicht kunnen bieden en dat er risico's kleven aan basissupport. Ook is onduidelijk wie precies welke gegevens voor welke doeleinden verzamelt. Een staatssecretaris die daarvan op de hoogte is, hoort dergelijke informatie met de Kamer te delen. Ik hoop dan ook dat de staatssecretaris in tweede termijn erkent dat hij dat had moeten doen en dat hij dat in de toekomst zal doen. Het CDA wil daarop kunnen vertrouwen.
De Kamer,
gehoord de beraadslaging,
overwegende dat scholen persoonsgegevens van leerlingen verstrekken aan leveranciers en ontwikkelaars van digitaal lesmateriaal om gepersonaliseerde leermiddelen te kunnen aanbieden;
tevens overwegende dat voor het aanbieden van gepersonaliseerde leermiddelen het voldoende is als deze ontwikkelaars en leveranciers beschikken over gepseudonimiseerde gegevens van leerlingen;
constaterende dat scholen geen toestemming vragen aan de ouders voor het verstrekken van persoonsgegeven van leerlingen aan bovengenoemde partijen;
verzoekt de regering, samen met het onderwijsveld, waaronder ook de ouderorganisaties, afspraken te maken:
-op welke wijze, op de kortst mogelijke termijn, geborgd gaat worden dat persoonsgegevens van leerlingen alleen nog maar gepseudonimiseerd worden verstrekt aan leveranciers en ontwikkelaars van digitaal lesmateriaal;
-dat in het geval persoonsgegevens van leerlingen wel worden verstrekt, dit alleen gebeurt met expliciete toestemming van de ouders;
en de Kamer over de voortgang van deze afspraken uiterlijk in maart 2015 te informeren,
en gaat over tot de orde van de dag.
De heer Jasper van Dijk (SP):
Voorzitter. Er is veel in gang gezet rondom het beschermen van de privacy van leerlingen en dat is goed, maar het heeft er alle schijn van dat dit vooral komt door een nieuwsuitzending van RTL. Pas na die uitzending is de zaak in een stroomversnelling gekomen. De ambtenaren van OCW waren wellicht al bezig, maar de Kamer en de staatssecretaris waren daarvan niet op de hoogte, omdat de staatssecretaris meende dat hij de Kamer niet hoefde te informeren. Dat maakt toch een uiterst onverschillige indruk. Het niet toesturen van een onderzoek wordt vakkundig gedownplayd, maar het is kiezen. Of het rapport was belangrijk en had naar de Kamer gemoeten, of de staatssecretaris vond het rapport niet belangrijk, maar heeft daarmee een inschattingsfout gemaakt. Kiest u maar, staatssecretaris!
Over beter toezicht dien ik met de Partij van de Arbeid een motie in. Die zal mevrouw Ypma straks voorlezen.
Tot slot heb ik zelf nog één motie over de vernietiging van de persoonsgegevens.
De Kamer,
gehoord de beraadslaging,
constaterende dat commerciële bedrijven beschikken over persoonlijke gegevens van leerlingen;
overwegende dat gewerkt wordt aan pseudonimisering van deze gegevens zodat er geen enkele reden resteert voor uitgevers om te beschikken over de persoonlijke gegevens;
verzoekt de regering, ervoor te zorgen dat de persoonlijke gegevens van leerlingen in handen van commerciële bedrijven worden vernietigd,
en gaat over tot de orde van de dag.
Mevrouw Straus (VVD):
Voorzitter. Met leerlinggegevens moet zorgvuldig worden omgegaan. De VVD hecht groot belang aan de privacy van leerlingen. In de afgelopen jaren hebben wij ook regelmatig aandacht gevraagd voor de privacy van leerlinggegevens. Zo hebben wij tijdens het debat over de centrale eindtoets een amendement ingediend op dit punt.
