Privacy Reglement Openbaar Primair Onderwijs Houten Nieuwe informatie- en communicatietechnologie biedt mogelijkheden die verstrekkende maatschappelijke consequenties hebben. Een cruciaal aspect is de privacy. Door de snelheid en complexiteit van de ontwikkelingen is het goed dit onder ieders aandacht te brengen. Inleiding Sinds 1989 is in Nederland de Wet op Persoonsregistratie (WPR) van kracht. De Registratiekamer houdt toezicht op de naleving van de wetgeving met betrekking tot privacy. De kamer schat dat iedere Nederlander gemiddeld in ongeveer duizend databases geregistreerd is. Naar verwachting zal niet alleen dat aantal, maar ook de omvang van de gegevens per registratie fors toenemen. Daarmee stijgen niet alleen de toepassingsmogelijkheden, maar ook de kansen op schendingen van de privacy. Nieuwe toepassingen van technologie lijken onlosmakelijk gepaard te gaan met een groeiend beslag op persoonsgegevens. Daarbij gaat het dus niet eens zozeer om de technologieën zelf, maar om de toepassingen van o.a. Internet en Email. De school Indien op een school een registratie wordt bijgehouden, is het in de eerste plaats van belang aan de hand van de begripsbepaling na te gaan of die registratie onder het regime van de WPR valt. Nadat is vastgesteld dat er sprake is van een persoonregistratie in de zin van de WPR, moet deze registratie vervolgens voldoen aan een aantal algemene bepalingen. Het zijn regels over de aanleg, het doel, de inhoud en het gebruik ervan. Ook de regels over beveiliging van de registratie, de verstrekking daaruit van gegevens aan derden en de rechten van de belanghebbenden op kennisneming en verbetering gelden voor alle registraties. Naast deze algemene bepalingen kent de WPR voor persoonsregistratie onder meer op het gebied van onderwijs de verplichting tot het vaststellen van een reglement. Bij Algemene Maatregel van Bestuur (AmvB) is echter de mogelijkheid geboden tot vrijstelling van de reglementplicht. Deze AmvB is het Besluit genormeerde vrijstelling. Via het Besluit genormeerde vrijstelling wordt aan 20 soorten persoonregistratie een vrijstelling van de reglementplicht gegeven. Het Besluit noemt per persoonregistratie precies welke gegevens de registratie kan bevatten zonder dat voor de houder van de registratie een reglementplicht bestaat. Het besluit noemt o.a. de ledenadministratie, personeelsadministratie, leerlingenadministratie en de administratie van oud-personeelsleden of oudleerlingen. Met het Besluit genormeerde vrijstelling wordt beoogd de lasten in verband met de invoering van de WPR zoveel mogelijk en verantwoord te beperken. Indien scholen de algemene regels van de WPR in acht nemen en zich houden aan de normen zoals is vastgelegd in het Besluit genormeerde vrijstelling wordt voldoende zorgvuldig gehandeld. Het opstellen van een reglement is in dat geval niet nodig. De toepassing van het Besluit genormeerde vrijstelling werkt in de praktijk als volgt. Indien een persoonsregistratie valt onder één van de in dit besluit geformuleerde soorten persoonsregistraties, dan geldt in beginsel een genormeerde vrijstelling. Voldoet de registratie vervolgens aan de voor de betrokken registraties gestelde eisen, dan geldt de genormeerde vrijstelling daadwerkelijk. Daarvoor is geen nadere verklaring van de houder nodig. Het is de houder zelf die in eerste instantie beoordeelt of voor een persoonsregistratie een genormeerde vrijstelling geldt.
