SWPBS vanuit juridisch oogpunt Samenvatting uit: De Wilde M., en Van den Berg A. (2012), SWPBS, vanuit juridisch oogpunt, afstudeerrapport juridische afdeling Christelijke Hogeschool Windesheim, Zwolle
Omgaan met persoonsgegevens binnen SWPBS Privacy is in te delen in continentale, Europese en nationale wet- en regelgeving. De genoemde OECD privacybeginselen zijn opgenomen in het Verdrag van Straatsburg (Europees verdrag), welke verder is uitgewerkt in richtlijn 95/46. Nederland heeft in 2001 de Wet bescherming persoonsgegevens aangenomen. De Wbp kan in Nederland worden gezien als de wet omtrent de bescherming van persoonsgegevens. Ook het Europees Verdrag voor de Rechten van de Mens heeft zijn uitwerking op de Wbp gehad. De Wbp moet, zoals in hoofdstuk 4 is beschreven, uitgelegd worden aan de hand van artikel 8 van het EVRM: ‘Een ieder heeft recht op respect voor zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie.’ Een persoonsgegeven Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. De verwerking van persoonsgegevens Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. Het verwerken van gegevens is te allen tijde gebonden aan verschillende voorwaarden en verplichtingen. Belangrijk bij het verwerken van gegevens is het in acht nemen van de beginselen van subsidiariteit en proportionaliteit. Dit houdt in dat het verwerken van persoonsgegevens geen onevenredige inbreuk op de belangen van de betrokkene als gevolg mag hebben (proportionaliteit) en dat er door de verantwoordelijke moet worden nagegaan of er geen voor de betrokkene minder nadelige wijze van gegevensverwerking
mogelijk is, dan de manier waarop de verantwoordelijke dit voor ogen heeft (subsidiariteit). Tevens geldt als belangrijke voorwaarde dat er altijd een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel moet zijn om persoonsgegevens te verwerken, aldus artikel 7 van de Wbp. Bij het toepassen van PBS kunnen we dit doel omschrijven als ‘het creëren van een omgeving die het leren bevordert en gedragsproblemen voorkomt’.1 Een andere belangrijke voorwaarde voordat er mag worden overgegaan tot het verwerken van persoonsgegevens, is genoemd in artikel 8 van de Wbp. Dit artikel stelt dat elke verwerking van persoonsgegevens moet berusten op een rechtvaardigingsgrond. We kunnen stellen dat de enige rechtvaardigingsgrond om persoonsgegevens door middel van een PBSsysteem te verwerken wordt genoemd in artikel 8, sub a van de Wbp: ‘Persoonsgegevens mogen slechts worden verwerkt indien de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend.‘ Omwille van de aansprakelijkheidsvraag is de verantwoordelijke verplicht om een overeenkomst op te stellen tussen hem en een bewerker op het moment dat persoonsgegevens door deze bewerker worden verwerkt, aldus art. 14 van de Wbp. Dit is al snel het geval bij het gebruik van het PBSsysteem. De directeur kan worden gezien als de verantwoordelijke in de zin van de Wbp, maar deze zal niet zelf alle gedragsincidenten registreren. Veelal zal dit worden gedaan door docenten zelf, die vallen onder het begrip ‘bewerker’. Elke directeur van een school waarbij PBS wordt ingezet zal daarom een overeenkomst moeten opstellen tussen hem en de docent (bewerker) die gedragsincidenten verwerkt. Ook is de verantwoordelijke verplicht om bij het CBP te melden dat hij persoonsgegevens wil gaan verwerken, tenzij de activiteiten zijn gemeld in het Vrijstellingsbesluit Wbp. Deze melding dient voorafgaand aan de daadwerkelijke verwerking van persoonsgegevens te geschieden. Alle scholen waarbij PBS zal worden/wordt ingezet, dienen dus zo’n melding aan het CBP te verrichten. Het CBP-meldingsprogramma en/of het CBP-meldingsformulier om de hier beschreven melding te verrichten kunt u op de website van het CBP vinden.2 Elke betrokkene van wie persoonsgegevens worden verwerkt heeft drie rechten. 1. De betrokkene heeft recht om in te zien welke persoonsgegevens er over hem worden verwerkt. 1
