Regeling van de Minister van Onderwijs, Cultuur en Wetenschap en de Minister voor Basis- en Voortgezet Onderwijs en Media van 17 mei 2018, nr. 1319281, houdende voorwaarden waaronder pseudoniemen voor onderwijsdeelnemers gegenereerd en gebruikt kunnen worden (Regeling pseudonimisering onderwijsdeelnemers)

TOELICHTING

Algemeen

De Regeling pseudonimisering onderwijsdeelnemers heeft tot doel nadere voorwaarden te stellen waaronder het bevoegd gezag pseudoniemen van onderwijsdeelnemers kan (laten) genereren en gebruiken. Deze nadere voorwaarden beogen de persoonsgegevens van de onderwijsdeelnemers te beschermen en te beveiligen, door de gebruiksduur van de verschillende pseudoniemen te beperken en door aan het gebruik daarvan beveiligingsvoorschriften te stellen.

Daarmee geeft deze regeling uitvoering aan de Wet van 29 november 2017 tot wijziging van diverse onderwijswetten in verband met het pseudonimiseren van het persoonsgebonden nummer van een onderwijsdeelnemer ten behoeve van het bieden van voorzieningen in het kader van het onderwijs en de begeleiding van onderwijsdeelnemers (Stb. 2017, 508) die op 1 februari 2018 in werking is getreden. Deze wet voorziet in een grondslag om een pseudoniem te genereren op basis van het persoonsgebonden nummer. Dit pseudoniem vormt vervolgens de basis om voor een specifiek geval een ander pseudoniem (in de technische uitvoering bekend als ketenID) te genereren, dat gebruikt kan worden bij de digitale uitwisseling van gegevens tussen een onderwijsinstelling en een andere partij. Het gebruik van een ketenID is in ieder geval voorzien voor de toegang tot en het gebruik van digitale leermiddelen en het digitaal afnemen van toetsen en examens.

De regeling is gebaseerd op de artikelen 178a, veertiende lid, van de Wet op het primair onderwijs, 147, elfde lid, van de Wet primair onderwijs BES, 164a, vijftiende lid, van de Wet op de expertisecentra, 103b, vijftiende lid, van de Wet op het voortgezet onderwijs, 179, twaalfde lid, van de Wet voortgezet onderwijs BES, 2.3.6a, twaalfde lid, en 2.5.5a, vijftiende lid, van de Wet educatie en beroepsonderwijs, 2.3.4, twaalfde lid, van de Wet educatie en beroepsonderwijs BES en 7.52, twaalfde lid, van de Wet op het hoger onderwijs en wetenschappelijk onderzoek. In deze artikelen is geregeld dat bij ministeriële regeling regels worden gesteld over de voorwaarden waaronder het pseudoniem en het andere pseudoniem kunnen worden gegenereerd en gebruikt. Deze voorwaarden betreffen in ieder geval de gebruiksduur en de beveiliging, waaronder de gescheiden opslag van de pseudoniemen. In de wet zijn de categorieën van ontvangers van de pseudoniemen opgenomen, waarmee het gebruik van de pseudoniemen al wordt begrensd: uitsluitend het andere pseudoniem (ketenID) (en dus niet het persoonsgebonden nummer, of het pseudoniem) wordt verstrekt aan een leverancier die een digitaal product of een digitale dienst aanbiedt bestaande uit leerstof of toetsen en de daarmee samenhangende digitale diensten. Door in deze regeling ook grenzen te stellen aan de gebruiksduur van de pseudoniemen/ketenID’s, wordt voorkomen dat er de facto een nieuw persoonsgebonden nummer geïntroduceerd zou worden. Door daarnaast beveiligingseisen te stellen, is gewaarborgd dat de kans op onbevoegde verwerking en misbruik van de pseudoniemen of ketenID’s geminimaliseerd wordt. Daarbij moet worden bedacht dat pseudonimisering zelf ook al een goede maatregel is om persoonsgegevens te beschermen en beveiligen.