Situatie Openbaar Primair Onderwijs Houten Ondanks dat het Openbaar Primair Onderwijs Houten, met als vertegenwoordiger: het Bestuur Openbaar Onderwijs Houten (BOOH) aan het Besluit genormeerde vrijstelling voldoet, lijkt het ons toch zinvol een reglement op te stellen, wij hebben daar echter geen verplichting toe. De situatie binnen het Openbaar Primair Onderwijs Houten zal er na de implementatie van de netwerkstructuur als volgt uitzien. Ieder personeelslid krijgt een eigen unieke gebruikersnaam, deze is samengesteld uit de letters van de voornaam en de eerste twee letters van de achternaam. Hij/zij zal inloggen met een eigen uniek password. Dit password dient regelmatig vervangen te worden. Ook krijgt ieder personeelslid een eigen "stukje ruimte" op de harde schijf van de server. Hierop worden de eigen bestanden opgeslagen en bewaard. Deze bestanden kunnen tekstbestanden zijn maar ook "postbusfaciliteiten" voor de E-mail. In beginsel heeft alleen het personeelslid zelf toegang tot zijn/haar eigen E-mail berichten. Ook leerlingen kunnen E-mailen. Zij maken gebruik van de webbased E-mail berichten. Het is niet mogelijk om berichten van anderen te lezen mits de ander daartoe toestemming verleent. Deze persoon moet dan zijn/haar unieke gebruikersnaam en password kenbaar maken. Ook heeft ieder personeelslid in beginsel toegang tot de persoonsgegevens (leerlingen- en/of personeelsgegevens) die voor zijn/haar functie nodig zijn voor een goede uitvoering van zijn/haar taak binnen de organisatie. Om één en ander goed op elkaar af te stemmen is een zogenaamd privacyreglement samengesteld.
B.J. Mulder
Privacyreglement Artikel l
Begripsbepaling.
Voor de toepassing van dit reglement wordt verstaan onder: - De Wet: Wet persoonsregistraties - Het Besluit: Besluit genormeerde vrijstelling - Persoonsgegeven: een gegeven dat herleidbaar is tot een individuele natuurlijke persoon. - Persoonsregistratie: een samenhangende verzameling van op verschillende personen betrekking hebbende persoonsgegevens, die langs geautomatiseerde weg wordt gevoerd of met het oog op doeltreffende raadpleging van die gegevens systematisch is aangelegd. - Geregistreerde: persoon van wie gegevens in de persoonsregistratie zijn opgenomen. - Houder: degene die de zeggenschap heeft over de persoonsregistratie. - Beheerder: degene die onder verantwoordelijkheid van de houder is belast met de dagelijkse zorg voor de registratie. - Bewerker: degene die het geheel of een gedeelte van de apparatuur onder zich heeft, waarmee een persoonsregistratie waarmee een persoonsregistratie waarvan hij niet de houder is wordt gevoerd. - Verstrekken van gegevens uit een persoonsregistratie: het bekend maken of ter beschikking stellen van persoonsgegevens, voor zover zulks geheel of grotendeels steunt op gegevens die in die persoonsregistratie zijn opgenomen, of die door verwerking daarvan, al dan niet in verband met andere gegevens, zijn verkregen. - Verstrekken van gegevens aan derde: verstrekken van gegevens uit een persoonsregistratie aan een persoon of instantie buiten de organisatie van de houder, met uitzondering van het verstrekken aan de bewerker of de geregistreerde. Artikel 2
Doel van de registratie.
De registratie heeft tot doel het verzamelen, verwerken of verstrekken van gegevens van aan de school verbonden leerlingen, die uit onderwijskundig en/of organisatorisch oogpunt voor een goed functioneren van de school nodig zijn, dan wel voor zover het belang van de betrokken leerling daartoe aanleiding geeft. Voor de salarisadministratie en de personeelsadministratie geldt: het verzamelen, verwerken van gegevens van aan of ten behoeve van de school werkzame personen zie uit onderwijskundig en/of organisatorisch oogpunt voor een goed functioneren van de school nodig zijn, dan wel voor zover deze noodzakelijk zijn met het oog op de functie(s) en/of de daaraan verbonden salariëring voor betrokkenen. Artikel 3
Categorieën van personen.
De registratie bevat gegevens over de volgende categorieën van personen: a. Personeel in dienst, of in dienst geweest van het BOOH. b. Leerlingen die onderwijs genieten binnen het Openbaar Primair Onderwijs Houten of onderwijs hebben genoten van het Openbaar Primair Onderwijs Houten. Vijf jaar na het verlaten van de school worden de gegevens van deze leerlingen vernietigd. Artikel 4 Opneming van gegevens, wijze van verkrijging. 1. Opgenomen omtrent de personen bedoeld in artikel 3 onder a of b worden uitsluitend de volgende gegeven: a: De gebruikelijke personalia: naam, voornamen, geboortedatum, adres, postcode, woonplaats, telefoonnummer, bank- en girorekening, nationaliteit, geboorteplaats, burgerlijke staat.
b:
2.
