DUO: dit houden we onder ons!

In de afgelopen jaren hebben onderwijsorganisaties, al dan niet naar aanleiding van de invoering van de AVG/GDPR, geïnvesteerd in het beschermen van de privacy van studenten en medewerkers. Scholen hebben een privacyreglement opgesteld, de software dichter bij het ‘Privacy by Design’-ideaal gebracht, en een Functionaris Gegevensbescherming aangesteld die met medewerkers heeft nagegaan of de organisatie voldoet aan de items die op de privacy-checklist van Kennisnet staan.

Die inspanningen zijn vast niet gedaan enkel om aan de wettelijke voorschriften te voldoen. Scholen zullen zich deze moeite getroost hebben omdat zij zich realiseren dat er in een onderwijsorganisatie langs allerlei routes informatie over personen stroomt, en daarbij informatie over een student of een medewerker terecht kan komen bij personen of organisaties waarvan die betreffende student of medewerker niet zou willen dat die informatie daar terecht komt.

Dit – de combinatie van goede intenties en inspanningen – stemt tot triestheid gegeven het feit dat het Ministerie van OCW slordig blijft omgaan met data die onderwijsinstellingen vanwege wettelijk voorschriften aan OCW moeten leveren.

Eén van de routes waarlangs het Ministerie van OCW de persoonsgegevens van leerlingen laat weglekken is de route langs ‘BRON’. In deze route zitten er twee structurele data-lekken.

Het eerste data-lek is dat de persoonsgegevens van leerlingen binnen het Ministerie van OCW niet met de wettelijk voorgeschreven vertrouwelijkheid worden behandeld. De Wet op het Onderwijstoezicht schrijft voor dat de persoonsgegevens uit ‘BRON’ aan de Minister mogen worden geleverd voor beleidsdoeleinden. Daarbij moeten, volgens het voorschrift Regeling Gebruik Gegevens BRON, paragraaf 4, artikel 9, de gegevens uit BRON zodanig worden bewerkt dat daaruit geen informatie meer afgeleid kan worden over geïdentificeerde of identificeerbare personen. Enige tijd terug moest de staatssecretaris van OCW in een juridische procedure evenwel toegeven dat de verwerking binnen het Ministerie niet zodanig is dat voldaan wordt aan deze bepaling. (ECLI:NL:RVS:2017:224) Het gevolg van dit datalek is dat ambtenaren niet-geanonimiseerde informatie van leerlingen in handen hebben terwijl deze ambtenaren denken dat zij met geanonimiseerde informatie aan het werk zijn. Dat is zoiets als een kind een geladen pistool geven en zeggen dat het een speelgoedpistool is. Het garandeert dat er persoonsgegevens over leerlingen ongecontroleerd in allerlei richtingen lekken.

Het tweede data-lek is dat het Ministerie van OCW de persoonsgegevens van leerlingen omzet naar geaggregeerde data – zoals gemiddelden per opleiding – en deze geaggregeerde data publiceert op Open Onderwijsdata. Aanvankelijk verkeerde het Ministerie van OCW daarbij in de veronderstelling dat hiermee geen persoonsgegevens aan de openbaarheid worden prijsgegeven. Tijdens de juridische procedure waarnaar hierboven verwezen is, is evenwel aan de staatssecretaris van OCW uitgelegd dat zij zich daarin vergissen en is geïllustreerd hoe uit deze geaggregeerde data informatie te halen valt over geïdentificeerde of identificeerbare personen. Desondanks is OCW doorgegaan met het publiceren van persoonsgegevens op Open Onderwijsdata en heeft de omvang van het datalek sindsdien nog wat groter gemaakt.

Onderwijsinstellingen hebben de mogelijk onmogelijke doch althans ondankbare want analytisch zinloze taak op zich genomen persoonsgegevens van leerlingen en studenten te beschermen, en OCW giet persoonsgegevens van leerlingen onbekommerd uit over de digitale straat.

Maar we houden dit dus onder ons…