Ik bedank de staatssecretaris voor zijn beantwoording en heb nog één extra vraag. Die gaat over zijn voorstel voor een privacyreglement. Zou het privacy impact assessment daarin ook een plek kunnen krijgen? De staatssecretaris gaat aan de slag om dit reglement nader vorm te geven en kan dit wellicht in overweging nemen. Wij vinden het vooral belangrijk dat er afspraken komen, modelcontracten en leveringsvoorwaarden, waarin het privacyaspect heel duidelijk wordt gemaakt en waarvan scholen bij afspraken met ICT-leveranciers gebruik kunnen maken. Dat betekent wat ons betreft dat dit ook voor nieuwe leveranciers geldt. Het onderwijs zou hier gebruik van kunnen maken om zeker te weten dat de privacy van dit gedeelte gewaarborgd is. Het onderwijs moet namelijk staan voor de privacy van zijn leerlingen. Soms is een school alleen daar te klein voor. Juist dit soort standaardafspraken, die op landelijke schaal in de sector worden gemaakt, kunnen helpen om de krachten te bundelen. Dat is heel erg belangrijk om de voortgang van ICT in het onderwijs nader en veilig te faciliteren.
Mevrouw Ypma (PvdA):
Voorzitter. Wie houdt er nu precies toezicht op de privacy van onze kinderen? Dat is de vraag die wij hebben besproken. Ik dank de staatssecretaris voor zijn antwoorden, maar ik heb nog drie moties.
De Kamer,
gehoord de beraadslaging,
constaterende dat het toezicht op de leerlinggegevens niet afdoende is gebleken;
van mening dat dit niet nogmaals mag gebeuren en er een sterke, daadkrachtige en onafhankelijke toezichthouder moet komen;
verzoekt de regering om het CBP en de Inspectie van het Onderwijs te vragen samen de privacy van leerlingen te bewaken en in te grijpen bij mogelijke misstanden,
en gaat over tot de orde van de dag.
De Kamer,
gehoord de beraadslaging,
overwegende dat het pseudonimiseren van leerlinggegevens zo spoedig mogelijk wordt gerealiseerd en hieraan de hoogst mogelijke prioriteit wordt gegeven;
verzoekt de regering om zo snel mogelijk en in ieder geval voor het begin van 2016 ervoor te zorgen dat iedere leerling een unieke digitale identiteit krijgt en de gegevens van individuele leerlingen zijn gepseudonimiseerd,
en gaat over tot de orde van de dag.
De Kamer,
gehoord de beraadslaging,
van mening dat geborgd moet blijven dat scholen verantwoordelijk zijn voor de gegevens over hun leerlingen;
constaterende dat deze gegevens op een goede en zorgvuldige manier moeten worden beheerd en opgeslagen;
verzoekt de regering om vorm te geven aan een centrale organisatie die toezicht houdt op de verzameling en opslag van leerlinggegevens vanuit het publieke belang en scherp en publiek toezicht houdt op de privacy van leerlingen,
en gaat over tot de orde van de dag.
Mevrouw Ypma (PvdA):
Met de laatste motie willen wij het schoolbestuur als verantwoordelijke de mogelijkheid geven om scherpe afspraken te maken en om te controleren dat die afspraken worden nageleefd. Zo mag de staatssecretaris de laatste motie lezen.
De voorzitter:
Daarmee is er een einde gekomen aan de tweede termijn van de Kamer. De staatssecretaris wil zich heel kort voorbereiden op zijn reactie op de moties.
De vergadering wordt enkele ogenblikken geschorst.
Staatssecretaris Dekker:
Voorzitter. De heer Rog en de heer Van Dijk hebben mij gevraagd of ik mijn standpunt uit de eerste termijn ten aanzien van het rapport wil herzien. Ik vind dat niet nodig. Ik ben het er ook niet mee eens. Ik denk dat we hierover van mening blijven verschillen. Aan het belangrijkste risico dat in het rapport werd genoemd, werd op dat moment gewerkt, om het op te lossen. Een of twee maanden nadat het rapport is verschenen, is ook de bewerkersovereenkomst met Basispoort afgerond. Dat was voor die tijd al in gang gezet. Dit staaft ook het verhaal dat ik eerder al hield.
