Een lezer vroeg me:
De school van mijn dochter gaat gebruik maken van het leerlingvolgsysteem ParnasSys. Dit is een SaaS-dienst, waarbij persoonsgegevens worden verzameld. Maar ik kan nergens vinden dat het bedrijf dit heeft aangemeld bij het College bescherming persoonsgegevens! Mag dit dan wel?
Hoofdregel bij de Wet bescherming persoonsgegevens is dat je je verwerking moet melden bij de toezichthouder. Ja, altijd. Maar omdat je dan inderdaad helemáál knettergek wordt van die wet, is er een serie vrijstellingen opgenomen. Zo hoef je een intranet niet (meer) te melden, mits je maar binnen de regels van de vrijstelling blijft.
Misverstand daarbij is trouwens dat “onder de vrijstelling vallen” betekent dat je legaal bent. Je hebt echter nog stééds adequate toestemming of een andere grondslag nodig.
Er is een vrijstelling voor leerlingen, deelnemers en studenten aan een onderwijsinstelling waar een school gebruik van kan maken. Ze mogen de gegevens dan bv. alleen gebruiken voor het onderwijs, beschikbaar stellen van leermiddelen, innen van lesgeld, het doen uitoefenen van accountantscontrole, het publiceren op de eigen website en zo nog een paar. Wil een school een Facebookpagina maken met leerlingfoto’s erop, dan vallen ze daarmee buiten de vrijstelling. Die pagina moet dan worden aangemeld.
Nu is het bedrijf achter ParnasSys geen school, dus zij mogen zich niet op de vrijstelling beroepen. Maar in deze situatie maakt men gebruik van de ‘bewerker’ constructie. Wanneer een school iemand inhuurt die in hun opdracht persoonsgegevens verwerkt, en de school bepaalt met welk doel, dan is het nog steeds de school die verantwoordelijk is. En dat is precies wat er bij SaaS-dienstverlening gebeurt. De school bepaalt dat ze een leerlingvolgsysteem wil en kiest welke functionaliteit ze daarvoor wil inzetten. ParnasSys doet zelf niets – als het goed is.
De wet schrijft voor dat je dan een bewerkersovereenkomst moet sluiten met de bewerker. Hierin leg je vast wat hij wel en niet mag doen, welke beveiligingsmaatregelen hij moet nemen, of je mag auditten en hoe je om wilt gaan met schadeclaims van benadeelde ouders of leerlingen. Dit gebeurt echter maar zelden bij SaaS-diensten.
Update (20:32) het bedrijf achter ParnasSys reageerde in de comments:
ParnasSys heeft een bewerkersovereenkomst met de gebruikers en die voldoet ook aan de richtlijnen van OC&W met betrekking tot de leerlingadministratie en het leerlingvolgsysteem.Verder hebben wij een speciale demo-school met niet-bestaande voorbeeldleerlingen, maar wel met realistische data. Je ziet dus mooie grafieken en gewone namen, maar die namen zijn compleet gefingeerd. Niemand van onze medewerkers presenteert vanuit gegevens van een bestaande school, als we daar al bij zouden kunnen. Je koopt toch geen pakket waar bij de presentatie al privacy-grenzen overschreden worden?
Het echte probleem zit hem volgens mij meer in de mogelijkheden, waar veel scholen niet goed bij stilstaan. Er zijn systemen waarbij ouders de geboortedata van álle klasgenoten kunnen zien. Is dat erg, is dat wenselijk? Ik weet het niet, maar zelden is dit een actieve beslissing, dit “doet het systeem gewoon” en dan wordt er achteraf een reden verzonnen waarom het oké is (“dat weten ze toch allang van elkaar”). Of er komen online cijferlijstinzagedingen, waar we ooit een aardige discussie over hadden. Wil je wel dat ouders alles kunnen zien wat er op school gebeurt?
Arnoud
Met enige regelmaat krijg ik vragen over wanneer iets nu jurisprudentie is. Daarmee bedoelen ze dan meestal, wanneer is een vonnis bindend en mag ik erop vertrouwen dat de uitspraak ook voor mij geldt. Dat is een moeilijke vraag, maar dat komt met name omdat in vonnissen zelden zúlke harde lijnen staan dat ze eenvoudig naar elke andere situatie door te trekken zijn. 
Een lezer vroeg me:
Een jaar geleden blogde ik over de vraag wat een forumbeheerder weg moet gooien als een (ex-)lid daarom vraagt. In de comments 
Het zijn geen zinnen die je als werknemer over jezelf wil lezen: “Hierbij even een paar ideeën over een mogelijke ontslag procedure/tactiek.”, “Ik denk wel dat het verstandig is … of wij dit goed kunnen uitmelken ….”, :”nuclere optie. De bonnen waar contant geld is verdwenen uitspitten en tegen haar gebruiken.”, “haar houding met de verhuizing uitbuiten om haar demotivatie aan te tonen.”, “Wij moeten een pestcampagne opzetten als zij weer komt werken.”, “nieuwe werkuren, … Hierdoor komt ze flink in de file te staan, als ze pas om vijf uur gaat.”. Ja, gezellige boel bij inkoopcentrum Artel. Maar hoe kwam deze werkneemster dit te weten? Eh, door het privémailaccount van de directeur te hacken. Nee, dat is óók niet erg gezellig. Dus, eh, oef, ga er maar aanstaan als kantonrechter.
Ik mag het weer zeggen: OMGWTFWBP. Het publiceren van een tweet of het versturen van een e-mail met daarin een hyperlink naar een pagina waar de naam en kenteken van een auto-eigenaar worden vermeld, is verwerking van die persoonsgegevens, zo 
Hier krijg ik búitengewoon veel jeuk van. Aanbieders van clouddiensten die niet gevestigd zijn in Europa moeten verplicht en compleet duidelijk maken dat data toegankelijk kan zijn voor geheime diensten en onderworpen aan surveillance door buitenlandse autoriteiten, 
Het zal wel met die meteoriet in Rusland te maken hebben die massaal met dashcams is gefilmd, maar ik werd gisteren door drie journalisten gebeld over de vraag of dashcams in Nederland legaal zijn. Je mag toch immers niet zomaar filmen aan de openbare weg? Op mijn vraag waarom hun cameraploegen dat dan wél mogen, krijg ik nooit echt een eenduidig antwoord, maar dat terzijde. Want ja, ja mag wel degelijk zomaar filmen aan de openbare weg.
Ik heb een paar arresten gemist geloof ik. In NRC Handelsblad van gisteren stond een artikel over de cloud, met daarin de intrigerende opmerking:
Grr. Ik begin me steeds meer te ergeren aan het onderwerp acquisitiefraude en hoe rechters daarmee omgaan. Want in een recent