Administratieve lasten

De invoering van pseudoniemen zal van de bevoegd gezagen vragen dat zij verwerkersovereenkomsten sluiten met de leveranciers en Kennisnet (de nummervoorziening voor het genereren, wijzigen en verwijderen van een pseudoniem of ketenID) voor de uitvoering van de gegevensverwerking. Hiervoor zijn modelovereenkomsten beschikbaar, waardoor de administratieve last voor onderwijsinstellingen beperkt is.1 Bovendien levert de invoering van pseudoniemen voor onderwijsinstellingen een structurele administratieve lastenvermindering op. De gegevensuitwisseling tussen het schooladministratiesysteem, de voorziening die de pseudoniemen genereert en de uitwisseling met bevoegde partijen zal volledig geautomatiseerd plaatsvinden. Anders dan in de huidige praktijk het geval is, vergt dit geen additionele handelingen van de onderwijsinstelling. Door de invoering van pseudoniemen zal de foutgevoeligheid van gegevensuitwisselingen afnemen. In de huidige situatie zijn handmatige administratieve correcties noodzakelijk door de onderwijsinstelling die in het geval van digitale leermiddelen tot ongewenste lesverstoringen leiden, omdat onderwijsdeelnemers niet kunnen inloggen op hun leermiddelen. De huidige praktijk laat zien dat deze fouten vooral in het voortgezet onderwijs een probleem zijn. Geschat wordt dat een gemiddelde onderwijsinstelling minimaal 3 uur per jaar met correcties bezig is. Dat aantal loopt snel op als er serieuze problemen zijn. De nadere voorwaarden die in de onderhavige regeling gesteld worden hebben geen effect op de administratieve lasten van onderwijsinstellingen.

Uitvoerbaarheid

Deze regeling is aan de relevante partijen (de PO-Raad, de VO-raad, Kennisnet, de Groep Educatieve Uitgeverijen, de Vereniging Digitale Onderwijs Dienstverleners en de leden van de sectie Educatief van de Koninklijke Boekverkopersbond) voorgelegd voor een beoordeling van de uitvoerbaarheid. De bepalingen in deze regeling zijn in lijn met de aansluitvoorwaarden van de nummervoorziening en de randvoorwaarden waarbinnen pseudonimisering wordt geïmplementeerd en daarmee wordt de regeling uitvoerbaar geacht.

Artikelsgewijs

Artikel 1

Artikel 1 bevat de definities die worden gehanteerd in deze regeling. Het gaat om de definities van pseudoniem, ketenID, onderwijsdeelnemer en nummervoorziening.

Artikel 2

Artikel 2 stelt voorwaarden aan de gebruiksduur van de pseudoniemen en ketenID’s. Het pseudoniem dat met het oog op het bieden van voorzieningen in het kader van het onderwijs en de begeleiding van onderwijsdeelnemers kan worden gegenereerd en gebruikt zal gedurende de hele onderwijsloopbaan gelijk blijven. Voor dit pseudoniem geldt op grond van de Wet van 29 november 2017 (Stb. 2017, 508) dat het éénmalig op basis van een versleuteld persoonsgebonden nummer gegenereerd kan worden. Onder éénmalig wordt verstaan dat het versleutelde persoonsgebonden nummer niet voor het genereren van andere pseudoniemen dan het hier bedoelde mag worden gebruikt. Wanneer het pseudoniem evenwel verloren gaat of hersteld dient te worden, dan kan het versleutelde persoonsgebonden nummer opnieuw gebruikt worden om het pseudoniem te genereren, zodat het bevoegd gezag hierover kan beschikken. Voor het genereren en gebruiken van een ketenID voor een onderwijsdeelnemer in het kader van de toegang tot en het gebruik van digitale leermiddelen of het digitaal afnemen van toetsen en examens, geldt dat het gebruik beperkt wordt tot de verblijfsduur van de onderwijsdeelnemer in de onderwijssector waarvoor dat ketenID is gegenereerd. Zodra de onderwijsdeelnemer overstapt naar een andere onderwijssector (bijvoorbeeld van het primair onderwijs naar het voortgezet onderwijs) wordt voor deze onderwijsdeelnemer een nieuw ketenID gegenereerd.