Daarnaast kan het voor wat betreft de personeelsadministratie gaan om gegevens over opleidingen, cursussen en stages. Verder zijn te noemen gegevens die noodzakelijk zijn voor ziekte- en verlofregistraties en gegevens die noodzakelijk zijn voor personeelsbeoordeling, Voor leerlingen gelden de volgende gegevens: naam, voornamen, geboortedatum, adres, postcode, woonplaats, telefoonnummer, nationaliteit en geboorteplaats. Daarnaast zullen o.a. gegevens over de medische situatie, toelatingsonderzoeken, pychologische- en pedagogisch/didactische onderzoeken, schoolresultaten en Leerling Volg Systeem, geadministrateerd zijn. De registratie bevat slechts gegevens die rechtmatig zijn verkregen en in overeenstemming zijn met het doel waarvoor de registratie is aangelegd.
Artikel 5 1.
2.
3. 4.
Beheer van de registratie.
De houder is verantwoordelijk voor de werking van de registratie overeenkomstig de bepalingen van dit reglement en treft daartoe de nodige voorzieningen (beveiliging van gegevens etc.) De houder is bevoegd de registratie geheel of gedeeltelijk onder te brengen bij een bewerker en/of de verwerking van de in de registratie opgenomen gegevens te doen geschieden bij een bewerker. Alvorens daartoe over te gaan vergewist de houder zich ervan dat bij die bewerker regels, ter bescherming van de persoonlijke levenssfeer van de geregistreerden, in acht wordt genomen, welke tenminste overeenkomen met de Wet persoonregistraties en de bepalingen van dit reglement. De beheerders van de registratie zijn: de leden van de centrale directie. De bewerkers van de registratie zijn: directieleden, administratief personeel (bovenschools) ICT-coördinator, de systeembeheerder en personeelsleden die verantwoordelijk zijn voor de leerling- en personeelsadministratie (bijv. IBer en RTer).
Artikel 6
Toegang tot de registratie.
De houder kan uitsluitend rechtstreeks toegang verlenen tot de in de registratie opgenomen gegevens, aan: a. De beheerder, de bewerker en/of personeelsleden van de bewerker voor zover belast met werkzaamheden die verband houden met de doeleinden van artikel 2, dan wel zijn aangewezen in verband met het functioneren van het systeem. b. De personeelsleden in dienst van het BOOH, binnen de organisatie van de houder, beheerder of bewerker voor zover noodzakelijk voor de uitoefening van hun taak. c De voor controledoeleinden op basis van wettelijk voorschrift aangewezen personen. Artikel 7 1.
a. b.
Verstrekking van gegevens.
De houder kan omtrent individuele personen, gegevens uit de registratie waarvan informatie kan worden ontleend, voor zover dit in overeenstemming is met de doelomschrijving in artikel 2, uitsluitend verstrekken: Aan personen van wie de te verstrekken gegevens in de registratie zijn opgenomen, hun wettelijke vertegenwoordigers of hun gemachtigden. Aan personen binnen de organisatie van de houder, bewerker of beheerder. In het algemeen geldt dat het verstrekken van persoonsgegevens mogelijk is voor doeleinden die verenigbaar zijn met het doel van de registratie. Verstrekkingen binnen de organisatie geschieden alleen aan personen die de gegevens nodig hebben voor uitvoering van hun taak. Denk hierbij o.a. aan bestuursleden directieleden, leerkrachten,
c.
d.
2.
3.