Ik ga nu in op de moties. Over de motie-Van Meenen c.s. op stuk nr. 7 zeg ik: oordeel Kamer. Daarbij maak ik wel de opmerking dat ik natuurlijk niet de uitgeverij aan het lijntje heb. Ik kan uitgeverijen dus niet verplichten om dit allemaal te doen. Er komt ook geen wet- en regelgeving, maar ik wil wel met de scholen de afspraak maken dat zij alleen nog maar gaan afnemen bij uitgeverijen die aan deze principes voldoen. Als ik de motie zo mag uitleggen, kan ik mij erin vinden en het oordeel aan de Kamer laten.
De motie op stuk nr. 8 is van de heer Rog. Een deel van die motie kan ik volledig ondersteunen. Dat is het punt onder 1. Het punt onder 2. leidt echter tot onwerkbare situaties, zoals ik zojuist al zei. Want als scholen ouders in de tussentijd individueel toestemming moeten gaan vragen voor digitale leermaterialen en twee of drie ouders in een klas die toestemming niet geven, wat ga je dan doen? Dat leidt tot onwerkbare situaties. Er is dus des te meer reden om ervoor te zorgen dat deze discussie achter de rug is, en dat kan zodra het systeem van pseudonimisering is ingevoerd. In het eerste deel kan ik mij dus vinden, maar in het tweede expliciet niet. Daarom moet ik de motie ontraden.
Ik kom op de motie-Jasper van Dijk op stuk nr. 9. Soms is een schorsing handig, want dan kun je even ergens contact over opnemen. Ik suggereerde zojuist al in de richting van de heer Van Dijk dat dit iets is wat kan worden meegenomen in het convenant. Zodra de pseudonimisering is gerealiseerd en er dus niets wezenlijks verloren gaat voor leerlingen, kunnen we hiertoe overgaan. Ik laat daarom het oordeel over de motie aan de Kamer. Ik zie deze motie als ondersteuning van beleid.
Ik kan mij volledig vinden in het dictum van de motie-Ypma op stuk nr. 10, en iets minder in de considerans. Als je recht wilt doen aan het College bescherming persoonsgegevens, dat overigens zeer recentelijk nog fors heeft ingegrepen bij een van de uitgeverijen, kun je niet zeggen dat het toezicht heeft gefaald. Dat gezegd hebbende, kun je soms vanuit verschillende invalshoeken komen tot dezelfde opdracht voor de toekomst. Volgens mij staan we daarvoor in de Kamer: wat gaan we doen om dingen te verbeteren? En dan vind ik de samenwerking tussen inspectie en CBP — ik neem aan dat in de motie het CBP wordt bedoeld — wel degelijk helpen.
Mevrouw Ypma (PvdA):
Ik pas de motie als volgt aan. De Kamer is nu van mening dat het toezicht op de leerlinggegevens moet verbeteren. Ik heb het dictum laten staan.
De voorzitter:
De motie-Ypma (32034, nr. 10) is in die zin gewijzigd dat zij thans luidt:
De Kamer,
gehoord de beraadslaging,
constaterende dat het toezicht op de leerlinggegevens niet afdoende is gebleken;
verzoekt de regering om het CBP en de Inspectie voor het Onderwijs te vragen, samen de privacy van leerlingen te bewaken en in te grijpen bij mogelijke misstanden,
en gaat over tot de orde van de dag.
Naar mij blijkt, wordt de indiening ervan voldoende ondersteund.
Zij krijgt nr. 13, was nr. 10 (32034).
Staatssecretaris Dekker:
Dan vinden we elkaar helemaal. Dank daarvoor.
De voorzitter:
Als de motie zo veranderd wordt, is het oordeel over de motie …
Staatssecretaris Dekker:
Oordeel Kamer.