Kenniscentrum SWPBS Nederland, geraadpleegd op 31-5-2012, van http://www.swpbs.nl/. College Bescherming Persoonsgegevens. Meldingsformulier verwerking persoonsgegevens. Geraadpleegd op 31-5-2012, van http://www.cbpweb.nl/Pages/ind_melden_formulier.aspx. 2
2. Hij heeft het recht om correctie aan te vragen op het moment dat deze persoonsgegevens onjuist of onvolledig zijn verwerkt. 3. Hij heeft het recht om in verzet te gaan tegen de verwerking van zijn persoonsgegevens. Elke leerling of ouder van deze leerling wanneer deze de leeftijd van 16 jaar nog niet heeft bereikt, heeft dus de mogelijkheid om deze drie rechten uit te oefenen. Het recht om in verzet te gaan gaat bij PBS echter niet op, omdat PBS niet gebaseerd is op een van de twee rechtvaardigingsgronden genoemd in art. 8, sub e en f. Enkel tegen verwerkingen van persoonsgegevens die zijn gebaseerd op een van deze twee rechtvaardigingsgronden is het mogelijk om gebruik te maken van het recht op verzet. Ook de verantwoordelijke heeft enkele rechten. Zo is hij degene die moet bepalen of persoonsgegevens verstrekt mogen worden aan derden. Ten eerste zal hij moeten instemmen met het verstrekken van persoonsgegevens aan derden. Daarnaast moet de verantwoordelijke nog enkele andere zaken bekijken voordat persoonsgegevens verstrekt mogen worden aan derde partijen. Zo mogen persoonsgegevens alleen verder verwerkt (verstrekt) worden op het moment dat dit verenigbaar is met het oorspronkelijke doel waarvoor de persoonsgegevens in eerste instantie zijn verwerkt. Dit betekent dat op het moment dat derde partijen de persoonsgegevens verder willen verwerken, ook zij tot doel moeten hebben om een omgeving te creëren waarin het leren wordt bevorderd en gedragsproblemen worden voorkomen, of anders een doel dat hier nauw bij aansluit. Tevens dient er naar de aard en de risico’s van de persoonsgegevens gekeken te worden, alvorens deze mogen worden verstrekt aan derden. Een tweede recht van de verantwoordelijke is om een vergoeding te vragen op het moment dat een betrokkene een mededeling aanvraagt waarin wordt aangegeven of, en hoe, er persoonsgegevens over hem verwerkt worden. De verantwoordelijke is op grond van art. 49 lid 3 Wbp aansprakelijk voor de schade of het nadeel voortvloeiende uit het niet nakomen van de bij of krachtens de Wbp gegeven voorschriften. Daarnaast kan het niet nakomen van de bij of krachtens de Wbp gegeven voorschriften een onrechtmatige daad opleveren. Schade die voortvloeit uit het niet nakomen van de bij of krachtens de Wbp gegeven voorschriften kan bestaan uit vermogensschade of ander nadeel. Onder vermogensschade wordt verstaan: - geleden verlies en gederfde winst; - kosten ter voorkoming of beperking van schade; - kosten ter vaststelling of beperking van schade en aansprakelijkheid; - kosten ter verkrijging van voldoening buiten rechte. Ander nadeel bestaat uit zogenaamde immateriële schade, ook wel smartengeld genoemd.
