Hieronder zijn opgenomen het advies van de Afdeling advisering van de Raad van State d.d. 20 april 2017 en het nader rapport d.d. 9 juni 2017, aangeboden aan de Koning door de Minister van Onderwijs, Cultuur en Wetenschap, mede namens de Minister van Economische Zaken. Het advies van de Afdeling advisering van de Raad van State is cursief afgedrukt.

Bij Kabinetsmissive van 20 februari 2017, no.2017000283, heeft Uwe Majesteit, op voordracht van de Minister van Onderwijs, Cultuur en Wetenschap, mede namens de Staatssecretaris van Onderwijs, Cultuur en Wetenschap, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet tot wijziging van diverse onderwijswetten in verband met het pseudonimiseren van een persoonsgebonden nummer van een onderwijsdeelnemer ten behoeve van het bieden van voorzieningen in het kader van het onderwijs en de begeleiding van onderwijsdeelnemers, met memorie van toelichting.

Het wetsvoorstel voorziet in een grondslag voor onderwijsinstellingen om een pseudoniem te genereren op basis van het persoonsgebonden nummer. Met dit pseudoniem kan voor een specifiek geval een ander pseudoniem (een ketenID) worden gegenereerd dat gebruikt kan worden bij de digitale uitwisseling van gegevens tussen een onderwijsinstelling en een andere partij.

De Afdeling advisering van de Raad van State adviseert het voorstel aan de Tweede Kamer te zenden, maar acht aanpassing van het voorstel aangewezen waar het gaat om het stellen van regels over de voorwaarden waaronder de pseudoniemen kunnen worden gebruikt.

In het voorstel wordt een grondslag gegeven om bij ministeriële regeling regels te stellen over de voorwaarden waaronder de pseudoniemen kunnen worden gegenereerd en gebruikt. De Afdeling merkt hierover het volgende op.

Blijkens de mededeling van de Directeur van Uw kabinet van 20 februari 2017, nr. 2017000283, machtigde Uwe Majesteit de Afdeling advisering van de Raad van State haar advies inzake het bovenvermelde voorstel van wet rechtstreeks aan mij te doen toekomen.

Dit advies, gedateerd 20 april 2017, nr. W05.170041/I, bied ik U hierbij aan.

De Afdeling advisering van de Raad van State heeft een aantal inhoudelijke opmerkingen over het voorstel waar het gaat om het stellen van regels over de voorwaarden waaronder de pseudoniemen van onderwijsdeelnemers kunnen worden gebruikt. Hieronder wordt ingegaan op deze opmerkingen van de Afdeling waarbij de indeling van het advies van de Afdeling wordt gehanteerd.

1. Gebruik van andere persoonsgegevens

De toelichting stelt dat de voorwaarden onder meer betrekking hebben op eventuele andere persoonsgegevens die in combinatie met het pseudoniem/ketenID gebruikt mogen worden.2 Hierbij wordt niet aangegeven om welke andere persoonsgegevens het hier gaat. Elders geeft de toelichting als voorbeeld het gebruik van de voornaam en wordt gesteld dat de onderwijsinstelling zelf bepaalt welke aanvullende gegevens met leveranciers worden uitgewisseld.3 Vervolgens stelt de toelichting ook dat het hier kan gaan om bijvoorbeeld de naam of initialen van de leerling, de groep of het niveau van de onderwijsdeelnemer.4

Het verstrekken van andere persoonsgegevens bij het pseudoniem/ketenID kan ertoe leiden dat de private partij ondanks de beoogde pseudonimisering kan achterhalen om welke leerling het gaat. Dit risico wordt vergroot naarmate er meer aanvullende gegevens worden verstrekt. Het is daarom van belang dat duidelijk is welke aanvullende gegevens wel en niet verstrekt mogen worden. De onduidelijkheid in de toelichting over de persoonsgegevens die mogen worden verstrekt en de keuze om dit aan de onderwijsinstellingen zelf over te laten lijken daarom op gespannen voet te staan met het doel van het wetsvoorstel om bij de uitwisseling zo min mogelijk persoonsgegevens te gebruiken.5

