Pseudonimisering leerlinggegevens

Deze wet voorziet in een grondslag op basis waarvan onderwijsinstellingen het persoonsgebonden nummer eenmalig kunnen gebruiken om een pseudoniem te genereren. Met deze wet wordt aangesloten bij de Algemene verordening gegevensbescherming (AVG) die per 25 mei 2018 van toepassing is.

Ook in het onderwijs is digitalisering niet meer weg te denken. Onderwijsinstellingen wisselen direct tot de persoon herleidbare gegevens uit met educatieve uitgevers en distributeurs. Dit is voor de werking van de leermiddelen echter niet altijd noodzakelijk. Bij het afnemen van digitale toetsen en examens lopen onderwijsinstellingen tegen vergelijkbare problemen aan. Vanuit het oogpunt van dataminimalisatie, een beginsel dat ook is vastgelegd in de AVG, mogen alleen de strikt noodzakelijke persoonsgegevens uitgewisseld worden. Pseudonimisering maakt dataminimalisatie mogelijk.

De Autoriteit Persoonsgegevens omschrijft het pseudonimiseren van persoonsgegevens als een methode om met persoonsgegevens te werken zonder daarbij te weten over welke personen de gegevens gaan. Het pseudonimiseren van persoonsgegevens zorgt er namelijk voor dat gegevens alleen nog herleidbaar zijn tot een specifiek persoon als er gebruik wordt gemaakt van aanvullende gegevens. Een pseudoniem (in de technische uitvoering bekend als ketenID’s) is een unieke identiteit voor onderwijsdeelnemers.

Met de invoering van de ketenID’s hoeven alleen nog maar die persoonsgegevens uitgewisseld te worden die nodig zijn voor het beoogde doel. Bij het gebruik van digitale leermiddelen hoeft dan bijvoorbeeld de geboortedatum of het geslacht van een leerling niet langer meegestuurd te worden om zeker te weten dat de school en de leverancier het over dezelfde leerling hebben. De onderwijsinstelling beschikt in juridische zin als verantwoordelijke over het PGN, pseudoniem en ketenID’s en weet om welke leerling het gaat. In de praktijk krijgen de partijen waarmee de school gegevens uitwisselt enkel een ketenID. Hiermee wordt beoogd aan de onwenselijke situatie van onnodige gegevensuitwisseling in het onderwijs een einde te maken, zo blijkt uit de memorie van toelichting.

Om een pseudoniem en ketenID’s te genereren is er een centraal georganiseerde nummervoorziening gerealiseerd. Dit is een voorziening voor het aanmaken, wijzigen en verwijderen van een pseudoniem en ketenID’s. Onderwijsinstellingen sluiten met de beheerder van de nummervoorziening een bewerkersovereenkomst waarin de gegevensuitwisseling tussen de onderwijsinstelling en de nummervoorziening is vastgelegd.

Stichting Kennisnet is verantwoordelijk voor de realisatie van de nummervoorziening. De betrokken partijen en leveranciers werken nu samen aan een zorgvuldige invoering.

De wetgever heeft er bewust voor gekozen het gebruik van pseudoniemen niet te verplichten, maar de keuze voor passende maatregelen om de privacy van onderwijsdeelnemers te waarborgen aan de onderwijsinstelling als verantwoordelijke te laten. De wetgever acht het van belang dat een onderwijsinstelling, vanuit haar eigen ambities en visie op goed onderwijs, en in goed overleg met ouders en de medezeggenschapsraad, een zorgvuldige afweging maakt over de persoonsgegevens die zij van onderwijsdeelnemers ter beschikking stelt en voor welke doeleinden.

De wet bevat wel een evaluatiebepaling, die inhoudt dat de regering binnen vijf jaar na de inwerkingtreding van de wet verslag uitbrengt over de doeltreffendheid en de effecten van deze wet in de praktijk. Mocht deze evaluatie aantonen dat de gekozen aanpak van zelfregulering onvoldoende effect sorteert, dan zal een nadere afweging plaatsvinden over de te nemen maatregelen, zoals het wettelijk voorschrijven van het gebruik van het pseudoniem/ketenID en/of van de aanvullende persoonsgegevens die mogen worden verstrekt.

Wilt u meer weten over dit onderwerp of privacy in het onderwijs in het algemeen? Neemt u dan contact op met een van de specialisten van het team IT, Privacy & Cybersecurity.