| Ingediend | 6 september 2017 |
|---|---|
| Beantwoord | 29 september 2017 (na 23 dagen) |
| Indieners | Bente Becker (VVD), Martin Wörsdörfer (VVD) |
| Beantwoord door | Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA), Sander Dekker (staatssecretaris onderwijs, cultuur en wetenschap) (VVD) |
| Onderwerpen | openbare orde en veiligheid organisatie en beleid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2017Z11539.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20172018-67.html |
Ja.
Ja, ik ben bekend met deze problematiek.
Daar ben ik het uiteraard mee eens. Gemeenten dienen altijd wanneer er persoonsgegevens in het geding zijn te handelen conform de Wet bescherming persoonsgegevens. Waarom de betreffende gemeenten daar in dit geval te weinig oog voor hebben gehad is mij niet bekend. De gemeenten zijn daarover verantwoording verschuldigd aan de gemeenteraad.
De gemeenten kunnen allerlei taken die betrekking hebben op individuele burgers uitbesteden bij openbare aanbesteding. Bijvoorbeeld wijkteams en maatschappelijke ondersteuning. Dit wordt niet bijgehouden op rijksniveau.
In het kader van het interdepartementale en interbestuurlijke Programma sociaal domein vormt Uitwisseling Persoonsgegevens en Privacy één van de thema’s waar specifiek aandacht aan zal worden besteed. Daarnaast wordt er op dit moment gewerkt aan een handreiking voor aanbesteding in het sociaal domein, daarin zal ook aandacht zijn voor privacy.
Het wetsvoorstel pseudonimiseren van leerlinggegevens is niet gericht op het gebruik van leerlinggegevens door gemeenten. Dit ligt voor situaties als deze ook niet voor de hand: voor dergelijke aanbestedingen volstaat een eenmalige uitwisseling van gegevens, waarbij het kunnen identificeren van leerlingen niet noodzakelijk is.
Het wetsvoorstel pseudonimiseren heeft tot doel een veiliger, betrouwbaarder en meer efficiënte digitale uitwisseling van leerlinggegevens door onderwijsinstellingen met andere partijen mogelijk te maken. Daarbij richt het voorstel zich in eerste instantie op het pseudonimiseren van leerlinggegevens voor de toegang tot en het gebruik van digitale leermiddelen en het digitaal afnemen van toetsen en examens.
Het wetsvoorstel voorziet wel in de mogelijkheid om bij algemene maatregel van bestuur andere gevallen aan te wijzen, waarvoor per geval een ander pseudoniem wordt gegenereerd. Dit zal alleen plaatsvinden nadat uit nader onderzoek en een privacy impact assessment nut en noodzaak van het introduceren van een ander pseudoniem evident is. Dat zal slechts in gevallen zijn waarbij een kwalitatief hoogwaardige, unieke en persistente identiteit van leerlingen nodig is om het doel van de gegevensverwerking te bereiken.
Ja. Het afgelopen jaar werden door aanbestedende diensten ruim 99.000 documenten geüpload op TenderNed (als onderdeel van PIANOo gehuisvest binnen de Rijksdienst voor Ondernemend Nederland). Bij registratie op TenderNed worden zij erop gewezen dat de inhoud van die documenten hun verantwoordelijkheid blijft. Daarnaast wordt een extra melding in TenderNed toegevoegd, om aanbestedende diensten voorafgaand aan het openbaar maken van documenten nogmaals te wijzen op hun verantwoordelijkheid als het gaat om privacygevoelige informatie. Dit blijft primair een verantwoordelijkheid van de aanbestedende diensten zelf. Ik deel wel uw mening dat PIANOo, als expertisecentrum aanbesteden, een informerende rol kan spelen richting aanbestedende diensten. Deze rol pakt PIANOo ook. PIANOo heeft in reactie op de verspreiding van leerlingengegevens meer informatie geplaatst over hoe als aanbestedende dienst om te gaan met gevoelige informatie in een aanbesteding.3
Ik ben het hiermee eens. Dagelijks vertrouwen miljoenen ouders hun kinderen toe aan de school en zij moeten erop kunnen rekenen dat leerlingen én hun gegevens veilig zijn. De toenemende digitalisering vraagt om bewustwording en het zorgvuldig omgaan met persoonsgegevens. Waar vroeger de kast met leerlinggegevens op slot werd gedraaid en de sleutel op een veilige plek bewaard, moet hetzelfde gebeuren met digitale gegevens. Dit kan alleen op de scholen zelf gebeuren.
Om het bewustzijn op scholen te vergroten en ervoor te zorgen dat zij zorgvuldig omgaan met leerlinggegevens, heb ik afspraken gemaakt met de PO-Raad, VO-raad en Kennisnet over de uitvoering van verschillende activiteiten. Zo wordt in oktober wederom de jaarlijkse Maand van de Informatiebeveiliging en Privacy georganiseerd. Dan staat dit thema hoog op de agenda in workshops en campagnes.
De sectororganisaties en Kennisnet bieden scholen een toegankelijke aanpak voor het op orde brengen van de informatiebeveiliging en privacy.4 Daarin zijn hulpmiddelen opgenomen, zoals een voorbeeldprotocol datalekken, een model privacyreglement, een voorbeeld sociale mediaprotocol, voorbeeldteksten om ouders te informeren over privacy op school, een online «Quickscan privacy» en een voorbeeldbrief voor toestemming van ouders voor gebruik van foto's en video's beschikbaar voor scholen.
Ook hebben de sectororganisaties met aanbieders van digitale onderwijsmiddelen een privacyconvenant afgesloten.5 Deze afspraken zijn uitgewerkt in een modelbewerkersovereenkomst die scholen kunnen gebruiken om goede afspraken te maken met aanbieders van digitale onderwijsmiddelen op het gebied van privacy. Steeds meer scholen maken hier gebruik van.
Tot slot starten de PO-Raad en VO-raad dit najaar met een onderzoek (monitor) naar de stand van zaken met betrekking tot informatiebeveiliging en privacy op scholen.
Ja, voor het onderwijs is een standaard ontwikkeld, het zogeheten «certificeringsschema informatiebeveiliging en privacy». Leveranciers kunnen deze standaard gebruiken om de beveiliging van leerlinggegevens op een passend niveau te krijgen en dit aantoonbaar te maken aan scholen. De standaard voorziet in een set van maatregelen die verzekeren dat gegevens van leerlingen goed beveiligd zijn.6 Er zijn steeds meer leveranciers die deze standaard gebruiken, mede omdat het een invulling is van de eisen die de Europese Algemene verordening gegevensbescherming stelt. Het gebruik van de standaard wordt verder gestimuleerd in samenhang met de invoering van het wetsvoorstel pseudonimiseren. Ik ben hier nader op ingegaan in de beantwoording van de schriftelijke inbreng van uw Kamer, die ik u begin deze week heb doen toekomen.