Betere privacy voor oud-leerlingen met Wet register onderwijsdeelnemers

Het wordt mogelijk om langer dan één jaar oud-leerlinggegevens te verkrijgen voor evaluatie van het gegeven basisschooladvies. PO/SO scholen vragen al jaren de resultaten op van hun oud-leerlingen bij VO/VSO scholen. Dit is een belangrijke gegevensstroom waarbij PO/SO scholen een beeld krijgen of het door hun gegeven schooladvies juist is. Hierdoor kan ook de kwaliteit van het basisschoolonderwijs worden geëvalueerd.  Vooralsnog is deze gegevensoverdracht alleen mogelijk voor het eerste VO/VSO leerjaar van de oud-leerling. De wettelijke grondslag hiervoor ligt in artikel 5 Inrichtingsbesluit WVO.

PO/SO scholen hebben behoefte naar een verruiming van deze termijn. In de praktijk is gebleken dat er ook na het eerste leerjaar vaak nog gegevens worden verstrekt. Soms worden zelfs volledige dossiers of rapporten gedeeld, terwijl dit wettelijk gezien eigenlijk niet mag en niet in het belang van de privacy van de leerlingen is. Privacygevoelige gegevens worden in grote aantallen gedeeld en opgeslagen, wat de kans op bijvoorbeeld datalekken vergroot. 

Nieuwe wet: De Wet register onderwijsdeelnemers

In de nieuwe Wet register onderwijsdeelnemers wordt de termijn voor de gegevensoverdacht uitgebreid naar drie leerjaren, waardoor scholen in staat worden gesteld de kwaliteit van de advisering te verbeteren. De grondslag hiervoor is artikel 20 van de nieuwe wet Register Onderwijsdeelnemers. Dit is mede omdat er sinds 2014-2015 meer gewicht wordt toegekend aan het door de PO/SO school gegeven schooladvies. Het wetsvoorstel is op 19 februari 2019 aangenomen door de Eerste Kamer. Er wordt gestreefd naar een inwerkingtreding met ingang van 1 januari 2020.

Hoe werkt de wet in de praktijk?

De positie van individuele oud-leerlingen worden in het eerste, twee én derde leerjaar van het VO/VSO via het register onderwijsdeelnemers door DUO geleverd aan scholen voor PO of SO. PO/SO scholen krijgen dus de gegevens voortaan geautomatiseerd uit BRON verstrekt. Hierdoor hoeven scholen onderling geen gegevens meer uit te wisselen. Dit levert een groot voordeel op het gebied van informatiebeveiliging en privacy op.

Naast basisgegevens worden het leerjaar en het niveau van de leerling (schoolsoort, leerweg, uitstroomprofiel VSO) verstrekt. Onder de basisgegevens vallen in ieder geval: Identificerende gegevens, inschrijvingsgegevens, opleidingsgegevens, resultaatgegevens en overige basisgegevens. Daarnaast wordt ook het registratienummer van de VO- of VSO-school verstrekt. Uit het wetsvoorstel wordt duidelijk dat het enkel over de gegevens van de eerste drie leerjaren van het VO of het VSO kan gaan. Dit is, vergeleken met de huidige situatie, een flinke verbetering voor PO/SO scholen.

Wat is de bewaartermijn voor de teruggekoppelde gegevens?

Er is gekozen voor een bewaartermijn van vijf jaren voor de teruggekoppelde gegevens.

Levert deze nieuwe manier van gegevensoverdracht niet veel risico’s op voor de privacy van de leerlingen?

Ten aanzien van de uitbreiding van de gegevenslevering is een DPIA uitgevoerd (data protection impact assessment). Daaruit is gebleken dat de nieuwe regelgeving voldoet aan de vereisten van doelbinding en dataminimalisatie. Er is gekeken naar of er geschikte alternatieven voorhanden zijn om  het beoogde doel, namelijk het verbeteren van de kwaliteit van schooladvies, te bereiken. Het is gebleken dat dit niet het geval is.

Toekomstige ontwikkelingen

Omdat de wet nog niet inwerking is getreden, weten wij ook  nog niet precies hoe het in de praktijk zal gaan uitvallen. Wij houden de actualiteiten in de gaten en zullen updates geven waar nodig.

De AVG en de zieke werknemer

Zieke werknemers, elke organisatie krijgt er vroeg of laat mee te maken. Maar hoe zit het nu met de AVG als het gaat om zieke werknemers? Wat mag ik als werkgever wel of niet vragen en/of registeren? De Autoriteit Persoonsgegevens heeft in het kader van haar campagne ‘Wat betekent de privacywet voor jou(w bedrijf)?’ hierover nadere uitleg gegeven. Wij maakten u voor een korte samenvatting met de belangrijkste punten.

