De nieuwe Europese privacywet komt eraan. Wat betekent dit voor learning analytics, online onderwijs en data analyses op studentenprestaties? De nieuwe wet is streng. Iedere vorm van observeren of monitoring met elektronische tools valt onder het begrip ‘verwerken van persoonsgegevens’ en moet daarmee gerechtvaardigd zijn binnen de nieuwe regels. Dit betekent toestemming vragen of onderbouwen waarom de monitoring noodzakelijk is voor het onderwijs. Een toelichting in gewone mensentaal zal er ook bij moeten, en natuurlijk moeten deze gegevens strikt vertrouwelijk en beveiligd worden behandeld. Dit geldt ook bij statistisch onderzoek zoals fraudedetectie. In deze sessie krijgt u van ICT-jurist en privacyexpert Arnoud Engelfriet praktische handvatten om hiermee om te gaan.
7. Persoonsgegevens
… aan de hand
van een
identificator
zoals een naam,
een identificatie-
nummer,
locatiegegevens,
of een online
identificator
8.
9.
10.
11. Om deel te nemen, typ
het cijfer linksboven over
12. Bijzondere
persoonsgegevens
Waaruit ras of etnische afkomst, politieke
opvattingen, religieuze of
levensbeschouwelijke overtuigingen, of het
lidmaatschap van een vakbond blijken, en
verwerking van genetische gegevens,
biometrische gegevens met het oog op de
unieke identificatie van een persoon, of
gegevens over gezondheid, of gegevens met
betrekking tot iemands seksueel gedrag of
seksuele gerichtheid
13. Beginselen
u Rechtmatig, behoorlijk en
transparant
u Doelbinding/doelbeperking
u Dataminimalisatie
u Accuraat en relevant
u Niet langer dan nodig
bewaren
u Afdoende beveiligd
Verantwoordelijke draagt zorg
voor compliance en kan dit
bewijzen.
14. Grondslagen
u Toestemming
u Uitvoering overeenkomst
u Wettelijke plicht
u Vitale belangen
betrokkenen
u Uitvoering overheidstaak
u Gerechtvaardigd eigen
belang
u (Wetenschappelijk en
statistisch onderzoek)
15. Toestemming
Elke
Ø vrije,
Ø specifieke
Ø geïnformeerde
Ø ondubbelzinnige
wilsuiting waarmee
de betrokkene
aanvaardt dat
hem betreffende
persoonsgegevens
worden verwerkt.
19. Noodzakelijk of handig?
“Het niet inchecken maar het
slechts laten uitlezen van de OV-
chipkaart door de conducteur is
dan ook niet meer voldoende
om op basis van een geldig
vervoersbewijs met het
studentenreisrecht te kunnen
reizen. (…) Een conducteur moet
[], bijvoorbeeld op de dagen
waarin de vrij reizenperiode
overgaat in de 40%-
reductieperiode en vice versa,
middels het moment (tijdstip) van
inchecken kunnen vaststellen of
de reis de vrij reizen periode of
de 40%-reductie periode betreft.
Het uitlezen van het type
studentenreisrecht door de
conducteur is dan
onvoldoende.”
22. Gerechtvaardigd eigen
belang
u Toestemming vragen is
niet realistisch
u Legitiem eigen belang
u Noodzakelijk voor
belang
u Proportioneel gezien
privacy van anderen
u Zo mogelijk opt-out
College bescherming persoonsgegevens z2010-01467
Foto: Cory Doctorow, CC-BY-SA
23. (Wetenschappelijk en
statistisch onderzoek)
De verdere verwerking met
het oog op archivering in
het algemeen belang,
wetenschappelijk of
historisch onderzoek of
statistische doeleinden
wordt niet als
onverenigbaar met de
oorspronkelijke doeleinden
beschouwd [mits
waarborgen zijn getroffen].
25. Bewaartermijn
Persoonsgegevens
worden bewaard in een
vorm die het mogelijk
maakt de betrokkenen
niet langer te
identificeren dan voor
de doeleinden waarvoor
de persoonsgegevens
worden verwerkt
noodzakelijk is
26. Besluitvorming door
persoonsgegevens
De betrokkene heeft het
recht niet te worden
onderworpen aan een
uitsluitend op
geautomatiseerde
verwerking, waaronder
profilering, gebaseerd
besluit waaraan voor
hem rechtsgevolgen zijn
verbonden of dat hem
anderszins in
aanmerkelijke mate treft.
