Mag een school zijn informatiesystemen wel uitbesteden?

Een lezer vroeg me:

De school van mijn dochter gaat gebruik maken van het leerlingvolgsysteem ParnasSys. Dit is een SaaS-dienst, waarbij persoonsgegevens worden verzameld. Maar ik kan nergens vinden dat het bedrijf dit heeft aangemeld bij het College bescherming persoonsgegevens! Mag dit dan wel?

Hoofdregel bij de Wet bescherming persoonsgegevens is dat je je verwerking moet melden bij de toezichthouder. Ja, altijd. Maar omdat je dan inderdaad helemáál knettergek wordt van die wet, is er een serie vrijstellingen opgenomen. Zo hoef je een intranet niet (meer) te melden, mits je maar binnen de regels van de vrijstelling blijft.

Misverstand daarbij is trouwens dat “onder de vrijstelling vallen” betekent dat je legaal bent. Je hebt echter nog stééds adequate toestemming of een andere grondslag nodig.

Er is een vrijstelling voor leerlingen, deelnemers en studenten aan een onderwijsinstelling waar een school gebruik van kan maken. Ze mogen de gegevens dan bv. alleen gebruiken voor het onderwijs, beschikbaar stellen van leermiddelen, innen van lesgeld, het doen uitoefenen van accountantscontrole, het publiceren op de eigen website en zo nog een paar. Wil een school een Facebookpagina maken met leerlingfoto’s erop, dan vallen ze daarmee buiten de vrijstelling. Die pagina moet dan worden aangemeld.

Nu is het bedrijf achter ParnasSys geen school, dus zij mogen zich niet op de vrijstelling beroepen. Maar in deze situatie maakt men gebruik van de ‘bewerker’ constructie. Wanneer een school iemand inhuurt die in hun opdracht persoonsgegevens verwerkt, en de school bepaalt met welk doel, dan is het nog steeds de school die verantwoordelijk is. En dat is precies wat er bij SaaS-dienstverlening gebeurt. De school bepaalt dat ze een leerlingvolgsysteem wil en kiest welke functionaliteit ze daarvoor wil inzetten. ParnasSys doet zelf niets – als het goed is.

De wet schrijft voor dat je dan een bewerkersovereenkomst moet sluiten met de bewerker. Hierin leg je vast wat hij wel en niet mag doen, welke beveiligingsmaatregelen hij moet nemen, of je mag auditten en hoe je om wilt gaan met schadeclaims van benadeelde ouders of leerlingen. Dit gebeurt echter maar zelden bij SaaS-diensten.

Update (20:32) het bedrijf achter ParnasSys reageerde in de comments:

ParnasSys heeft een bewerkersovereenkomst met de gebruikers en die voldoet ook aan de richtlijnen van OC&W met betrekking tot de leerlingadministratie en het leerlingvolgsysteem.

Verder hebben wij een speciale demo-school met niet-bestaande voorbeeldleerlingen, maar wel met realistische data. Je ziet dus mooie grafieken en gewone namen, maar die namen zijn compleet gefingeerd. Niemand van onze medewerkers presenteert vanuit gegevens van een bestaande school, als we daar al bij zouden kunnen. Je koopt toch geen pakket waar bij de presentatie al privacy-grenzen overschreden worden?

Het echte probleem zit hem volgens mij meer in de mogelijkheden, waar veel scholen niet goed bij stilstaan. Er zijn systemen waarbij ouders de geboortedata van álle klasgenoten kunnen zien. Is dat erg, is dat wenselijk? Ik weet het niet, maar zelden is dit een actieve beslissing, dit “doet het systeem gewoon” en dan wordt er achteraf een reden verzonnen waarom het oké is (“dat weten ze toch allang van elkaar”). Of er komen online cijferlijstinzagedingen, waar we ooit een aardige discussie over hadden. Wil je wel dat ouders alles kunnen zien wat er op school gebeurt?

Arnoud

20 reacties

  1. Goed verhaal, heel toevallig werkt mijn vriendin ook op een school waarbij met overweegt ditzelfde systeem te gaan gebruiken. Wat bij hen erg opviel was dat degene die een demonstratie gaf van het systeem, data liet zien van een ‘echte’ leerling, zonder instemming van die leerling. Daarbij zijn ook de personeelsgegevens (functioneringsgesprekken e.d.) opgeslagen in dat systeem.