Artikel 3

Artikel 3 bevat regels over de beveiliging van het persoonsgebonden nummer, het pseudoniem en het ketenID. Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing en geldt in de hele Europese Unie dezelfde privacywetgeving. De AVG vervangt de Wet bescherming persoonsgegevens. De AVG zorgt onder meer voor een versterking en uitbreiding van privacyrechten en meer verantwoordelijkheden voor organisaties. Ook bevat de AVG regels over pseudonimisering. Omdat er een koppeling tot stand kan worden gebracht tussen de gepseudonimiseerde gegevens en identificerende gegevens zijn gepseudonimiseerde gegevens onverkort persoonsgegevens. De verordening is dan ook volledig van toepassing op gepseudonimiseerde gegevens. Wel geeft de verordening aan dat pseudonimisering een goede maatregel is om persoonsgegevens te beschermen en te beveiligen.

Een verordening heeft rechtstreekse toepassing in de Nederlandse rechtsorde. In verband daarmee is het in beginsel niet toegestaan de daarin gewaarborgde rechten en verplichtingen in de nationale regelgeving over te nemen (het zgn. overschrijfverbod). Dat betekent dat een aantal voorschriften ten aanzien van de beveiliging niet meer nader geregeld hoeft te worden in deze regeling. Zo is in artikel 25, tweede lid, van de AVG geregeld dat de verwerkingsverantwoordelijke (in dit geval het bevoegd gezag) passende technische en organisatorische maatregelen treft om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen er met name voor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt. Overweging 78 bij artikel 25 van de AVG bepaalt dat ter bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens passende en organisatorische maatregelen nodig zijn om te waarborgen dat aan de voorschriften van de AVG wordt voldaan. In de voornoemde overweging wordt aangegeven dat het kan gaan om beveiligingsmaatregelen in algemene zin, zoals het minimaliseren van de verwerking van persoonsgegevens, transparantie met betrekking tot de functies en de verwerking van persoonsgegevens en het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking.

Ter nadere invulling van artikel 25 van de AVG wordt in het eerste lid geregeld dat het bevoegd gezag er zorg voor moet dragen dat de aanbieders van de systemen waarin de onderwijsdeelnemers zijn geregistreerd passende beveiligingsmaatregelen treffen ter voorkoming van onbevoegde verwerking en misbruik van het persoonsgebonden nummer en het pseudoniem door derden, waaronder in ieder geval maatregelen die ervoor zorgen dat het persoonsgebonden nummer en het pseudoniem door het bevoegd gezag veilig kunnen worden verstuurd naar de voorziening die het pseudoniem of het ketenID genereert. Deze maatregelen leiden er in ieder geval toe dat het persoonsgebonden nummer, het pseudoniem en het ketenID versleuteld en beveiligd volgens de aansluitvoorwaarden van de nummervoorziening worden uitgewisseld; zij richten zich op een veilige totstandkoming van het pseudoniem en het ketenID en hebben alleen betrekking op de partijen (bevoegd gezag, Kennisnet, aanbieders van systemen waarin de onderwijsdeelnemers zijn geregistreerd) die een rol hebben bij de totstandkoming van het pseudoniem en het ketenID. 2

Het tweede en het derde lid van artikel 3 bevatten algemene voorschriften ten aanzien van de opslag en beveiliging van pseudoniemen en ketenID’s voor alle partijen die betrokken zijn bij de toegang tot en het gebruik van digitale leermiddelen. Elke leverancier die de relevante normenkaders toepast zal inzichtelijk krijgen welke maatregelen getroffen dienen te worden om te voorzien in een adequaat beveiligingsniveau. De te nemen maatregelen zullen variëren per geleverde dienst en zijn mede afhankelijk van de aard en omvang van de gegevensverwerking. De normenkaders voorzien hiervoor in de nodige flexibiliteit. Voor het persoonsgebonden nummer gelden dit soort voorschriften al op grond van de Wet bescherming persoonsgegevens (vanaf 25 mei 2018: op grond van de AVG).