27. Besluitvorming(?) bij
Learning Analytics
Extra stof
suggereren
Extra stof verplicht
Indicaties van
fraude zoeken
Ruw cijfer
berekenen
Uitsluiten van
optioneel vervolgvak
Eindcijfer
vaststellen
Uitsluiten van verplicht
vervolgvak
28. Register van verwerking
u Identiteit van
verantwoordelijke
u Omschrijving
u Doeleinden
u Grondslagen
u Ontvangers
u Beveiliging
u Bewaartermijn
29. Recht van informatie
u Identiteit van
verantwoordelijke
u Doeleinden
u Grondslagen
u Ontvangers
u Bewaartermijn
u Uitleg over rechten
In eenvoudige taal, en
toegesneden op de doelgroep
(=Europees Taalniveau B2).
30. Recht van informatie
Het bestaan van
geautomatiseerde
besluitvorming, … en
nuttige informatie over
de onderliggende logica,
alsmede het belang en
de verwachte gevolgen
van die verwerking voor
de betrokkene
31. Recht van informatie
De betrokkene heeft het
recht zijn persoons-
gegevens … in een
gestructureerde,
gangbare en machinaal
leesbare vorm te
verkrijgen.
u Bij toestemming
u Bij overeenkomst
32. Recht van correctie en
verwijdering
u Verbeteren
u Aanvullen
u Verwijderen of
afschermen
Indien
u Feitelijk onjuist
u Onvolledig
u Niet langer nodig
u Toestemming
ingetrokken
33. Recht van bezwaar
u Bezwaar tegen verwerkingen voor
u Vitaal belang
u Publieke taak
u Eigen dringend belang
u Profiling
u Apart en expliciet melden dat dit
recht bestaat
u Ieder bezwaar moet gemotiveerd
worden behandeld
u Staken na bezwaar, tenzij
34. Elektronische uitoefening
Wanneer de betrokkene zijn
verzoek elektronisch
indient, wordt de informatie
indien mogelijk elektronisch
verstrekt, tenzij de
betrokkene anderszins
verzoekt.
35. Beveiliging & Compliance
u Rekening houdend met
de aard, de omvang, de
context en het doel van
de verwerking, alsook met
de qua waarschijnlijkheid
en ernst uiteenlopende
risico's voor de rechten en
vrijheden van natuurlijke
personen, treft de
verantwoordelijke
passende technische en
organisatorische
maatregelen om te
waarborgen en te kunnen
aantonen dat de
verwerking in
overeenstemming met
deze verordening wordt
uitgevoerd.
u … treffen de
verantwoordelijke en de
verwerker passende
technische en
organisatorische
maatregelen om een op
het risico afgestemd
beveiligingsniveau te
waarborgen.
37. Datalekken
u Inbreuk op de
beveiliging
u Per ongeluk of op
onrechtmatige wijze
u Gevolg is
u Vernietiging
u Wijziging
u Ongeoorloofde
verstrekking
u Ongeoorloofde
toegang
38. Datalekken
Altijd melden bij Autoriteit:
u Tenzij risico’s voor
betrokkenen
onwaarschijnlijk
Betrokkenen informeren:
u Wanneer risico’s
waarschijnlijk hoog
u Tenzij gegevens sterk
zijn versleuteld
43. Privacy Impact
Assessment
u Wanneer (waarschijnlijk)
een risico bestaat voor
privacy;
u In het bijzonder bij
gebruik van nieuwe
technologieën;
u Dient een assessment te
worden uitgevoerd om
de impact op privacy te
onderzoeken
44. Aanstellen functionaris voor
gegevensbescherming
Verplicht om aan te stellen
als:
u Verwerking plaatsvindt
door overheidsorgaan
u Kernactiviteit bestaat uit
verwerkingen die
stelselmatige observatie
op grote schaal van
betrokkenen vereisen
u Er grootschalige
verwerking van
bijzondere
persoonsgegevens
plaatsvindt
45. Taken functionaris
u Informeren en adviseren
over verplichtingen
u Toezien op compliance,
inclusief audits en
trainingen aan staf
u Adviseren bij PIA’s
u Meewerken met
toezichthouder
u Aanspreekpunt
toezichthouder