De verantwoordelijke kan worden ontheven uit zijn verantwoordelijkheid indien hij bewijst dat de schade hem niet kan worden toegerekend. Rechten van de verantwoordelijke Ook de verantwoordelijke (directeur) heeft enkele rechten die hij kan aanwenden, namelijk:
Het recht om gegevens verstrekken: De verwerkte persoonsgegevens mogen slechts verstrekt worden aan derde partijen indien dit niet onverenigbaar is met het oorspronkelijke doel van de gegevens. Dat betekent dat op het moment dat een derde partij kennis wil nemen (en misschien wel meer) van de persoonsgegevens zij het creëren van een omgeving die het leren bevordert en gedragsproblemen voorkomt centraal moeten hebben staan, of een doelstelling hanteren die een nauwe verwantschap heeft met dit onderwerp. De precieze wijze van beoordelen of het verstrekken van persoonsgegevens verenigbaar met het oorspronkelijke doel vindt u op pagina 30 en 31 van dit rapport.
Recht op een vergoeding wanneer de betrokkene gebruikmaakt van zijn recht op inzage: Op het moment dat een leerling/ouder/voogd gebruikmaakt van het recht op inzage, kan de verantwoordelijke een vergoeding eisen op het moment dat hij hierbij kosten maakt. De vergoeding dient echter teruggegeven te worden op het moment dat hij op verzoek van de betrokkene, op aanbeveling van het CBP of op bevel van de rechter over is gegaan tot correctie (of afscherming) van de persoonsgegevens. De vergoeding voor de kosten van zo’n mededeling bedragen per pagina € 0.23, met een maximum van € 5,- per mededeling.
Door de technologische ontwikkeling en de verschillende wijze van implementatie van richtlijn 95/46 door de Europese lidstaten was een hervorming van Europese privacywetgeving onvermijdelijk. Door het bovenstaande voorstel voor een nieuwe verordening is voor beide problemen een oplossing geboden. Daarbij komt dat er verschillende extra waarborgen zijn geboden ten aanzien van de rechten van de betrokkene wiens persoonsgegevens verwerkt worden, zoals het ‘recht om vergeten te worden’, een uitbreiding op het ‘recht op informatie’ en een striktere beveiliging van de persoonsgegevens. De termijn dat deze verordening in werking zal treden is nog onbekend. De verordening zal echter pas van toepassing zijn met ingang van twee jaren na de dag dat de verordening in werking is getreden. Op dat moment zal ook de Wet bescherming persoonsgegevens vervallen en zal er dus aan de voorwaarden en verplichtingen van de hier besproken verordening voldaan moeten worden. Op basis van de (geringe) respons op de gebruikte enquête concluderen de onderzoekers dat de scholen de ouders niet genoeg lijken te betrekken bij het
PBS-project, een gegeven dat op basis van de wet wel degelijk vereist is. Ouders lijken echter wel goed te begrijpen dat het in het belang van hun kind is dat school persoonsgegevens over hem/haar verwerkt. Voor toekomstige jaren waarin (steeds meer) scholen met PBS gaan werken, lijkt het van belang dat scholen de manier waarop zij omgaan met privacygevoelige persoonsgegevens opnemen in hun schoolgids. Het overgrote deel van de ouders vindt het belangrijk dat dit gedaan wordt door scholen. Voorwaarden om gegevens vast te leggen en plichten van de verantwoordelijke In de tabel hieronder vindt u de voorwaarden en plichten van de verantwoordelijke, welke alle in acht genomen dienen te worden bij het verwerken van persoonsgegevens. Artikel 6 Wbp
7 Wbp
8 Wbp
10 Wbp
3