    Legaal of niet, ik vraag me altijd of in hoeverre bepaalde zaken (omtrent veiligheid e.d.) daadwerkelijk besproken zijn..

      1. Dat is nog steeds belachelijk. Daar neem je een fictieve leerling voor. Een bedrijf wat zijn verkopers de deur uitstuurt met data van andere klanten, daar wil je geen zaken mee doen. Want dat bedrijf zal ook niet 100% betrouwbaar met jouw data omgaan.

  2. Hier lees ik dat er een bewerkers overeenkomst gesloten moet worden, is deze juridisch gezien opvraagbaar door de leerlingen en ouders? Ik zou deze wel eens willen zien als de gegevens van mijn kind ergens in een database verdwijnen….

    1. Ik heb – destijds als leerling – ervaring met een vergelijkbare partij. Uiteraard hebben ze een pagina over beveiliging, want mensen zijn bang het uit handen te geven. Maar, door met wat technische termen te gaan gooien is het natuurlijk niet in 1 keer veilig. Zo denk ik dat ook een partij als LinkedIn een mooi verhaal over beveiliging kan ophangen, maar ook zij worden gehacked.

      Ik kom op die pagina nog wel dit tegen:

      De doorontwikkeling en het onderhoud en beheer van de ParnasSys applicatie is in handen van Topicus B.V.

      Zouden zij ook een bewerkersovereenkomst hebben? 😀

  3. Interessant artikel! Ik reageer als medewerker van ParnasSys, wellicht is dat verhelderend.

    @Freeaqinqme: Topicus BV is het feitelijke bedrijf waar het over gaat, ParnasSys is de productnaam.

    ParnasSys heeft een bewerkersovereenkomst met de gebruikers en die voldoet ook aan de richtlijnen van OC&W met betrekking tot de leerlingadministratie en het leerlingvolgsysteem.

    Verder hebben wij een speciale demo-school met niet-bestaande voorbeeldleerlingen, maar wel met realistische data. Je ziet dus mooie grafieken en gewone namen, maar die namen zijn compleet gefingeerd. Niemand van onze medewerkers presenteert vanuit gegevens van een bestaande school, als we daar al bij zouden kunnen. Je koopt toch geen pakket waar bij de presentatie al privacy-grenzen overschreden worden?

  4. Goed artikel en inderaad (soms) wel een zorgwekkende ontwikkeling. Scholen hebben nu eenmaal een administratie systeem nodig en in het primair onderwijs staan die systemen tegenwoordig allang niet meer binnen de school en zelden is er iemand op de loonijst van de school, inhoudelijk betrokken met de techniek en wetgeving die daar speelt. In het kader van dit artikel wil ik wijzen op een onlangs aangekondigde samenwerking onder de naam ‘basispoort’ dit lijken commerciele uitgevers te zijn waar de leeresultaten van onze kinderen straks staan en nu ik dit las realiseerde ik me dat ook zonder die constructie, de meeste educatieve uitgeverijen beschikken over de data van de school en haar leerlingen. Als ik dit navraag op de school van mijn dochter, weten ze echt helemaal van niets, dat baart mij nog het meeste zorgen, hoe gaan andere scholen hiermee om?

  5. Een variant: Mag een bedrijf zijn (personeels) informatiesystemen wel uitbesteden?

    Ofwel, bedrijf X maakt gebruik van de SAAS-diensten van bedrijf Y als het gaat om de personeels-administratie, waaronder het aanvragen van vakantiedagen, salaris-administratie, gespreksverslagen en wat er nog meer te adminstreren valt. Is daar ook een vrijstelling voor?

  6. Tsja. Deze website registreert ook naam en e-mail van malloten (zoals ik) die berichtjes achter laten. Dat zijn persoonsgegevens. Als ik de regels zo lees moet deze website dus ook geregistreerd zijn.

    Hoe dan ook, ik heb dat ook eens gedaan voor mijn eigen website, zeker met de gedachte dat ik op een gegeven moment wil werken met OpenID voor authenticatie, en Gravatar voor avatars. Dan “deel” je privacy-gevoelige informatie immers met anderen.

