Privacy Nieuws
Een hacker die gegevens van studenten en medewerkers van de Hogeschool van Arnhem en Nijmegen (HAN) heeft gestolen, heeft deze op het internet gezet. Dat meldt RTL Nieuws na inzage in de gegevens.
De hacker eiste losgeld, maar de hogeschool meldde eerder dat niet te gaan betalen. Daarop besloot de persoon, die op internet de schuilnaam masterballz gebruikt, de gegevens online te zetten.
Volgens RTL Nieuws worden de gestolen gegevens nu verspreid via een populaire downloaddienst. Het is onduidelijk of de gegevens ook te koop worden aangeboden of dat criminelen ze alleen onderling met elkaar delen.
Het zou gaan om gegevens van honderdduizenden mensen, onder wie veel (oud-)studenten. Onder andere hun volledige namen, e-mailadressen, geboortedatums, telefoonnummers en woonadressen zijn uitgelekt. Ook zouden duizenden wachtwoorden zijn gestolen. Die zijn grotendeels van alumni van de HAN en niet van huidige studenten.
De hogeschool meldt op haar website nog niet te kunnen bevestigen dat de buitgemaakte data zijn gepubliceerd. Wel ligt dat “in de lijn der verwachting”. Volgend de HAN zijn er geen actuele wachtwoorden gestolen.
De school ontdekte het lek vorige week woensdag. De onderwijsinstelling heeft daarop onafhankelijke experts ingeschakeld om de zaak te laten onderzoeken. Ook heeft de HAN aangifte gedaan bij de politie en het lek gemeld bij de Autoriteit Persoonsgegevens (AP).
Privacy Nieuws
Er kleven privacyrisico’s aan het gebruik van Google G Suite for Education (heet nu: Google Workspace for Education). Dat blijkt uit onderzoek in opdracht van de Rijksuniversiteit Groningen (RUG) en de Hogeschool van Amsterdam (HvA).
De demissionaire onderwijsministers Ingrid van Engelshoven en Arie Slob hebben hierover een brief gestuurd aan de Tweede Kamer.
G Suite for Education heet sinds kort Google Workspace for Education en bevat Classroom, Meet, Gmail, Calendar, Drive, Docs, Sheets, Slides en meer.
De privacyrisico’s zijn aan het licht gekomen door een zogenoemde Data Protection Impact Assessment (DPIA) naar Google G-suite.
Een DPIA geeft inzicht in hoe gegevens verzameld worden, wat ermee gedaan wordt en wat de privacyrisico’s zijn.
Het Ministerie van Justitie en Veiligheid heeft het DPIA naar de Enterprise versie uit laten voeren, en de RUG en HvA hebben onderzoek laten doen op Google G-suite Education.
Uit deze DPIA’s blijkt dat er privacyrisico’s zijn bij het gebruik van Google G Suite en G Suite for Education. Een van deze risico’s betreft de omgang met metadata.
Google heeft als standpunt dat zij zichzelf als enige verwerkingsverantwoordelijke ziet voor metadata. Dit betekent dat zij mag bepalen voor welk doel zij metadata verzamelen en op welke manier dat gebeurt.
Ook heeft Google in de privacyovereenkomsten opgenomen dat zij de voorwaarden rondom metadata eenzijdig mag aanpassen, zonder de gebruiker om toestemming te vragen.
Dat betekent dat onderwijsinstellingen die Google G Suite for Education gebruiken, geen of onvoldoende grip houden op wat er met deze gegevens gebeurt”, aldus de onderwijsministers.
De Autoriteit Persoonsgegevens is om nader advies gevraagd in deze zaak. Het kabinet heeft er bovendien contact over opgenomen met de Europese Commissie.
De scholen en onderwijsinstellingen worden in de komende periode via de diverse informatiekanalen die hen ter beschikking staan (websites, nieuwsbrieven) vanuit SURF, SIVON en de sectorraden geïnformeerd en ondersteund.
Onderwijsinstellingen zijn verantwoordelijk voor de keuze van veilige digitale leermiddelen en platforms, voor een zorgvuldige omgang met de persoonsgegevens van leerlingen en docenten, en de naleving van privacywetgeving, waarvan de AVG de belangrijkste is.
