Veel onderwijsinstellingen zoeken in tijden van thuisonderwijs naar alternatieven voor de gymlessen. Zeker nu leerlingen hele dagen achter hun computer zitten en lessen volgen, is het belangrijk om te blijven bewegen. Softwareapplicaties kunnen een uitkomst bieden voor docenten om sportresultaten van leerlingen te kunnen blijven controleren, maar hoe kun je dit in lijn doen met de AVG? Je leest het in dit artikel.
De Vereniging Sport en Welzijn (VSG) heeft samen met de PO-Raad een handreiking opgesteld over gegevensuitwisseling bij bewegingsonderwijs, ter ondersteuning van onderwijsinstellingen, gemeenten en andere organisaties die zich op gemeentelijk niveau bezig houden met het stimuleren van bewegen. Deze handreiking beoogt een handvat te bieden aan organisaties bij onduidelijkheid wie verantwoordelijk is voor de persoonsgegevens die door een app worden opgeslagen en over het opslaan en delen van die gegevens. Hieronder hebben wij (mede aan de hand van de handreiking) de belangrijkste punten weergegeven en, waar nodig, aangevuld met onze adviezen.
1. Noodzakelijkheid van de verwerking en Data Protection Impact Assessment (DPIA)
Allereerst raadt Lumen Group aan om vast te stellen of de verwerking überhaupt noodzakelijk is. Hiervoor moet de school eerst vaststellen wat het doel van de gegevensverwerking is. Dit is essentieel, omdat dan pas bepaald kan worden welke gegevens daadwerkelijk noodzakelijk zijn en welke grondslag op de verwerking van toepassing is (meer hierover onder punt 2). Kijk ook specifiek naar de applicatie die de school in dit kader gebruikt (meer hierover onder punt 3). In de breedste zin zal de school moeten kijken of de verwerking daadwerkelijk noodzakelijk is en of er geen minder ingrijpende middelen voorhanden zijn (proportionaliteit). Het is van belang dat de school deze noodzakelijkheid onderbouwt.
Tevens benadrukt Lumen Group het belang om uit te zoeken of het uitvoeren van een Data Protection Impact Assessment (DPIA) noodzakelijk is. Gelet op de gevoelige gegevens van een kwetsbare groep (minderjarige kinderen), is het van belang om de privacy van deze groep goed te borgen. Een DPIA ligt hier dan ook voor de hand en kan hierbij ook zeker helpen. Recent heeft de Noorse toezichthouder namelijk in een vergelijkbaar geval een boete opgelegd aan een gemeente die leerlingen verplichtte om tijdens het sporten gebruik te maken van de fitnessapp Strava. De gemeente had voor het in gebruik nemen van de applicatie géén DPIA uitgevoerd. Daarnaast waren er onvoldoende beveiligingsmaatregelen getroffen en kon de gemeente niet aantonen dat de verwerking van de gegevens in overeenstemming was met de AVG.
2. Grondslag voor de verwerking en verwerking van gezondheidsgegevens
In het kader van het (bewegings)onderwijs worden doorgaans persoonsgegevens van leerlingen verwerkt, met het doel om (bewegings)onderwijs te organiseren en te verzorgen. Voor de meeste persoonsgegevens van leerlingen die door scholen worden verwerkt, is de grondslag ‘uitvoeren van een taak van algemeen belang of publieke taak (AVG, artikel 6, lid 1, sub e) van toepassing. Scholen hebben immers gegevens van leerlingen nodig om onderwijs te kunnen verlenen (zorgplicht) en hun (wettelijke) taken uit te kunnen voeren. In het kader van bewegingsonderwijs is deze taak van scholen beschreven in de Wet Primair Onderwijs artikel 8 (lid 6) en artikel 9 (lid 1).
Echter, het is aannemelijk dat er ook al snel gezondheidsgegevens van leerlingen worden verwerkt. Denk hierbij aan gewicht, lengte, BMI, motorische vaardigheden en beweegvaardigheden. Deze gezondheidsgegevens geven informatie over de fysieke gezondheid van een persoon en kunnen daarom worden aangemerkt als bijzondere persoonsgegevens in de zin van de AVG. Het verwerken hiervan is in principe verboden, tenzij uitdrukkelijke toestemming gegeven is voor de verwerking. Scholen hebben daarom de plicht om aan de ouders/verzorgers van de leerlingen om uitdrukkelijke toestemming te vragen voor het verwerken (lees: bijhouden) van deze gezondheidsgegevens.
