De nieuwe Europese privacywet komt eraan. Wat betekent dit voor learning analytics, online onderwijs en data analyses op studentenprestaties? De nieuwe wet is streng. Iedere vorm van observeren of monitoring met elektronische tools valt onder het begrip ‘verwerken van persoonsgegevens’ en moet daarmee gerechtvaardigd zijn binnen de nieuwe regels. Dit betekent toestemming vragen of onderbouwen waarom de monitoring noodzakelijk is voor het onderwijs. Een toelichting in gewone mensentaal zal er ook bij moeten, en natuurlijk moeten deze gegevens strikt vertrouwelijk en beveiligd worden behandeld. Dit geldt ook bij statistisch onderzoek zoals fraudedetectie. In deze sessie krijgt u van ICT-jurist en privacyexpert Arnoud Engelfriet praktische handvatten om hiermee om te gaan.

1. Learning analytics
onder de AVG,
wat mag er nog?
MR.IR. A.P. ENGELFRIET,
PARTNER BIJ ICTRECHT.NL
A.ENGELFRIET@ICTRECHT.NL / 020-663 1941

3. Beeld: “Sunside”, Flickr, CC
2.0

5. Van Richtlijn naar
Verordening

6. Persoonsgegevens
Persoonsgegeven:
elk gegeven
betreffende een
geïdentificeerde of
identificeerbare
natuurlijke persoon.
Ø Direct
Ø Indirect

7. Persoonsgegevens
… aan de hand
van een
identificator
zoals een naam,
een identificatie-
nummer,
locatiegegevens,
of een online
identificator

11. Om deel te nemen, typ
het cijfer linksboven over

12. Bijzondere
persoonsgegevens
Waaruit ras of etnische afkomst, politieke
opvattingen, religieuze of
levensbeschouwelijke overtuigingen, of het
lidmaatschap van een vakbond blijken, en
verwerking van genetische gegevens,
biometrische gegevens met het oog op de
unieke identificatie van een persoon, of
gegevens over gezondheid, of gegevens met
betrekking tot iemands seksueel gedrag of
seksuele gerichtheid

13. Beginselen
u Rechtmatig, behoorlijk en
transparant
u Doelbinding/doelbeperking
u Dataminimalisatie
u Accuraat en relevant
u Niet langer dan nodig
bewaren
u Afdoende beveiligd
Verantwoordelijke draagt zorg
voor compliance en kan dit
bewijzen.

14. Grondslagen
u Toestemming
u Uitvoering overeenkomst
u Wettelijke plicht
u Vitale belangen
betrokkenen
u Uitvoering overheidstaak
u Gerechtvaardigd eigen
belang
u (Wetenschappelijk en
statistisch onderzoek)

15. Toestemming
Elke
Ø vrije,
Ø specifieke
Ø geïnformeerde
Ø ondubbelzinnige
wilsuiting waarmee
de betrokkene
aanvaardt dat
hem betreffende
persoonsgegevens
worden verwerkt.

17. Toestemming
u Verantwoordelijke
moet toestemming
kunnen bewijzen
u Toestemming is op
ieder moment vrij
intrekbaar
u Melden als intrekking
leidt tot einde
dienstverlening

18. Uitvoering overeenkomst
Indien noodzakelijk voor
de uitvoering van een
overeenkomst tussen
verantwoordelijke en
betrokkene, inclusief
precontractuele
maatregelen.

19. Noodzakelijk of handig?
“Het niet inchecken maar het
slechts laten uitlezen van de OV-
chipkaart door de conducteur is
dan ook niet meer voldoende
om op basis van een geldig
vervoersbewijs met het
studentenreisrecht te kunnen
reizen. (…) Een conducteur moet
[], bijvoorbeeld op de dagen
waarin de vrij reizenperiode
overgaat in de 40%-
reductieperiode en vice versa,
middels het moment (tijdstip) van
inchecken kunnen vaststellen of
de reis de vrij reizen periode of
de 40%-reductie periode betreft.
Het uitlezen van het type
studentenreisrecht door de
conducteur is dan
onvoldoende.”

20. Wettelijke plicht
Noodzakelijk om
een wettelijke
verplichting na te
komen waaraan de
verantwoordelijke
onderworpen is.

21. Uitvoering overheidstaak
Noodzakelijk voor de
vervulling van een
taak van algemeen
belang of van een
taak in het kader van
de uitoefening van het
openbaar gezag.

22. Gerechtvaardigd eigen
belang
u Toestemming vragen is
niet realistisch
u Legitiem eigen belang
u Noodzakelijk voor
belang
u Proportioneel gezien
privacy van anderen
u Zo mogelijk opt-out
College bescherming persoonsgegevens z2010-01467
Foto: Cory Doctorow, CC-BY-SA

23. (Wetenschappelijk en
statistisch onderzoek)
De verdere verwerking met
het oog op archivering in
het algemeen belang,
wetenschappelijk of
historisch onderzoek of
statistische doeleinden
wordt niet als
onverenigbaar met de
oorspronkelijke doeleinden
beschouwd [mits
waarborgen zijn getroffen].

24. Doelbinding
Persoonsgegevens worden
voor welbepaalde,
uitdrukkelijk omschreven en
gerechtvaardigde
doeleinden verzameld.
Persoonsgegevens worden
niet verder verwerkt op een
wijze die onverenigbaar is
met de doeleinden waarvoor
ze zijn verkregen.