Het gaat hierbij onder andere om het opstellen van informatiebeveiligings- en privacybeleid, de aanstelling van een functionaris voor de gegevensbescherming, de inrichting van toegangs- en beheerrechten in ict-systemen, de logging hiervan, de uitvoering van risicoanalyses (zoals DPIA’s) en het afsluiten van verwerkersovereenkomsten met leveranciers (verwerkers).
Links
Het bericht Privacyrisico’s bij gebruik Google verscheen eerst op de website van de Algemene Vereniging Schoolleiders.
AVG Awareness, Privacy Nieuws
Veel ouders, docenten, leerlingen en studenten maken zich zorgen over persoonsgegevens die worden verzameld bij digitaal thuisonderwijs tijdens de coronacrisis.
Dit blijkt uit de grote hoeveelheid signalen die de Autoriteit Persoonsgegevens (AP) hierover ontvangt. De AP deelt deze zorgen en gaat daarom bij onderwijsinstellingen na of zij de privacy wel goed op orde hebben.
Ouders en studenten vragen zich bijvoorbeeld af of de systemen die scholen gebruiken om te videobellen wel veilig zijn, of gegevens niet in verkeerde handen kunnen vallen en wat er precies met al die gegevens gebeurt.
Thuisonderwijs tijdens corona
Nederland heeft ongeveer 2 miljoen leerlingen en studenten. Een groot deel van hen krijgt op dit moment thuis les via beeldbellen. Of maakt thuis tentamens of toetsen onder toezicht van een webcam.
Onderwijsinstellingen hebben hiervoor onder grote druk technische maatregelen moeten nemen. Zodat leerlingen en studenten ook tijdens de coronacrisis goed onderwijs krijgen.
Wat zeggen de gegevens?
Er is veel informatie te halen uit de beelden die bij beeldbellen en proctoring (digitaal surveilleren) worden verzonden naar onderwijsinstellingen of medestudenten.
Allereerst over hoe leerlingen of studenten presteren, hoe zij zich gedragen en hoe het is gesteld met hun concentratie. Maar bijvoorbeeld ook over religieuze uitingen of wat gezinsleden doen die in de achtergrond zichtbaar zijn.
In tegenstelling tot in de normale lespraktijk, kunnen deze observaties nu makkelijk worden opgeslagen en verspreid.
Let op bij digitaal surveilleren
Sommige onderwijsinstellingen maken gebruik van proctoring. Hierbij monitoren zij online leerlingen of studenten tijdens een toets of tentamen.
De leerlingen of studenten moeten bijvoorbeeld foto’s maken van de ruimte waar zij zijn.
Verder kijkt de onderwijsinstelling mee op hun scherm, registreert deze toetsaanslagen en houdt deze via een of meerdere webcams hun gedrag in de gaten. Soms moet een leerling of student hier aparte software voor installeren.
Met een dergelijk systeem kan volgens veel en gevoelige informatie worden verzameld en verwerkt. Daarom moeten onderwijsinstellingen zich afvragen of al deze gegevens daadwerkelijk noodzakelijk zijn. En of er geen andere manier is om examenfraude te bestrijden, die minder impact heeft op leerlingen en studenten.
Onderwijsinstelling verantwoordelijk
Als onderwijsinstellingen beeldbellen en/of proctoring gebruiken, zijn zij verantwoordelijk zijn voor de verwerking van persoonsgegevens. Dat bepaalt de privacywetgeving. Daarom moeten onderwijsinstellingen hoge eisen stellen aan de leveranciers van deze systemen.
Het systeem mag niet meer gegevens verwerken dan noodzakelijk en deze gegevens mogen niet langer worden bewaard dan noodzakelijk.
Verder moeten onderwijsinstellingen hun leerlingen, studenten, docenten en de ouders van minderjarige kinderen informeren over hoe hun persoonsgegevens worden beschermd.
De AP heeft dit onderstreept richting de onderwijskoepels. Daarnaast gaat de AP bij onderwijsinstellingen na of zij voldoende werk maken van het beschermen van de privacy van hun leerlingen of studenten. Zij moeten aantonen hoe zij dit doen. Daarna bekijkt de AP of vervolgstappen nodig zijn.
Het is belangrijk deze check te doen. Leerlingen en studenten moeten er namelijk op kunnen vertrouwen dat hun onderwijsinstelling zorgvuldig met hun (gevoelige) informatie omspringt.