Hoewel dit formeel geen bijzondere persoonsgegevens zijn, vragen wij ook nadrukkelijk aandacht voor het gebruik van beeldmateriaal. In de praktijk zien wij vaak dat scholen ook beeldmateriaal gebruiken, terwijl dit doorgaans ook niet zondermeer is toegestaan. Afhankelijk van het doel zal wel/geen toestemming moeten worden gemaakt.
3. Gebruik van een volgapplicatie en AVG-rollen scholen en leveranciers
In het geval dat scholen bij het uitvoeren van onderwijstaken gebruikmaken van software van derde partijen waarin gegevens van leerlingen worden opgeslagen, wordt de school aangemerkt als verwerkingsverantwoordelijke onder de AVG. De softwareleverancier is verwerker. Wat betreft software in het bewegingsonderwijs, gelden dus alle verplichtingen die de AVG oplegt aan verwerkingsverantwoordelijken ook voor scholen.
In dit kader speelt ook de vraag wat de verantwoordelijkheid van buurtsportcoaches is met betrekking tot de gegevens. Indien de buurtsportcoach onder rechtstreeks gezag en toezicht valt van het schoolbestuur, is het sluiten van een verwerkersovereenkomst niet nodig. Deze situatie doet zich voor als hij in loondienst is bij de school of als hij in dienst is bij een derde partij waarmee een detacheringsovereenkomst is aangegaan, waarin is bepaald dat de buurtsportcoach onder het rechtstreekse gezag en toezicht valt van de school. Indien een buurtsportcoach via een overeenkomst van opdracht of als zzp’er werkt, moet de school met hem een verwerkersovereenkomst afsluiten.
In de praktijk merken wij dat dergelijke volgapplicaties véél meer persoonsgegevens verwerken dan in eerste instantie wordt gedacht. Denk hierbij bijvoorbeeld aan locatie- en GPS-gegevens. Ook merken wij in de praktijk vaak dat de leveranciers van deze applicaties zich ook niet altijd zien als verwerkers, maar zichzelf aanduiden als zelfstandig verwerkingsverantwoordelijke. Dit betekent dat de leveranciers de persoonsgegevens (ook) voor hun eigen doeleinden verwerken, hetgeen niet in lijn is met de AVG. Verder komt het ook nog al eens voor dat de applicatie niet voldoende beveiligd is (bijvoorbeeld versleuteling, authenticatie, autorisatie en logging).
Het is dus van belang om een specifieke en passende verwerkersovereenkomst af te sluiten met de leverancier en er op toe te zien dat de leverancier ook conform deze overeenkomst handelt. Maar ook is het van belang dat de applicatie passend is beveiligd. Verder raden wij aan om voorafgaand aan het sluiten van de verwerkersovereenkomst de leverancier onze AVG Self-assessment in te laten vullen. Dit zodat er een beter beeld ontstaat van de risico’s en de beveiliging van de applicatie.
4. Informatieplicht richting ouders/verzorgers
Daarnaast geldt een informatieplicht. Scholen verwerken in het algemeen veel persoonsgegevens van leerlingen. Scholen zijn op basis van de AVG dan ook verplicht om leerlingen (en ouders/verzorgers van leerlingen) over het inzetten van deze nieuwe applicaties te informeren. De verwerking van meer (en bijzondere) persoonsgegevens wordt aangemerkt als een nieuwe verwerking en scholen dienen dit in hun privacyverklaring op te nemen.
5. Delen van gegevens met andere organisaties
In de praktijk zien wij dat scholen vaak ook persoonsgegevens (willen) delen met andere organisaties (lees: verwerkingsverantwoordelijken), zoals bijvoorbeeld fysiotherapeuten. Soms betreft dit ook het delen van gezondheidsgegevens met andere partijen. Echter, het delen van gegevens met andere organisaties is niet zomaar toegestaan.
Indien de school er dus voor kiest om dergelijke gegevens te delen met andere organisaties, dan zal hiervoor hoogstwaarschijnlijk eerst toestemming moeten worden gevraagd aan de (ouders/verzorgers van de) leerlingen. De gegevens worden immers voor een ander doel dan het primaire doel verwerkt. Dit maakt dat er geen sprake is van zogenoemde doelbinding en er dus uitdrukkelijke toestemming zal moeten worden verkregen.
Meer weten?
Wil je de handreiking lezen? Klik dan hier om de handreiking raadplegen en downloaden. Mocht je naar aanleiding van deze blog nog een vraag hebben, stel deze dan gerust door te mailen naar fg@lumengroup.nl of te bellen naar 030 – 889 65 75.