Inhoud Persoonsgegevens dienen in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt te worden. Dit betekent dat bij gebruik van een leerlingvolgsysteem en bij gedragsregistratie op naam rekening gehouden dient te worden met de Wet bescherming persoonsgegevens en de voorwaarden en verplichtingen die op grond van deze wet gelden (en hieronder uiteengezet worden). Er dient altijd een uitdrukkelijk en welbepaald doel aan de verwerking ten grondslag te liggen. Met betrekking tot het registreren van gedragsincidenten is dit doel het creëren van een omgeving die het leren bevordert en gedragsproblemen voorkomt.3 Deze doelstelling dient te allen tijde duidelijk te zijn binnen de organisatie. Volgens artikel 8 van de Wbp moet het verwerken van persoonsgegevens vallen onder een van de in dit artikel genoemde ‘rechtvaardigingsgronden’. Aangezien het anoniem registreren van gedragsincidenten per september 2012 een wettelijke verplichting is en vanwege de anonimiteit niet onder de Wbp valt, zal deze vorm van registratie geen problemen opleveren. Echter, het registreren van gedragsincidenten op naam is enkel toegestaan op grond van de rechtvaardigingsgrond genoemd in sub a van dit artikel: Persoonsgegevens mogen slechts worden verwerkt indien de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend. Dit houdt in dat er voorafgaand aan de registratie (verwerking) van gedragsincidenten (persoonsgegevens) toestemming gevraagd dient te worden aan de ouders/voogden van de leerlingen, of bij meerderjarigheid aan de leerling zelf. Er is bepaald dat persoonsgegevens niet langer bewaard mogen blijven dan noodzakelijk is voor het gestelde doel. Echter, zoals in bijlage 2 en 3 te zien is, mogen persoonsgegevens als cijfers en
Kenniscentrum SWPBS Nederland, geraadpleegd op 10-5-2012, van http://www.swpbs.nl/
11 Wbp
12 lid 1 Wbp 12 lid 2 Wbp 13 Wbp
14 Wbp
27 en 28 Wbp
33 Wbp
adressen van leerlingen tot twee jaren nadat zij de school hebben verlaten bewaard blijven. Na deze periode van twee jaren dienen de persoonsgegevens verwijderd te worden. Er mag dus van uitgegaan worden dat gedragsincidenten ook tot twee jaren nadat de leerling de school heeft verlaten bewaard mogen blijven, bijvoorbeeld teneinde vergelijkingsmateriaal te hebben. De Wbp benadrukt dat er geen persoonsgegevens worden verwerkt welke niet bijdragen aan het gestelde doel. De verantwoordelijke dient ervoor te zorgen dat de persoonsgegevens toereikend zijn, en ter zake dienend. Personen onder het gezag van de verantwoordelijke of een bewerker, mogen enkel gegevens verwerken volgens de instructies van de bewerker/verantwoordelijke. Op elke persoon die persoonsgegevens verwerkt, dus bewerker, verantwoordelijke of personen onder het gezag van de bewerker/verantwoordelijke, rust een geheimhoudingsplicht. De verantwoordelijke dient zorg te dragen voor een passend beveiligingssysteem. Gezien het feit dat het prototype beveiligd is met een gebruikersnaam en wachtwoord, kan men hierdoor al spreken van een passend beveiligingssysteem. Op scholen zullen gedragsincidenten naar alle waarschijnlijkheid door docenten verwerkt worden. Docenten vallen onder de categorie bewerker, en de directeur/directrice valt in de zin van de Wbp onder de categorie verantwoordelijke. In artikel 13 van de Wbp verplicht de verantwoordelijke de bewerker afspraken te maken, waarbij de afspraken in een overeenkomst opgenomen dienen te worden. In deze overeenkomst dient in elk geval opgenomen te worden dat de bewerker (docent) de persoonsgegevens verwerkt naar instructie van de verantwoordelijk (directeur). Artikel 27 en 28 hebben betrekking op de melding aan het CBP voorafgaand aan persoonsgegevensverwerkingen. Gaat een school over tot gedragsincidentenregistratie op naam, dan dient dit voor de verwerking van gedragsincidenten (dus persoonsgegevens) gemeld te worden aan het CBP. Volgens artikel 33 dient de verantwoordelijke de betrokkene in te lichten op het moment dat de plannen er zijn om persoonsgegevens te verwerken van een betrokkene. Hier hoeft echter geen rekening mee gehouden te worden, aangezien er goedkeuring gevraagd dient te worden aan de betrokkene om zijn persoonsgegevens te verwerken, en mocht de betrokkene hiermee akkoord gaan, dan zal hij op de hoogte moeten zijn van het feit dat persoonsgegevens over hem verwerkt zullen gaan worden.