1. Gebruik van andere persoonsgegevens

De Afdeling wijst erop dat de toelichting onvoldoende duidelijkheid biedt over de andere persoonsgegevens die in combinatie met het pseudoniem/ketenID gebruikt mogen worden. Eveneens sluiten het voorstel en de toelichting hier onvoldoende op elkaar aan. Het verstrekken van andere persoonsgegevens bij het pseudoniem/ketenID kan ertoe leiden dat de private partij ondanks de beoogde pseudonimisering kan achterhalen om welke leerling het gaat. De onduidelijkheid in de toelichting over de persoonsgegevens die mogen worden verstrekt en de keuze om dit aan de onderwijsinstellingen zelf over te laten, lijken daarom op gespannen voet te staan met het doel van het wetsvoorstel om bij de uitwisseling zo min mogelijk persoonsgegevens te gebruiken. Om die reden adviseert de Afdeling om de aanvullende gegevens die mogen worden verstrekt op het niveau van een algemene maatregel van bestuur vast te stellen.

De regering onderschrijft het belang van helderheid en transparantie op dit punt. Zij erkent dat de passage in paragraaf 1.7 van de toelichting over het stellen van voorwaarden aan de andere persoonsgegevens die in combinatie met het pseudoniem/ketenID gebruikt mogen worden, verduidelijking behoeft. In verband hiermee is de toelichting aangepast om te verhelderen dat de regering het in dit stadium niet wenselijk acht om dergelijke voorwaarden te stellen, maar dat toekomstige ontwikkelingen het nodig kunnen maken om hiertoe wèl over te gaan. Het onderwijs is zelf verantwoordelijk voor een goede omgang met en bescherming van persoonsgegevens van onderwijsdeelnemers. De sector zet stevig in op verbetering op dit terrein. De regering heeft er vooralsnog vertrouwen in dat zelfregulering voldoende effect zal sorteren; daarbij heeft zelfregulering de nodige voordelen boven overheidsregulering.

Centraal uitgangspunt van het wetsvoorstel is dat de onderwijsinstelling zelf verantwoordelijk is voor een zorgvuldige omgang met persoonsgegevens van onderwijsdeelnemers. Deze verplichting vloeit direct voort uit de Wet bescherming persoonsgegevens (Wbp). Voor een goede bescherming van persoonsgegevens van onderwijsdeelnemers zijn de inspanningen van onderwijsinstellingen onontbeerlijk. De regering heeft het belang hiervan in de communicatie met de Tweede Kamer voortdurend benadrukt.6 Dit brengt mee dat het onderwijsveld zelf aan zet is om het recht op privacy van onderwijsdeelnemers te waarborgen.

Binnen het onderwijsveld wordt hier op dit moment stevig op ingezet, zoals in de toelichting op het wetsvoorstel is uiteengezet. Deze is verder aangevuld met de meest recente ontwikkelingen. Zo hebben de PO-Raad, de VO-raad, de MBO Raad, de Groep Educatieve Uitgeverijen (GEU), de Vereniging Digitale Onderwijs Dienstverleners (VDOD) en de leden van de sectie Educatief van de Koninklijke Boekverkopersbond publiek-private in het platform Edu-K afspraken gemaakt om de bescherming van de privacy van onderwijsdeelnemers zeker te stellen. De deelnemende partijen hebben in juni 2016 het «Convenant Digitale onderwijsmiddelen en privacy 2.0» gesloten op grond waarvan de onderwijsinstellingen, en niet de leveranciers van digitale leermiddelen, uitdrukkelijk de regie hebben over wat er gebeurt met de persoonsgegevens van onderwijsdeelnemers die worden verwerkt bij het gebruik van digitale onderwijsmiddelen. Het convenant regelt onder meer voor welke doeleinden de onderwijsinstellingen persoonsgegevens van onderwijsdeelnemers mogen gebruiken en verplicht tot het gebruik van een modelbewerkersovereenkomst. Ook is in dit convenant vastgelegd dat de onderwijsinstellingen, onder meer op basis van gegevens van aanbieders, ouders en onderwijsdeelnemers moeten informeren over het gebruik van persoonsgegevens en hoe ouders en onderwijsdeelnemers gebruik kunnen maken van hun rechten, zoals het recht op inzage en het recht op correctie. Daarnaast is in het convenant vastgelegd dat zowel het Platform Edu-K als de Autoriteit Persoonsgegevens een rol hebben bij het houden van toezicht op de naleving van het convenant en de Wbp. Het convenant (met inbegrip van de bijbehorende modelbewerkersovereenkomst) concretiseert hiermee de verplichtingen van onderwijsinstellingen en hun leveranciers die uit de Wbp voortvloeien.