4.
medici, leden van de administratie en die van de Schoolbegeleidingsdienst. Aan derden, indien en voor zover de houder daartoe op grond van enige wettelijke bepaling verplicht is dan wel indien en voor zover die gegevens nodig zijn voor de uitvoering van een bij of op grond van de wet vastgestelde regeling. Aan derden, indien en voor zover de geregistreerde daarvan toestemming heeft gegeven blijkens schriftelijke machtiging. Voor personen en instanties buiten de organisatie van de houder geldt als hoofdregel dat slechts gegevens worden verstrekt ingevolge een wettelijk voorschrift, of wanneer dat gebeurt met toestemming van de geregistreerde. Aan de onder lid l, onder a genoemde personen worden de persoonsgegevens verstrek op schriftelijk verzoek binnen een redelijke termijn. Gemachtigden dienen te beschikken over een schriftelijke machtiging. Aan de onder lid l, onder b genoemde personen en instellingen kunnen slechts gegevens worden verstekt indien en voor zover dit voor uitoefening van hun taak noodzakelijk is. Aan de onder lid l, onder d genoemde personen en instellingen kunnen slechts gegevens worden verstrekt indien en voor zover aangegeven in de schriftelijke machtiging.
Artikel 8 1.
2.
3.
De geregistreerde, zijn wettelijke vertegenwoordiger of zijn gemachtigde kunnen een schriftelijk verzoek om kennisneming indienen bij de houder. De verzoeker dient zich voldoende te legitimeren. De houder deelt de verzoeker binnen een maand mee of hem betreffende persoonsgegevens in de registratie zijn opgenomen. De indiener van het in eerste lid bedoelde verzoek kan de houder schriftelijk verzoeken de hem betreffende persoonsgegevens te verbeteren, aan te vullen ofte verwijderen. De houder deelt de verzoeker binnen twee maanden na ontvangst van het verzoek mee of en in hoeverre hij aan het verzoek voldoet. De beslissing tot verbetering, aanvulling of verwijdering wordt zo spoedig mogelijk uitgevoerd. Indien het verzoek wordt geweigerd, wordt de beslissing met redenen omkleed. De houder die aan een verzoek om verbetering, aanvulling of verwijdering voldoet, is verplicht om aan degenen aan wie hij naar zijn weten in het jaar voorafgaand aan het verzoek de betrokken gegevens heeft verstrekt, mededelingen te doen van de verbetering, aanvulling of verwijdering.
Artikel 9 1.
2.
3. 4.
Verzoek om kennisneming en verbetering.
Protocolplicht
Van het verstrekken van gegevens als bedoeld in artikel 7 houdt de beheerder een protocol bij waarin wordt vermeld aan wie, op welk tijdstip, welke persoonsgegevens zijn verstrekt. De houder deelt de geregistreerde, zijn wettelijke vertegenwoordiger of zijn gemachtigde op diens verzoek schriftelijk binnen een maand mede of hem betreffende gegevens in het jaar voorafgaande aan het verzoek uit de persoonsregistratie aan derden zijn verstrekt. De gemachtigde dient te beschikken over een schriftelijke machtiging. De houder doet aan de verzoeker opgave van degenen aan wie hij de mededeling, als bedoeld in artikel 8, derde lid heeft gedaan. De beheerder verwijdert ten minste jaarlijks de aantekeningen uit het protocol betreffende de verstrekkingen die meer dan een jaar daarvoor hebben plaatsgevonden
Artikel 10 l .a
1.b
2. 3.
Verwijderen van gegevens
De leerlinggegevens bedoeld in artikel 4 worden uit de registratie verwijderd uiterlijk vijf jaren nadat de gegevens voor de in artikel 2 genoemde doeleinden hun relevantie hebben verloren, een en ander naar het oordeel van de houder, tenzij een wettelijke bepaling anders voorschrijft. Ten aanzien van de administratie van oud-leerlingen of oud-personeel sleden geldt, dat de persoonsgegevens uit de registratie te dienen te worden verwijderd op een daartoe strekkend verzoek van de betrokkene of diens overlijden. Indien men persoonsgegevens wil archiveren nadat ze uit deze registratie zijn verwijderd, hoeven ze niet te worden vernietigd. Onverminderd het in lid l bepaalde, kunnen gegevens, ontdaan van elk tot de persoon herleidbaar element, worden vastgehouden voor statistische doeleinden. De uit de registratie verwijderde gegevens worden zo spoedig mogelijk na verwijdering vernietigd. onder verantwoordelijkheid van de houder.