Ik kom bij de motie van mevrouw Ypma op stuk nr. 11. We hebben een uitvoerige discussie gevoerd over "zo snel mogelijk". Daar ben ik het ook volledig mee eens. In de motie zoals die nu is geformuleerd, staat echter dat iedere leerling voor het begin van 2016, dus in 2015, het unieke nummer moet hebben en dus via het systeem van pseudonimisering kan werken. Ik moet daar echt eerlijk over zijn. Ik hoop op het begrip van de Kamer dat dit onverantwoord is. Het is niet realiseerbaar; we kunnen het niet halen. Het reële pad — dat is een heel ambitieus pad waarbij niets fout mag gaan — is dat we ervoor kunnen zorgen dat het er dit jaar staat. Begin 2016 kunnen we dan aan de slag gaan met een eerste cohort van leerlingen, nog niet met alle leerlingen, om te bekijken of het goed werkt. Als het goed werkt — dat hangt natuurlijk af van de testfase — kan het traject daarna snel worden ingezet. Ik denk dat dit een reëel tijdpad is. Ik hoop dat het afdoende is voor mevrouw Ypma, want haar motie moet ik in deze vorm helaas ontraden.
Mevrouw Ypma (PvdA):
Ik dacht dat ik de staatssecretaris tegemoetkwam, want van "voor het begin van het nieuwe schooljaar" heb ik "voor 2016" gemaakt. Ik zit een beetje in een lastig parket. De Partij van de Arbeid wil dit heel graag; zij wil heel graag snelheid. De staatssecretaris zegt dat het niet kan. Ik begrijp dat gewoon niet goed. Ik denk dat het met conversietabellen en allerlei andere dingen wel snel zou moeten kunnen. Ik begrijp ook niet hoelang er getest moet worden, en voor welke groepen wat wanneer moet gebeuren. Ik zou deze motie dus willen aanhouden en aan de staatssecretaris willen vragen om op papier te zetten wat de planning precies is en waarom iedere fase zo lang moet duren. Dan kan ik het nog eens bij andere experts neerleggen om te vragen of het klopt, want volgens mij willen de staatssecretaris en ik hetzelfde, en of er echt niet iets snellers te organiseren is.
Staatssecretaris Dekker:
Dat lijkt me een elegante oplossing. Ik wil mevrouw Ypma uitnodigen eens te komen bekijken wat erbij komt kijken en in gesprek te gaan met degenen die nu al met dit traject bezig zijn, want er wordt nu al uitvoerig gesproken over een programma van eisen waaraan een en ander moet voldoen. Dat geeft wellicht grote inzichten.
De voorzitter:
Gezien de aard van de vraag die voorafging aan deze toezegging, wil ik aan de staatssecretaris vragen of hij kan aangeven wanneer die planningsbrief naar de Kamer kan komen.
Staatssecretaris Dekker:
Ik denk dat het goed is om daar een week of drie voor te nemen. We zitten nu namelijk op een cruciaal moment, omdat de opdrachtverlening in een format wordt gegoten voor waaraan het precies moet voldoen. Daaruit volgt hoelang de stappen daarna moeten duren. Als het niet binnen een week hoeft maar binnen drie weken mag, kan ik de Kamer echt meer in de diepte informatie geven die wat toevoegt aan het debat dat we zojuist hebben gevoerd.
De voorzitter:
De brief komt dus binnen drie weken naar de Kamer; bedankt voor deze toezegging.
Op verzoek van mevrouw Ypma stel ik voor, haar motie (32034, nr. 11) aan te houden.
Daartoe wordt besloten.
Staatssecretaris Dekker:
Ik ga tot slot in op de motie op stuk nr. 12. Ook die moet ik in deze vorm ontraden. Er spelen een paar dingen mee. Om straks een goed systeem voor pseudonimisering te hebben, moet het gebeuren in de vorm waarover de indiener zojuist sprak in de toelichting op de motie. Het moet niet bij de overheid zitten en zeker niet bij de uitgeverijen. Het moet goed worden georganiseerd door de scholen, die er vervolgens goed toezicht en monitoring omheen moeten organiseren.