Bovendien hebben de deelnemende partijen aan het convenant concrete afspraken gemaakt over de implementatie van het pseudoniem/ketenID en over de aanvullende persoonsgegevens die verstrekt mogen worden voor de toegang tot en het gebruik van digitaal leermateriaal en het digitaal afnemen van toetsen en examens. Daarbij is het gezamenlijke doel het zoveel mogelijk terugbrengen van het aantal persoonsgegevens dat hiervoor nodig is, terwijl het verzorgen van onderwijs zo efficiënt mogelijk kan verlopen. Binnen Edu-K is hiertoe een attributenbeleid vastgesteld, waarin de uitgangspunten staan beschreven op basis waarvan onderwijsinstellingen en private partijen omgaan met aanvullende persoonsgegevens (attributen). In het kader daarvan is een standaardattributenset afgesproken, waarin de aanvullende gegevens zijn opgenomen die gebruikt kunnen worden tussen onderwijsinstellingen en private partijen voor de toegang tot en het gebruik van digitale leermiddelen en toetsen. Het gaat om gegevens zoals de voornaam van de onderwijsdeelnemer, in welke groep de onderwijsdeelnemer onderwijs volgt en leerresultaten (zoals de score van een toets die de deelnemer heeft gemaakt). De standaardattributenset is juridisch getoetst en voldoet aan het vereiste van doelbinding; de gegevens die erin zijn opgenomen zijn nodig voor het goed laten functioneren van digitale onderwijsmiddelen.7 Uit deze juridische analyse komt ook naar voren dat het op overkoepelend niveau vaststellen van een attributenbeleid er naar verwachting toe zal leiden dat het overgrote deel van de markt zich zal gaan conformeren aan de standaarden die in dit beleid zijn gezet en dat leveranciers bij de inrichting van hun diensten rekening zullen houden met dit beleid. Deze ontwikkeling komt tegemoet aan de vereisten van privacy by design en privacy by default. Het vaststellen van een standaardattributenset, in combinatie met het invoeren van één persisterend kenmerk (pseudoniem/ketenID) voor de koppeling tussen de digitale leeromgeving van de leveranciers en de onderwijsdeelnemers, zal naar verwachting leiden tot een afname van het aantal persoonsgegevens dat op dit moment «standaard» door een onderwijsinstelling wordt doorgegeven. Het attributenbeleid zal stelselmatig onderwerp van evaluatie en zo nodig aanpassing zijn binnen Edu-K. Het attributenbeleid, de standaardattributenset, de juridische analyse en andere relevante documenten zijn openbaar en voor eenieder toegankelijk via de website van Edu-K (www.edu-k.nl).