    Mijn verzoek was genaamd “Registratie participanten van website macfreek.nl“. Blijkbaar tikt het CPB deze dingen per hand over, want in het systeem staat het nu onder meldingsnummer 1529753 geregistreerd als “Registratie patiënten van website”. Persoonlijk vind ik dat wel een verbetering, dus ik laat het maar zo 😉

    1. Late reactie, maar deze website verwerkt niet per se persoonsgegevens. Het hangt er namelijk vanaf wat je invult. Als jouw echte naam ‘Freek Dijkstra’ is, maar je plaatst hier een bericht als ‘Jan Verstegen’, dan is het geen persoonsgegevens want pseudoniem. En e-mailadressen zijn alleen door Arnoud in te zien en niet door derden.

      Op school kun je volgens mij helemaal niet inschrijven met een pseudoniem en als het al kan, dan val je gauw genoeg door de mand…

  7. In aansluiting op Edward: De ontwikkeling “Basispoort” is inderdaad een pikante. Basispoort wordt geïnitieerd door commerciële partijen die de gegevens van leerlingen vastleggen. De initiatiefnemers van Basispoort zijn ook bij ParnasSys langs geweest om te koppelen middels een webservice. De koppeling zou dan moeten zorgen dat identiteitsgevoelige data vanuit ParnasSys lokaal bij Basispoort opgeslagen wordt om autorisatie van webapplicaties mogelijk te maken. Juist vanuit privacy-oogpunt is ParnasSys hier niet in mee gegaan.

    ParnasSys is ook voorstander van één inlog voor digitaal lesmateriaal. Dit is echter voor de ParnasSys-klanten al geregeld via de Kennisnet Federatie. (http://www.kennisnetfederatie.nl/) Dit betreft een initiatief wat door de overheid geïnitieerd wordt.

  8. Het lijkt me duidelijk dat SaaS an sich geen probleem hoeft te zijn. Het probleem zit vooral in de simplistische manieer waarop men met deze zaken omgaat. Er is, ook binnen de IT-wereld, veel te veel naivititeit en, het werkt, niemand piept, dus zal het wel goed zitten. Dat is kortweg amateuristisch, en het zou me niet verbazen als er een aantal grote rechtzaken (en boetes) moeten gebeuren voordat professionele omgang met IT gewoon wordt.

    1. Vreemde site. In een week tijd zijn er 4 leden bijgekomen en het lijkt nog niet erg aktief te zijn. Inschrijven is geen probleem en kan prima met willekeurige accountgegevens. Geen verdere controle en geen vragen over of je wel kinderen hebt. Volgens de ledenlijst is de site zo’n 2 jaar oud en het is opvallend hoeveel informatie je sowieso van de andere leden kunt zien. Toegang tot de albums lijkt in ieder geval beperkt te zijn maar ieder profiel lijkt verrijkt te kunnen worden met een eigen profielfoto maar is bij het merendeel gewoon een standaard stockfoto.

      Die standaard profielfoto komt overigens van Shutterstock en ik vraag mij af of ze er wel een licentie voor hebben. Maar goed, in beperkte mate geeft Shutterstock sommige beelden gewoon (vrijwel) gratis weg dus het kan zo zijn dat het legaal wordt gebruikt.

      Maar als ik iets verder kijk zie ik dat er enkele fotoalbums gewoon toegankelijk zijn voor iedereen die een account aanmakkt. Maar op twee foto’s na lijken het allemaal standaard-banners en zo te zijn. De twee foto’s die ik zie lijken weer stockfoto’s te zijn, wat het dus toch weer erg vreemd maakt. Maar ik kan de bron ervan niet vinden, dus misschien is er een professionele fotograaf als ouder foto’s aan het nemen?

      Ik schat in dat deze site nog geen 500 leden heeft en dat de meeste leden eigenlijk vrijwel niet aktief zijn. Niet echt een populaire site, dus. Het is ook vooral gerelateerd aan de beoordeling van kinderopvang voor ouders om zich beter te informeren. Het lijkt er vooral ook op dat de site reclame-mogelijkheden wil aanbieden voor diverse organisaties richting ouders. Voor nog geen € 300 wordt je organisatie vermeldt op de site met allerlei extra opties voor bezoekers om zich aan te melden en zo. Maar ook hier lijken maar weinig controles te bestaan. Ik vind het dan ook een twijfelachtige zaak.

      Wie overigens de AV van hun webshop bekijkt ziet daar de AV van bol.com staan! Is wel opvallend, maar ze zijn gewoon partner van bol.com en ontvangen zo 8% commissie op iedere verkoop. Je koopt dus gewoon bij bol.com…

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.