25. Bewaartermijn
Persoonsgegevens
worden bewaard in een
vorm die het mogelijk
maakt de betrokkenen
niet langer te
identificeren dan voor
de doeleinden waarvoor
de persoonsgegevens
worden verwerkt
noodzakelijk is

26. Besluitvorming door
persoonsgegevens
De betrokkene heeft het
recht niet te worden
onderworpen aan een
uitsluitend op
geautomatiseerde
verwerking, waaronder
profilering, gebaseerd
besluit waaraan voor
hem rechtsgevolgen zijn
verbonden of dat hem
anderszins in
aanmerkelijke mate treft.

27. Besluitvorming(?) bij
Learning Analytics
Extra stof
suggereren
Extra stof verplicht
Indicaties van
fraude zoeken
Ruw cijfer
berekenen
Uitsluiten van
optioneel vervolgvak
Eindcijfer
vaststellen
Uitsluiten van verplicht
vervolgvak

28. Register van verwerking
u Identiteit van
verantwoordelijke
u Omschrijving
u Doeleinden
u Grondslagen
u Ontvangers
u Beveiliging
u Bewaartermijn

29. Recht van informatie
u Identiteit van
verantwoordelijke
u Doeleinden
u Grondslagen
u Ontvangers
u Bewaartermijn
u Uitleg over rechten
In eenvoudige taal, en
toegesneden op de doelgroep
(=Europees Taalniveau B2).

30. Recht van informatie
Het bestaan van
geautomatiseerde
besluitvorming, … en
nuttige informatie over
de onderliggende logica,
alsmede het belang en
de verwachte gevolgen
van die verwerking voor
de betrokkene

31. Recht van informatie
De betrokkene heeft het
recht zijn persoons-
gegevens … in een
gestructureerde,
gangbare en machinaal
leesbare vorm te
verkrijgen.
u Bij toestemming
u Bij overeenkomst

32. Recht van correctie en
verwijdering
u Verbeteren
u Aanvullen
u Verwijderen of
afschermen
Indien
u Feitelijk onjuist
u Onvolledig
u Niet langer nodig
u Toestemming
ingetrokken

33. Recht van bezwaar
u Bezwaar tegen verwerkingen voor
u Vitaal belang
u Publieke taak
u Eigen dringend belang
u Profiling
u Apart en expliciet melden dat dit
recht bestaat
u Ieder bezwaar moet gemotiveerd
worden behandeld
u Staken na bezwaar, tenzij

34. Elektronische uitoefening
Wanneer de betrokkene zijn
verzoek elektronisch
indient, wordt de informatie
indien mogelijk elektronisch
verstrekt, tenzij de
betrokkene anderszins
verzoekt.

35. Beveiliging & Compliance
u Rekening houdend met
de aard, de omvang, de
context en het doel van
de verwerking, alsook met
de qua waarschijnlijkheid
en ernst uiteenlopende
risico's voor de rechten en
vrijheden van natuurlijke
personen, treft de
verantwoordelijke
passende technische en
organisatorische
maatregelen om te
waarborgen en te kunnen
aantonen dat de
verwerking in
overeenstemming met
deze verordening wordt
uitgevoerd.
u … treffen de
verantwoordelijke en de
verwerker passende
technische en
organisatorische
maatregelen om een op
het risico afgestemd
beveiligingsniveau te
waarborgen.

36. Privacy by design / by
default

37. Datalekken
u Inbreuk op de
beveiliging
u Per ongeluk of op
onrechtmatige wijze
u Gevolg is
u Vernietiging
u Wijziging
u Ongeoorloofde
verstrekking
u Ongeoorloofde
toegang

38. Datalekken
Altijd melden bij Autoriteit:
u Tenzij risico’s voor
betrokkenen
onwaarschijnlijk
Betrokkenen informeren:
u Wanneer risico’s
waarschijnlijk hoog
u Tenzij gegevens sterk
zijn versleuteld

39. Uitbesteden van
verwerking
Betrokkene
Bewerker
Verantwoor-
delijke
Bepaalt
doel en
middelen
van verwerking
Verwerkt
uitsluitend
in opdracht van
verantwoordelijke
Verwerkers-
overeenkomst

41. Inhoud
verwerkersovereenkomst
❏ Introducerende
bepalingen
❏ Doeleinden van
verwerking
❏ Verplichtingen van
bewerker
❏ Doorgifte
persoonsgegevens
❏ Garanties
❏ Beveiliging
❏ Datalekmeldplicht
❏ Verzoeken van
betrokkenen
❏ Intellectueel eigendom
❏ Vrijwaringen
❏ Geheimhouding
❏ Duur, verlenging en
opzegging
❏ Wijzigen van de
overeenkomst
❏ Rechtskeuze en
forumkeuze
❏ Slotbepalingen

42. https://goo.gl/ussp1E

43. Privacy Impact
Assessment
u Wanneer (waarschijnlijk)
een risico bestaat voor
privacy;
u In het bijzonder bij
gebruik van nieuwe
technologieën;
u Dient een assessment te
worden uitgevoerd om
de impact op privacy te
onderzoeken

44. Aanstellen functionaris voor
gegevensbescherming
Verplicht om aan te stellen
als:
u Verwerking plaatsvindt
door overheidsorgaan
u Kernactiviteit bestaat uit
verwerkingen die
stelselmatige observatie
op grote schaal van
betrokkenen vereisen
u Er grootschalige
verwerking van
bijzondere
persoonsgegevens
plaatsvindt

45. Taken functionaris
u Informeren en adviseren
over verplichtingen
u Toezien op compliance,
inclusief audits en
trainingen aan staf
u Adviseren bij PIA’s
u Meewerken met
toezichthouder
u Aanspreekpunt
toezichthouder

46. Vragen?
16:00-16:30