‘Geen ondergeschoven kind’
“Alle leerlingen moeten zonder stempel kunnen opgroeien”, zegt bestuurslid Katja Mur van de Autoriteit Persoonsgegevens. “Hun privacy is van groot belang en wordt extra beschermd in de privacywetgeving. Onveilige oplossingen kunnen risico’s opleveren voor de toekomst van leerlingen. Deze dataverwerking mag geen ondergeschoven kind van de coronacrisis worden. Wij wijzen onderwijsinstellingen er daarom op zorgvuldige keuzes te maken en ondersteunen hen hierin met een aantal tips.”
Privacy Nieuws
Schoolfoto’s en de AVG. Dat is een repeterende frustratie voor scholen, ouders en leerlingen.
Hele klassen staan sinds 25 mei 2018 net als criminelen vanwege de nieuwe Algemene Verordening Gegevensbescherming (AVG) met een zwarte balk voor hun gezicht op een klassenfoto.
Hoe pakken ze dat in de rest van Europa aan?
De Algemene Verordening Gegevensbescherming (AVG) is een Europese privacywet. De privacyregels worden geacht in de hele EU vrijwel gelijk te zijn.
De nationale Autoriteiten Persoonsgegevens werken nauw samen. Dan zou je toch ook eenduidige uitleg van de regels mogen verwachten.
Helemaal als er in één land meerdere toezichthouders zijn, zoals in Duitsland.
De Duitsers hebben een nationale Autoriteit Persoonsgegevens en daarnaast ook nog een toezichthouder per bondstaat. In totaal telt Duitsland zo 18 toezichthouders.
De schoolfotokwestie leeft ook in Duitsland.
Bij veel Duitse scholen wordt net als in Nederland een keer per jaar een externe professionele schoolfotograaf gevraagd om klassenfoto’s en leerlingenfoto’s te maken.
Waarmee moeten scholen sinds de invoering van de AVG rekening houden bij het inhuren van een externe fotograaf?
In het kader van de AVG is het van belang om te weten of de school opdrachtgever is of alleen toestemming geeft voor het maken van schoolfoto’s.
In de meeste gevallen geeft de school alleen toestemming. En dat maakt een wezenlijk verschil voor de AVG.
Als de school alleen toestemming geeft, is er geen contractuele relatie tussen de school en de fotograaf.
In dat geval betreft het alleen een overeenkomst van de fotograaf met leerlingen en ouders en staat de school er qua AVG volkomen buiten.
Maar als de school wel zelf rechtstreeks aan de fotograaf opdracht geeft voor het maken van de klassenfoto’s ligt de zaak anders. In dat geval moet er volgens de AVG door de school een verwerkingsovereenkomst afgesloten worden met de fotograaf.
Het Unabhängige Landeszentrum für Datenschutz, ULD (de toezichthoudende autoriteit voor gegevensbescherming in de Duitse deelstaat Sleeswijk-Holstein) gaat bij schoolfoto’s van het eerste scenario uit. Het is een zaak tussen de ouders en /of leerlingen en de fotograaf. Een verwerkingsovereenkomst is volgens de ULD niet nodig.
Zelfs als de school de fotografielijsten, adressen enz. van tevoren opstuurt, is er volgens de ULD nog geen verwerkingsovereenkomst nodig.
Deze visie lijkt logisch, want de focus van de gegevensverwerking van de fotograaf ligt niet op de verwerking van de gegevens, maar op de onafhankelijke creatie en verwerking van de foto’s, die hij onder zijn eigen verantwoordelijkheid maakt.
De onafhankelijke selectie van beelden en de artistieke vrijheid van de fotograaf duiden er ook op dat er geen sprake is van de verwerking van een opdracht van de school, meent de ULD van Sleeswijk-Holstein.
Voor de overdracht van de klassenlijsten en andere gegevens aan de fotograaf is bovendien altijd de voorafgaande toestemming van de ouder of voogd vereist.
Toezichthouder in Beieren vindt dat de school wel opdrachtgever is
De Beierse staatscommissaris voor gegevensbescherming, de autoriteit die verantwoordelijk is voor de publieke sector in de Duitse deelstaat Beieren, is een heel andere mening toegedaan. Er moet volgens de Beierse toezichthouder wel van worden uitgegaan dat de foto‘s in opdracht van de school worden gemaakt.
De school is volgens de Beierse Autoriteit Persoonsgegevens de verantwoordelijke persoon in de bovenstaande constellatie en moet een schriftelijk contract afsluiten met de fotograaf dat voldoet aan de eisen van Art. 28 (3) AVG.