Wat mag een werkgever wel vragen en registeren als het gaat om de zieke werknemer?

Het uitgangspunt is dat een werkgever alleen datgene mag vragen en registeren wat zij noodzakelijkerwijs zou moeten weten. Dit is slechts in twee gevallen: een werkgever mag informatie hebben om te bepalen hoe het verder moet met de werkzaamheden van de werknemer en een werkgever mag informatie hebben om te beoordelen of een werkgever loon moet doorbetalen aan de werknemer. Werkgevers mogen uitsluitend in dat kader informatie vragen en vastleggen, omdat het gaat over informatie die is gerelateerd aan de gezondheid van de werknemer. Met andere woorden: hier is sprake van de verwerking van gezondheidsgegevens, en deze bijzondere persoonsgegevens verdienen extra bescherming op grond van de AVG.

Werkgevers mogen de volgende concrete informatie vragen en registeren over hun werknemers:

  • Het telefoonnummer waarop de werknemer te bereiken is en het (verpleeg)adres.
  • Hoe lang de werknemer denkt dat de ziekte gaat duren.
  • Wat de lopende werkzaamheden en afspraken zijn van de werknemer.
  • Of de ziekte van de werknemer verband houdt met een arbeidsongeval. Een werkgever mag niet vragen of het verzuim werkgerelateerd is.
  • Of er sprake is van een verkeersongeval met regresmogelijkheid. Dat houdt in dat de werkgever de kosten van het ziekteverzuim en re-integratie mogelijk kunt verhalen op de veroorzaker van het ongeval.
  • Of de werknemer onder 1 van de 4 vangnetregelingen valt op grond van de Ziektewet. De werknemer is daarbij niet altijd verplicht om te melden onder welke regeling hij/zij valt.

Wat mag een werkgever niet vragen en registeren als het gaat om de zieke werknemer?

Werkgevers mogen niet-noodzakelijke informatie niet vragen en registeren over hun zieke werknemers. Kort gezegd mag een werkgever geen informatie vragen en registreren dat gaat over de aard en oorzaak van iemands ziekmelding. Deze taak is uitsluitend voorbehouden aan de arbodienst en/of de bedrijfsarts. Werkgevers hebben deze (bijzondere) persoonsgegevens namelijk niet noodzakelijkerwijs nodig om te bepalen hoe het verder moet met de werkzaamheden van de werknemer of om te beoordelen of dat zij loon moet doorbetalen aan de werknemer.

Meer weten?

Wil je meer weten over dit onderwerp? Of heb je nog vragen? Neem gerust contact met ons op. Wij helpen je graag verder. Wij zijn bereikbaar via telefoonnummer 030 889 65 75 of via e-mailadres info@lumengroup.nl. Op de website van de Autoriteit Persoonsgegevens vind je ook nog meer informatie over dit onderwerp.

Even voorstellen: Evelien

Lumen Group groeit. Graag stellen we aan u voor: Evelien Scholten. We stellen Evelien een paar vragen, zodat u haar gelijk een beetje leert kennen.

Wat is jouw rol bij Lumen Group? 

“Ik ben Privacy Consultant. Dit houdt in dat ik opdrachtgevers adviseer en begeleid bij de implementatie en compliance van privacywet- en regelgeving. Ook houd ik toezicht op de naleving hiervan. Dit kan zowel op afstand als op locatie bij opdrachtgevers.”

Hoe zien jouw werkdagen er ongeveer uit?

“We beginnen de dag als team met de dagstart: wat staat er op de planning voor vandaag? Vervolgens lees ik mijn e-mails en hou ik me bezig met het beantwoorden van klantvragen. De onderwerpen variëren van het beoordelen van een vermeend datalek tot vragen over implementatie of compliance van privacywetten- en regelgeving.”

Waarom heb je ervoor gekozen om bij Lumen Group te gaan werken? 

Ik heb voor Lumen Group gekozen, omdat ik mezelf wil ontwikkelen tot een privacy-specialist. Bij Lumen Group kan ik erg veel leren en krijg ik de kansen om eigen verantwoordelijkheid te nemen.

Wat zijn jouw 3 opvallendste eigenschappen? 

Spontaan, doortastend, nuchter.

Heb je misschien nog een leuke boodschap voor de lezers van deze nieuwsbrief?

Er zijn meer sterren in het universum dan zandkorrels op aarde.