Mag een school zijn informatiesystemen wel uitbesteden?

Een lezer vroeg me:

De school van mijn dochter gaat gebruik maken van het leerlingvolgsysteem ParnasSys. Dit is een SaaS-dienst, waarbij persoonsgegevens worden verzameld. Maar ik kan nergens vinden dat het bedrijf dit heeft aangemeld bij het College bescherming persoonsgegevens! Mag dit dan wel?

Hoofdregel bij de Wet bescherming persoonsgegevens is dat je je verwerking moet melden bij de toezichthouder. Ja, altijd. Maar omdat je dan inderdaad helemáál knettergek wordt van die wet, is er een serie vrijstellingen opgenomen. Zo hoef je een intranet niet (meer) te melden, mits je maar binnen de regels van de vrijstelling blijft.

Misverstand daarbij is trouwens dat “onder de vrijstelling vallen” betekent dat je legaal bent. Je hebt echter nog stééds adequate toestemming of een andere grondslag nodig.

Er is een vrijstelling voor leerlingen, deelnemers en studenten aan een onderwijsinstelling waar een school gebruik van kan maken. Ze mogen de gegevens dan bv. alleen gebruiken voor het onderwijs, beschikbaar stellen van leermiddelen, innen van lesgeld, het doen uitoefenen van accountantscontrole, het publiceren op de eigen website en zo nog een paar. Wil een school een Facebookpagina maken met leerlingfoto’s erop, dan vallen ze daarmee buiten de vrijstelling. Die pagina moet dan worden aangemeld.

Nu is het bedrijf achter ParnasSys geen school, dus zij mogen zich niet op de vrijstelling beroepen. Maar in deze situatie maakt men gebruik van de `bewerker’ constructie. Wanneer een school iemand inhuurt die in hun opdracht persoonsgegevens verwerkt, en de school bepaalt met welk doel, dan is het nog steeds de school die verantwoordelijk is. En dat is precies wat er bij SaaS-dienstverlening gebeurt. De school bepaalt dat ze een leerlingvolgsysteem wil en kiest welke functionaliteit ze daarvoor wil inzetten. ParnasSys doet zelf niets – als het goed is.

De wet schrijft voor dat je dan een bewerkersovereenkomst moet sluiten met de bewerker. Hierin leg je vast wat hij wel en niet mag doen, welke beveiligingsmaatregelen hij moet nemen, of je mag auditten en hoe je om wilt gaan met schadeclaims van benadeelde ouders of leerlingen. Dit gebeurt echter echter maar zelden bij SaaS-diensten.

Het echte probleem zit hem volgens mij meer in de mogelijkheden, waar veel scholen niet goed bij stilstaan. Er zijn systemen waarbij ouders de geboortedata van álle klasgenoten kunnen zien. Is dat erg, is dat wenselijk? Ik weet het niet, maar zelden is dit een actieve beslissing, dit “doet het systeem gewoon” en dan wordt er achteraf een reden verzonnen waarom het oké is (“dat weten ze toch allang van elkaar”). Of er komen online cijferlijstinzagedingen, waar we ooit een aardige discussie over hadden. Wil je wel dat ouders alles kunnen zien wat er op school gebeurt?

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Gerelateerde berichten:

• Uw intranet hoeft niet meer bij het College bescherming persoonsgegevens aangemeld (12/07/12 08:16)
• Wanneer val ik onder de privacywet? (07/01/13 08:15)
• Hoe lang mag ik camerabeelden bewaren? (29/06/10 08:15)
• Mag mijn werkgever Google Analytics op het intranet zetten? (23/01/15 08:14)
• Meldplicht datalekken en uitbreiding boetebevoegdheid Cbp 1 januari 2016 van kracht (10/07/15 13:13)

Reacties:

Er zijn nog geen reacties op dit bericht.