Internetjurist Arnoud Engelfriet mocht tijdens de Onderwijsdagen een presentatie verzorgen over learning analytics en de nieuwe privacyverordening (Algemene Verordening Gegevensbescherming). Wat zijn de belangrijkste wetenswaardigheden?
- In tegenstelling tot de Wet Bescherming Persoonsgegevens krijg je onder AVG direct forse boetes.
- Je moet ook een onafhankelijk functionaris hebben die persoonsgegevens gaat beschermen.
- Je moet nu veel strengere maatregelen treffen om persoonsgegevens te beschermen.
- Als je dingen weet over mensen, kun je daar dingen mee. Mensen hebben recht op hun persoonsgegevens.
- In elk Europees land is de AVG van toepassing.
- Persoonsgegevens zijn ook gegevens die iets zeggen over een persoon. Niet alleen de naam. Gegevens over één persoon (zoals studentnummer) zijn persoonsgegevens.
- De AVG verbiedt niet alles. Je moet kunnen aantonen waarom je iets doet, en waarom dat niet een onsje minder kan. Je moet meer gaan verantwoorden.
- Als je een identificator hasht, dan is dat ook een persoonsgegevens.
- Geaggregeerde gegevens zijn geen persoonsgegevens. Die vallen dus niet onder persoonsgegevens.
- Verwerk geen bijzondere persoonsgegevens (zoals etniciteit, biometrische gegevens, seksuele gerichtheid, medische kenmerken, politieke voorkeur).
- Je mag niets met biometrische gegevens doen, tenzij dat in de nationale wetten is vastgelegd. Als jij hard kunt maken dat je biometrische gegevens nodig hebt voor identificatie, dan mag dat.
- Arnoud presenteerde beginselen over het omgaan met persoonsgegevens (zoals niet meer gegevens vragen dan noodzakelijk, doelbinding/doelbeperking (gebruik gegevens alleen voor je doelen), accuraat en relevant). Gegevens die iemand privé deelt, mogen niet gewerkt worden. Je hebt bijvoorbeeld wel een reden nodig voor toetsafmelding, maar je mag daar niet te specifiek in zijn wat betreft redenen.
- De invoering van de AVG wordt een ramp. Medewerkers hadden er op voorbereid moeten zijn. Daar hebben instellingen twee jaar de tijd voor gehad. Die tijd is niet benut.
- Eén van de grondslagen is dat sprake is van gerechtvaardigd eigen belang of het doen van wetenschappelijk onderzoek.
- Toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Als er machtsverhoudingen in het geding zijn dan is toestemming uit vrije wil eigenlijk niet aan de orden. Er moet een alternatief zijn of je moet zonder gevolgen ‘nee’ kunnen zeggen.
- Als je bij inschrijving aan een school mensen akkoord laat gaan met analyseren tbv learning analytics, dan mag dat.
- Je moet vastleggen wat je doet met gegevens (Europees Taalniveau B2).
- Studenten hebben recht een kopie te krijgen van gegevens die worden gebruikt. Er is ook sprake van recht van correctie en verwijdering. Je moet vooral motiveren. Onder meer wat betreft bewaartermijnen. Een toezichthouder bewaakt de motivatie.
- Je bent verplicht een register van verwerking te hebben waarin o.a. grondslagen, ontvangers, beveiliging en bewaartermijnen worden vastgelegd.
- Bepaalde verwerkingen besteed je uit. Bijvoorbeeld cloud diensten. Jij bent verantwoordelijk daarvoor. Een bewerker of verwerker handelt in jouw opdracht. Betrokkenen hebben rechten jegens de onderwijsinstelling. Jij bent als instelling verantwoordelijk voor boetes voor datalekken. Personen -individuele medewerkers- zijn niet verantwoordelijk voor datalekken. Maar je kunt hen natuurlijk wel straffen voor het schade aanbrengen.
- Deze wet is een reactie op de grote datastofzuigers. Als je het al op orde hebt, dan is het vooral een kwestie van documenteren.
Data-driven leren en de Privacyverordening, wat mag er nog? – Arnoud Engelfriet – OWD17 from SURF Onderwijsdagen
This content is published under the Attribution 3.0 Unported license.
Hoi Wilfred,
Je schrijft bij het een-na-laatste bolletje: “Jij bent verantwoordelijk voor boetes voor datalekken. Personen zijn niet verantwoordelijk voor datalekken.”
Wie is jij en wie zijn personen?
Groeten,
Glenn
Goed dat het aandacht krijgt op zo’n dag. Recht op privacy en de naleving daarvan raakt ons allemaal. Knap om zoveel op te sommen. Het is denk ik wel goed dat je hierbij aangeeft dat deze lijst niet volledig of uitputtend is, toch? Er zijn ook nog wel wat kanttekeningen bij te maken. Bijvoorbeeld: Bij toestemming ‘learning analytics’ moet je wel kunnen uitleggen wat ‘learning analytics’ voor jouw organisatie precies inhoudt (idd met welk doel, welke grondslag en welke persoonsgegevens + wie en welke maatregelen). Of: Het recht op verwijdering kan haaks staan op de verplichte bewaartermijn die vastgelegd is in de Archiefwet of die je bent overeengekomen met een Samenwerkingsverband of ihkv Subsidieregelingen of in je eigen Selectielijst. En de onderwijsinstelling (lees: bevoegd gezag) is Verwerkersverantwoordelijk en afhankelijk van hoe het geregeld is daarmee ook voor boetes wanneer ze aansprakelijk wordt gesteld. De verwerkersverantwoordelijk kan een boete ook ten laste leggen van de verwerker, zeker wanneer daar sprake is van nalatigheid en dat goed is vastgelegd in de verwerkersovereenkomst… Kortom, er valt heel wat over dit onderwerp te zeggen. En dit zal zeker niet het laatste zijn. Mijn duit in het zakje. 🙂
Dank voor je duit. De lijst is zeker niet volledig of uitputtend.
Was inderdaad niet helder. Ik heb de tekst veranderd.
Wilfred, even een vraagje in het verlengde hiervan. Stel dat een onderwijstaak ervoor kiest om studenten opdrachten of bijv.verslagen te laten inleveren in googledocs in plaats van in een elo waarin alles versleuteld wordt opgeslagen. In die verslagen staan ongetwijfeld ook gegevens over de persoon zelf maar ze plaatsen dit ook zelf. Mag dat wel?
Nee. Je hebt geen bewerkersovereenkomst met Google. Studenten zijn ook niet vrij om de uitwerking niet te plaatsen.