Bovendien moet de school zich ervan vergewissen dat de gekozen fotograaf ervoor kan zorgen dat de verwerking van de persoonsgegevens van de leerlingen alleen in overeenstemming met de AGV wordt uitgevoerd.
Juridisch betekent dit dat de voor de verwerking verantwoordelijke alleen mag werken met verwerkers die voldoende garanties bieden dat passende technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de verwerking wordt uitgevoerd in overeenstemming met de eisen van deze verordening en dat de rechten van de betrokkene worden beschermd.
Twee toezichthouders, twee verschillende meningen
De toezichthouders in Sleeswijk-Holstein in Noord-Duitsland en Beieren in Zuid-Duitsland geven kortom ieder een andere uitleg aan de AVG. En dat is verwarrend voor buitenstaanders als scholen, ouders, leerlingen en fotografen. Die willen eenduidige uitleg van regels.
Voor beide intrepretaties valt iets te zeggen. Die van Sleeswijk-Holstein zal bij de meeste mensen de voorkeur hebben. Maar als de Beierse uitleg de definitieve uitleg is valt daar ook mee te leven. Dan is er tenminste duidelijkheid.
Wat vindt de Nederlandse Autoriteit Persoonsgegevens?
De Nederlandse Autoriteit Persoonsgegevens lijkt op de lijn van de Beierse toezichthouder te zitten. De Nederlandse AP raadt scholen aan om aan het begin van het schooljaar bij alle ouders en leerlingen vanaf 16 jaar te vragen waarvoor zij toestemming geven: wel of niet op klassenfoto’s, wel of niet op beelden op de website, wel of niet met naam in de krant als je geslaagd bent, etc.
Kortom: er is verdeeldheid in Europa tussen de verschillende toezichthouders. Het is zaak dat de Europese toezichthouders de rijen sluiten.
Welke leerlingen mogen gefotografeerd worden?
Terug naar de foto’s en de leerlingen. Welke leerlingen mogen überhaupt gefotografeerd worden?
Hier is het heel eenvoudig en iedereen is het daarmee eens: alleen leerlingen die (of hun wettelijke voogd) toestemming hebben gegeven aan de school om de foto’s te maken, mogen gefotografeerd worden.
Art. 7 AVG regelt de voorwaarden voor toestemming. De belangrijkste kenmerken zijn dat de toestemming moet worden gevraagd en dat die vrijwillig moet zijn gegeven. Met andere woorden, het moet duidelijk zijn voor welk specifiek doel de foto’s worden genomen, in welke vorm en hoe lang ze worden opgeslagen, wie er toegang toe heeft en aan wie ze mogen worden doorgegeven.
Ook mag een verwijzing naar de regel dat de toestemming te allen tijde kan worden ingetrokken, niet ontbreken.
Onherkenbaar maken niet nodig als één leerling toestemming intrekt
Maar wat gebeurt er dan als achteraf één van de leerlingen op de klassenfoto zijn toestemming intrekt? Moeten alle foto’s dan worden vernietigd? Moeten er gezichten worden zwart gemaakt?
Nee! Dat is niet nodig.
De herroeping heeft geen invloed op de foto’s die vóór de herroeping zijn gemaakt, maar is alleen van kracht voor de toekomst.
De meerderheid van de gefotografeerde leerlingen is waarschijnlijk minderjarig, dus hun ouders of voogden moeten hun toestemming geven.
Voor jongeren ouder dan 14 jaar moeten ook de jongeren zelf toestemming geven.
Privacy Nieuws
De gegevens van leerlingen kunnen gemakkelijker en flexibeler gebruikt worden door het ministerie, onderwijsinstellingen, gemeente en mogelijke andere belanghebbenden. De Tweede Kamer is hier mee akkoord gegaan.
Alle gegevens in de bestaande leerlingregistratiesystemen komen met dit wetsvoorstel (toelichting) van minister Van Engelshoven (D66) onder één wettelijke regeling te vallen.
Het gaat om de gegevens van het basisregister onderwijs (BRON), het meldingsregister relatief verzuim, het diplomaregister en het register vrijstellingen en vervangende leerplicht.
Al deze gegevens worden door Dienst Uitvoering Onderwijs (DUO) beheerd.