De standaardattributenset geeft de onderwijsinstelling heldere richtlijnen en biedt haar tegelijkertijd de ruimte om daar in voorkomend geval gemotiveerd van af te kunnen wijken. Die ruimte is ook wenselijk. Een aanbieder van digitale leermiddelen kan bijvoorbeeld een adaptief leermiddel ontwikkelen waarbij ook het geslacht van een leerling wordt gebruikt, omdat daarmee op een goede manier ingespeeld kan worden op verschillende leerstijlen tussen jongens en meisjes. Juist in dit soort gevallen hecht de regering eraan dat de onderwijsinstelling als verantwoordelijke, vanuit haar eigen ambities en visie op goed onderwijs, en in goed overleg met ouders en de medezeggenschapsraad, een zorgvuldige afweging maakt over de persoonsgegevens die zij van onderwijsdeelnemers ter beschikking stelt en voor welke doeleinden. De regering draagt met het wetsvoorstel voor het kunnen gebruiken van een pseudoniem (op basis van het persoonsgebonden nummer) bij aan een verbetering van zowel de privacy van onderwijsdeelnemers als het effectief functioneren van digitale leermiddelen.

De initiatieven en ontwikkelingen die in het onderwijs plaatsvinden en de waarborgen die het convenant biedt voor een goede omgang met persoonsgegevens, geven aanleiding tot vertrouwen en terughoudendheid bij het stellen van nadere regels door de overheid. Temeer omdat deze regels ongewenste neveneffecten kunnen hebben. Zij kunnen bijvoorbeeld verhinderen dat een aanbieder een adaptief leermiddel ontwikkelt dat effectief kan inspelen op verschillende leerstijlen en daarmee een drempel voor nieuwe toetreders en een rem op innovatie betekenen. Tegen deze achtergrond heeft de regering er bewust voor gekozen het gebruik van pseudoniemen niet te verplichten, maar de keuze voor passende maatregelen om de privacy van onderwijsdeelnemers te waarborgen aan de onderwijsinstelling als verantwoordelijke te laten. Dat geldt eveneens voor het gebruik van aanvullende persoonsgegevens.

Tegelijkertijd deelt de regering de zorg van de Afdeling dat de keuze voor zelfregulering op gespannen voet kan staan met het doel van het voorstel om bij de uitwisseling zo min mogelijk persoonsgegevens te gebruiken. Om aan deze zorg tegemoet te komen, is het wetsvoorstel aangevuld met een evaluatiebepaling, die inhoudt dat de regering binnen vijf jaar na de inwerkingtreding van deze wet aan de Staten-Generaal verslag uitbrengt over de doeltreffendheid en de effecten van deze wet in de praktijk. Daarbij zal onderzocht worden of de onderwijsinstellingen de Wbp voldoende in acht nemen. Mocht deze evaluatie aantonen dat de gekozen aanpak van zelfregulering in de praktijk onvoldoende effect sorteert, dan zal een nadere afweging plaatsvinden over de te nemen maatregelen, zoals het wettelijk voorschrijven van het gebruik van het pseudoniem/ketenID en/of van de aanvullende persoonsgegevens die mogen worden verstrekt.

2. Inhoud en niveau van regelgeving

In het voorstel wordt ervoor gekozen om de regeling van de voorwaarden voor gebruik te delegeren naar het niveau van een ministeriële regeling. In het voorstel zelf staat dat het hier in ieder geval gaat om de duur, de beveiliging, waaronder gescheiden opslag van de pseudoniemen en de categorieën van ontvangers van deze pseudoniemen.8 De toelichting geeft aan dat de voorwaarden onder meer betrekking hebben op de partijen die over het pseudoniem/ketenID mogen beschikken, de bewaartermijn van het pseudoniem/ketenID, eventuele andere persoonsgegevens die in combinatie met het pseudoniem/ketenID gebruikt mogen worden, de manier waarop het pseudoniem/ketenID tot stand komt en de beveiligingseisen.