In overweging 29 van de AVG is ten aanzien van pseudonimisering onder andere opgenomen dat de verwerkingsverantwoordelijke (in dit geval het bevoegd gezag) pseudonimiseringsmaatregelen moet kunnen nemen wanneer deze de noodzakelijke technische en organisatorische maatregelen heeft getroffen. Specifiek staat in deze overweging de aparte opslag van de aanvullende gegevens om de persoonsgegevens aan een specifieke betrokkene te koppelen genoemd. In deze regeling is er vanuit gegaan dat het eerder genoemde overschrijfverbod niet strikt kan worden toegepast op genoemde overweging, waardoor deze geen rechtstreekse werking heeft in de Nederlandse rechtsorde. Om deze reden is in het derde lid geregeld dat het pseudoniem en het andere pseudoniem gescheiden van elkaar worden opgeslagen en van andere persoonsgegevens. Het pseudoniem en ketenID worden apart opgeslagen van elkaar en van andere persoonsgegevens en het pseudoniem wordt niet verder verspreid. Aan de voorwaarde van gescheiden opslag kan eveneens worden voldaan door het toepassen van adequate encryptie op het ketenID. Hiermee wordt geborgd dat de toegang tot de andere persoonsgegevens gescheiden is van de toegang tot het ketenID. Tevens mag het pseudoniem niet aan derden worden verstrekt. Hiermee wordt de kans op herleidbaarheid en reproduceerbaarheid van het pseudoniem verkleind, hetgeen ten goede komt aan de bescherming van de persoonlijke levenssfeer. Gegevens mogen alleen aan derden worden doorgegeven als daar een goede reden voor is. Goede redenen kunnen zijn als er toestemming is gegeven, als het nodig is om gegevens op grond van een wettelijke verplichting aan derden te leveren of als de gegevens worden geleverd ter uitvoering van een publiekrechtelijke taak. Daar is in dit geval geen sprake van.

Artikel 4

Op grond van kabinetsbeleid inzake vaste verandermomenten treden ministeriële regelingen op het terrein van het onderwijs in beginsel in werking met ingang van 1 januari, 1 april, 1 augustus of 1 september. Bekendmaking geschiedt uiterlijk twee maanden voor inwerkingtreding. In deze regeling is afgeweken van het systeem van vaste verandermomenten, zodat deze regeling zo snel mogelijk na inwerkingtreding van de Wet tot wijziging van diverse onderwijswetten in verband met het pseudonimiseren van het persoonsgebonden nummer van een onderwijsdeelnemer ten behoeve van het bieden van voorzieningen in het kader van het onderwijs en de begeleiding van onderwijsdeelnemers (Stb. 2017, 508) in werking kan treden. Hierbij wordt gebruik gemaakt van de uitzonderingsgrond dat vertraging van de invoering tot hoge private en publieke nadelen leidt. Om tot een zorgvuldige invoering van de nieuwe systematiek van pseudonimiseren over te gaan met ingang van volgend schooljaar, is het nodig dat scholen en leveranciers van digitale leermiddelen hun systemen tijdig aanpassen en testen, zodat de continuïteit van het onderwijs niet in het geding komt. Daarvoor is tijdige beschikbaarheid van het persoonsgebonden nummer voor dit doel noodzakelijk.

De Minister van Onderwijs, Cultuur en Wetenschap, I.K. van Engelshoven

De Minister voor Basis- en Voortgezet Onderwijs en Media, A. Slob