De gegevens worden in principe alleen juridisch samengevoegd.
Technische worden de registratiessystemen met dit wetsvoorstel niet veranderd.
Door het samenbrengen van de gegevens van leerlingen in één wet ontstaat volgens de minister meer overzicht over welke gegevens beschikbaar zijn en kunnen gegevens eenvoudiger worden hergebruikt.
De gegevens worden onder andere gebruikt door het ministerie en de onderwijsinstellingen maar ook door gemeente voor het handhaven van de leerplicht en bijvoorbeeld als onderdeel van het bieden van (jeugd)zorg aan haar inwoners.
Glijdende schaal
Volgens de minister verandert er voor de privacy van leerlingen en studenten nauwelijks iets, omdat de systemen alleen juridisch worden samengevoegd.
Aan de andere kant dient de minister dit wetsvoorstel juist in om de gegevens beter toegankelijk te maken zodat ze eenvoudiger kunnen worden gebruikt.
De Autoriteit Persoonsgegevens oordeelt (pdf) dat er wel degelijk impact op de privacy kan zijn.
De toezichthouder constateert dat het bij elkaar brengen van gegevens in één wettelijke regeling tot “een completer beeld van de onderwijsdeelnemers” leidt dat daardoor “juist een grotere inbreuk op de persoonlijke levenssfeer kan opleveren”.
Ook zijn de de wetsartikelen over het gebruik van gegevens volgens de autoriteit onnodig ruim geformuleerd.
De toezichthouder vreest een glijdende schaal doordat “de kans toeneemt dat de persoonsgegevens voor andere doelen zullen worden gebruikt dan oorspronkelijk was bedoeld”.
De bundeling van de registerwetgeving heeft volgens de Autoriteit Gegevensbescherming naar verwachting de volgende effecten:
Ten eerste wordt meegenomen de beschikbaarstelling van diplomagegevens van het erkende niet bekostigde voortgezet onderwijs (VO), middelbaar beroepsonderwijs (MBO), voortgezet algemeen volwassenonderwijs (VAVO) en hoger onderwijs (HO).
In het diplomaregister zijn de diplomagegevens van het bekostigde onderwijs al opgenomen.
Voor het bekostigde en niet bekostigde onderwijs gelden dezelfde overwegingen voor het beschikbaar stellen van diplomagegevens vanuit het register:
- bijdrage aan fraudebestrijding; helderheid over wat erkende diploma’s zijn
- lastenverlichting voor (toekomstige) diplomabezitters, onderwijsinstellingen, alsmede indirect voor potentiële werkgevers en overheidsinstanties
- voorziening voor de diplomabezitter (bewijs behaalde diploma) in geval van verlies of diefstel van een diploma.
Het tweede andere onderwerp dat wordt meegenomen in het wetsvoorstel is de uitbreiding van de gegevenslevering uit het basisregistratie personen (BRP) aan onderwijsinstellingen in het VO, MBO en VAVO met de geboorteplaats van de onderwijsdeelnemer, ten behoeve van de vermelding op het diploma.
De gegevens ‘naam’ en ‘geboortedatum’ worden momenteel al door de Dienst Uitvoering Onderwijs (DUO) aan de onderwijsinstelling geleverd.
Minister bepaalt
In het wetsvoorstel is de mogelijkheid opgenomen dat de minister zelfstandig bepaalt welke gegevens verzameld mogen worden en met wie die gedeeld mogen worden.
Tot op heden zijn de gegevens die verzameld worden wettelijk vastgelegd en kan dat niet zomaar worden aangepast.
Ook wie toegang tot de gegevens heeft is wettelijk verankerd.
Met deze nieuwe wet kan de minister dat op elk moment zelfstandig aanpassen als zij dat nodig acht.
Wel heeft de Tweede Kamer vandaag ook twee wijzigingen van SP en GroenLinks aangenomen waarmee wordt voorgeschreven dat de minister de Tweede Kamer vier weken van te voren over aanpassingen op de hoogte moet brengen.
Het gaat dan om aanpassingen met betrekking tot welke gegevens worden gedeeld en met welke derde partijen dat gebeurt.
De Kamer kan dan in die vier weken eventueel nog in actie komen.
Over eventuele wijzigingen in welke gegevens worden verzameld, hoeft de Kamer niet van te voren te worden geïnformeerd.
Het wetsvoorstel gaat nu naar de Eerste Kamer.