De Afdeling merkt hierover ten eerste op dat de toelichting voorbeelden van voorwaarden noemt die niet in het voorstel zelf zijn opgenomen, zoals andere persoonsgegevens die mogen worden gebruikt en de manier waarop het pseudoniem/ketenID tot stand komt. Dit is onwenselijk omdat delegatie van regelgevende bevoegdheid in het voorstel zelf zo concreet en nauwkeurig mogelijk moet worden begrensd.9 Daarnaast wordt niet gemotiveerd waarom voor al deze typen voorwaarden gekozen is voor delegatie naar ministeriële regeling. In ieder geval daar waar het gaat om de bewaartermijn, de aanvullende gegevens die mogen worden verstrekt en de categorieën ontvangers van het pseudoniem/ketenID raken deze voorwaarden de kern van het wetsvoorstel omdat zij directe gevolgen hebben voor de eventuele inbreuk die gemaakt kan worden op de privacy van onderwijsdeelnemers. De Afdeling wijst erop dat delegatie aan de Minister van regelgevende bevoegdheid moet worden beperkt tot voorschriften van administratieve aard, uitwerking van de details van een regeling, voorschriften die dikwijls wijziging behoeven en voorschriften waarvan te voorzien is dat zij mogelijk met grote spoed moeten worden vastgesteld.10 Dat is hier niet aan de orde en om die reden ligt delegatie naar het niveau van een ministeriële regeling niet voor de hand.

2. Inhoud en niveau van regelgeving

De Afdeling adviseert om de voorwaarden waaronder de pseudoniemen kunnen worden gegenereerd en gebruikt op het daarvoor geëigende niveau te regelen (en de bepalingen in het wetsvoorstel aan te passen), dat voldoende te motiveren en het voorstel en de toelichting op elkaar af te stemmen waar het gaat om de overige voorwaarden. Daarbij stelt de Afdeling dat de bewaartermijn, de aanvullende gegevens die mogen worden verstrekt en de categorieën ontvangers op het niveau van een algemene maatregel van bestuur zouden moeten worden vastgesteld.

De regering heeft een bijzondere verantwoordelijkheid voor het genereren en gebruiken van pseudoniemen, omdat deze hun oorsprong vinden in het persoonsgebonden nummer; het gebruik van dit nummer is aan strenge wettelijke regels gebonden. De regering wil voorkomen dat pseudoniemen alsnog herleid kunnen worden tot het persoonsgebonden nummer, of dat het pseudoniem de facto een nieuw persoonsgebonden nummer zou worden. Daarvoor is het nodig nadere voorwaarden te stellen ten aanzien van de beveiliging en het gebruik van pseudoniemen te beperken, door zowel de categorieën van ontvangers van het pseudoniem te limiteren, als grenzen te stellen aan hoe lang het pseudoniem gebruikt mag worden (duur van het pseudoniem).

De regering kan zich vinden in het advies van de Afdeling om de categorieën van ontvangers van het pseudoniem/ketenID op het niveau van een algemene maatregel van bestuur in plaats van een ministeriële regeling te regelen en heeft dat advies overgenomen. Ten aanzien van het pseudoniem voor het bieden van voorzieningen in het kader van het onderwijs en de begeleiding van onderwijsdeelnemers en het pseudoniem voor de toegang tot en het gebruik van digitale leermiddelen en het digitaal afnemen van toetsen en examens heeft de regering het wetsvoorstel zelf aangevuld met de categorieën van ontvangers.

