Pagina's

zondag 12 november 2017

#OWD17 Wat betekent de Privacywet 2018 voor het onderwijs?


Woensdag 8 november 2017 bezocht ik De Onderwijsdagen in Rotterdam met als thema 'onderwijs in beweging'.



De eerste sessie die ik bezocht is die van Arnoud Engelfriet over de nieuwe wet 'Algemene Verordening Gegevensbescherming' die in 2018 van kracht gaat en wat dat gaat betekenen voor het onderwijs. Om meteen maar met de deur in huis te vallen. Dit was een presentatie die veel stof deed opwaaien bij de toehoorders. Er komt een wet op ons af die veel gevolgen heeft voor bedrijven en instellingen en gaat veel mankracht vragen om te voldoen aan de eisen die gesteld gaan worden aan de verantwoording.

 
https://autoriteitpersoonsgegevens.nl

Veiligheidsfunctionaris

Sinds 2000 is er al een wet bescherming persoonsgegevens maar die was niet zo streng, er werden nauwelijks boetes uitgedeeld waardoor  dit weinig indruk maakte op bedrijven. Dat gaat veranderen en er komen stevige boetes bij overtredingen. Er gaat sowieso nog meer veranderen want elke instelling moet ook een eigen FG (Functionaris voorGegevensbescherming) hebben die alles moet gaan documenteren. A hell of a job als ik de presentatie van Arnoud mag geloven. Het gaat om een Europese wet waar iedereen mee te maken krijgt waar Europese burgers bij betrokken zijn.

Privacygegevens


Het komt er in het kort op neer dat je zeer voorzichtig moet omspringen met gegevens die herleid baar zijn tot en persoon. De wet verbiedt niet om dingen niet te doen maar stelt dat je op zoek moet gaan naar betere alternatieven. Als je in een document kunt uitleggen waarom je bijvoorbeeld met het ophangen van cijferlijsten moet werken omdat dat om een bepaalde reden niet anders kan, dan mag het. Maar dat moet dan worden beargumenteerd in een rapport dat door de FG is opgesteld. Het zal een enorm werk worden om dat allemaal te gaan documenteren, registreren en verantwoorden.

Bijzondere persoonsgegevens


Er zijn bepaalde data die je helemaal moet mijden en waar je niets mee mag doen zoals gegevens over etnische afkomst, politieke overtuigingen, lidmaatschap vakbond, geloof maar ook biometrische gegevens. In de theorie zouden we dan niet meer de gegevens van de Duitse studenten mogen vastleggen in ons MIS-systeem om later te zien hoe die het doen. Aan de andere kant kunnen we als grensregio misschien wel uitleggen dat het van belang is om deze groep te kunnen monitoren.

Beginselen en algemene voorwaarden


Daarnaast moeten bedrijven en instellingen hun voorwaarden vanaf dan ook in begrijpelijke taal op B2 niveau kort en bondig aan de klanten communiceren. In het geval van onderwijs moet je voordat de student begint op school hen/haar duidelijk maken dat de data gebruikt kan worden voor learning analytics doeleinden. Als je daar tijdens de opleiding mee gaat beginnen dan kan de student daar bezwaar tegen maken.

 Er zijn 6 beginselen waar je rekening mee moet houden zoals dat je transparant zijn naar de student en aangeven dat de data alleen voor onderwijs wordt gebruikt. Ook mag je niet meer gegevens van de vragen student dan strikt noodzakelijk is. Daarnaast mag je die data ook niet langer bewaren dan noodzakelijk is en je moet zorgen dat de data voldoende beveiligd is


Uitbesteden en de verwantwoordelijkheid


Maar ook voor de bedrijfsvoering heeft de nieuwe wet verstrekkende gevolgen. Je ziet dat er steeds meer diensten worden uitbesteedt aan externen. In de nieuwe wet blijft de opdrachtgever verantwoordelijk voor de data. Dus stel dat een extern verloningsbedrijf dat we inhuren iets fout doet waardoor onze persoonsgegevens op straat komen dan is niet dat externe bedrijf aansprakelijk maar diegene die eigenaar is van de data. Als er sprake is van een datalek of een vermoeden van een datalek dan moet dat vanaf 2018 ook gemeld gaan worden.


Bewerkingsovereenkomst en SURF


Het houden van de verantwoordelijkheid heeft flinke gevolgen als je met externe partners werkt en dat speelt nu ook bij aanbestedingen die nu lopen op het gebied van databeheer. Afspraken hierover worden vastgelegd in de bewerkingsovereenkomst.  Gelukkig heeft SURF dit ook op het vizier en heeft een model bewerkingsovereenkomst gemaakt die instellingen kunnen gebruiken bij onderhandelingen met externe partners. De nieuwe wet is overigens in heel Europa van toepassing en iedereen die met een Europeaan zaken doet krijgt daar mee te maken dus ook de Facebook, Twitter, Nike en Apple uit Amerika.



De presentatie van Arnoud zorgde voor veel onrust in de zaal en de toehoorders bleven met meer vragen dan antwoorden zitten. We zullen dit onderwerp zeer serieus op de agenda moeten gaan zetten en niet in actie komen in de maand voordat de nieuwe wet ingaat. Arnoud voorspelt dat het een zeer zware bevalling zal gaan worden en ik kan me voorstellen waarom.



Meer info, zie website Autoriteit Persoonsgegevens
Of dit mooie blog van Kennisnet

Geen opmerkingen:

Een reactie plaatsen