In deze motie wordt om één ding meer gevraagd, namelijk om een heel grote database. Die zou niet alleen bevatten wat nodig is voor de pseudonimiseringsapplicatie, maar eigenlijk alle leergegevens van leerlingen. Dan krijg je een enorm groot bestand. Ik moet er niet aan denken dat daar een keer iets in misgaat. Voor het omgaan met de beveiliging van persoonsgegevens is nu de regel dat je twee dingen doet. Het eerste is dat gegevens op één plek mogen zijn als dat strikt noodzakelijk is voor goed onderwijs of het werken met een bepaalde leermethode, en niets meer. Het tweede is dat er zo veel mogelijk verschot en ontkoppeld wordt. We proberen als overheid altijd heel veel te ontschotten en juist aan elkaar te koppelen, maar voor de beveiliging van persoonsgegevens is dat uitermate riskant en kan het juist heel erg goed zijn dat er op verschillende plekken heel kleine beetjes zijn, zonder dat het in een grote database zit waar dan één partij verantwoordelijk voor is. Mijn indruk is dat met de motie eigenlijk dat laatste wordt beoogd. Met deze motivatie zou ik haar willen ontraden.
Mevrouw Ypma (PvdA):
Volgens mij zitten we niet zo vreselijk ver uit elkaar. Ik wil graag dat het schoolbestuur echt als verantwoordelijke kan optreden. We hebben nu Basispoort, maar daar is heel weinig toezicht op vanuit de sector. Ik wil dat Basispoort meer onder toezicht wordt gebracht bij de sector. Daarom wil ik deze motie ook aanpassen. Ik verzoek de regering, ervoor te zorgen dat Basispoort meer onder toezicht van de sector gebracht zal worden. Kan de staatssecretaris daar wel mee leven?
Staatssecretaris Dekker:
Dat vind ik wel een interessant punt, maar dan zou ik het haast breder willen trekken dan alleen Basispoort. Ik vind dat, als er straks een convenant tot stand komt met heldere afspraken over waar de verantwoordelijkheden liggen, er niet maar blind op vertrouwd moet worden dat het daarna allemaal wel goed komt. Volgens mij heeft de PO-Raad hier ook op gehint in zijn brief. De PO-Raad is daar niet helemaal duidelijk over. Hij heeft het ook over publiek toezicht, maar volgens mij wordt daar niet zozeer de overheid mee bedoeld. Volgens mij wil de sector zelf organiseren dat erop wordt toegezien dat de afspraken die worden gemaakt met uitgeverijen, gestand worden gedaan. Als dat het geval is, kan ik er een heel eind in meegaan, maar dat vraagt dan wel om een iets andere tekst dan er nu in staat.
Mevrouw Ypma (PvdA):
Prima. Dan ga ik de tekst aanpassen, want dit is precies wat ik beoog.
De voorzitter:
Oké, dan weten de leden hier dat de motie op stuk nr. 12, als zij op die manier is aangepast, aan het oordeel van de Kamer wordt gelaten.
Staatssecretaris Dekker:
Ja.
De voorzitter:
Hiermee is er een einde gekomen aan de beraadslaging … O nee, mevrouw Straus wil nog iets zeggen.
Mevrouw Straus (VVD):
Ik heb in tweede termijn een vraag gesteld over het privacy impact assessment. Die vraag heeft de staatssecretaris nog niet beantwoord.
Staatssecretaris Dekker:
Nu mevrouw Straus naar de microfoon snelt, zie ik het op papier staan. Gelukkig kan ik ook mevrouw Straus gelukkig maken. Wat betreft het privacyreglement kan ik mij heel goed voorstellen dat je ook als school bekijkt welke rol een privacy impact assessment daarin speelt. Dat zal ik daarin meenemen.
De beraadslaging wordt gesloten.
De voorzitter:
De stemmingen over de ingediende moties zullen komende dinsdag plaatshebben.
De vergadering wordt van 17.18 uur tot 19.04 uur geschorst.
Voorzitter: Bosma
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/h-tk-20142015-44-9.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.