Ten aanzien van de duur van het pseudoniem constateert de Afdeling terecht dat het wetsvoorstel en de toelichting verduidelijking behoeven. In het voorstel staat dat de voorwaarden die bij ministeriële regeling worden gesteld onder meer betrekking kunnen hebben op de duur van de pseudoniemen. De duur van het pseudoniem moet worden onderscheiden van de bewaartermijn. Bij de duur gaat het om de vraag hoe lang hetzelfde pseudoniem gebruikt mag worden, bij de bewaartermijn om de vraag hoe lang de pseudoniemen en de persoonsgegevens bewaard mogen worden (nadat ze actief gebruikt zijn). De regering acht het wenselijk om ten aanzien van de duur van pseudoniemen het nodige te regelen, om te voorkomen dat een pseudoniem de facto een nieuw persoonsgebonden nummer wordt. Voor het pseudoniem/ketenID dat gebruikt wordt voor de toegang tot en het gebruik van digitale leermiddelen en het digitaal afnemen van toetsen en examens zal de duur van het pseudoniem worden beperkt tot de onderwijssector. Wanneer een leerling van het primair onderwijs naar het voortgezet onderwijs gaat, zal er dus een ander pseudoniem voor deze leerling moeten worden gegenereerd. Hier is voor gekozen, omdat vrijwel het gehele aanbod van leermiddelen per onderwijssector is vormgegeven. De ontwikkelingen binnen het onderwijs en de leermiddelenmarkt gaan echter toe naar een situatie waarin maatwerk per leerling en doorlopende leerlijnen beter gefaciliteerd worden. Het aanbod van sectoroverstijgende leermiddelen zal daarmee groeien. Op termijn ontstaat hierdoor een situatie waarbij een andere indeling van de duur van pseudoniemen wenselijk is om het onderwijs aan leerlingen op een goede manier te kunnen faciliteren. Hoe deze ontwikkelingen zullen uitpakken is nog niet te voorzien, wel is helder dat dit een dynamisch proces is. Dit betekent dat de voorschriften ten aanzien van de duur van pseudoniemen naar verwachting dikwijls wijziging zullen behoeven. De regering acht daarom delegatie naar ministeriële regeling voor deze administratieve voorschriften aangewezen. Ten aanzien van bewaartermijnen van persoonsgegevens van onderwijsdeelnemers is het nodige al geregeld in de Wbp, artikel 19 van het Vrijstellingsbesluit Wbp, de onderwijswetgeving en het eerdergenoemde convenant. De regering acht aanvullende regels overbodig. De toelichting is op dit punt verhelderd.

De motivering voor het opnemen van voorwaarden ten aanzien van de beveiliging, waaronder de gescheiden opslag van pseudoniemen, in een ministeriële regeling is dat deze voorwaarden administratieve voorschriften betreffen en naar verwachting dikwijls zullen wijzigen. De voorwaarden die zien op de beveiliging hangen immers sterk samen met de snel voortschrijdende ontwikkelingen in de techniek. Het niveau van de ministeriële regeling biedt de nodige flexibiliteit om deze nadere voorwaarden actueel te houden en daarmee ook daadwerkelijk in de beveiliging van pseudoniemen te kunnen voorzien.

3. Conclusie

Op grond van het bovenstaande adviseert de Afdeling om de bepalingen in het wetsvoorstel die zien op de regeling van de voorwaarden waaronder de pseudoniemen kunnen worden gegenereerd en gebruikt aan te passen. Hierbij zou in ieder geval moeten worden geregeld dat de bewaartermijn, de aanvullende gegevens die mogen worden verstrekt en de categorieën ontvangers op het niveau van een algemene maatregel van bestuur worden vastgesteld. Tevens moet worden gemotiveerd waarom het stellen van regels over de overige voorwaarden kan worden gedelegeerd naar het niveau van ministeriële regeling. Ten slotte moeten het voorstel en de toelichting op elkaar worden afgestemd waar het gaat om de overige voorwaarden waarvoor bij ministeriële regeling regels worden vastgesteld.

De Afdeling advisering van de Raad van State geeft U in overweging het voorstel van wet te zenden aan de Tweede Kamer der Staten-Generaal, nadat met het vorenstaande rekening zal zijn gehouden.

Ik moge U, in overeenstemming met de Minister van Economische Zaken, verzoeken het hierbij gevoegde gewijzigde voorstel van wet en de gewijzigde memorie van toelichting aan de Tweede Kamer der Staten-Generaal te zenden.

De Minister van Onderwijs,Cultuur en Wetenschap, M. Bussemaker