maandag 17 mei 2010

Studentbegeleiding en privacy

Een goede studiebegeleiding kan goed ondersteund worden met een digitaal informatiesysteem. Beschikbare informatie over een student is dan op één plek beschikbaar voor alle betrokkenen in plaats van verspreid over losse bestanden, schriftjes, lijstjes, databases, losse briefjes en de hoofden van mensen. Dat kan de kwaliteit van de begeleiding enorm ten goede komen. Een begeleider kan immers beschikken over alle relevante informatie om een student te kunnen adviseren of bij te sturen in diens leertraject. Nu komt er behoorlijk wat kijken om een begeleidingssysteem goed aan de praat te krijgen in een onderwijsorganisatie, maar daar wil ik nu niet op in gaan.

Wat me wel opvalt bij verschillende onderwijsinstellingen dat het aspect 'privacy' bij het werken met met name een begeleidingssysteem vanuit uitersten wordt benaderd: van weinig of geen tot soms een overdreven aandacht. Een paar dingen op een rijtje gezet.

Wanneer er te weinig aandacht besteed wordt aan privacyregels kunnen er voor studenten vervelende dingen gebeuren. Privacyregels zijn er dan ook om te voorkomen dat door het registreren van gegevens in een bestand er ongewenste gevolgen plaatsvinden. De regelgeving (o.a. de Wet Bescherming Persoonsgegevens) stelt dan ook heel duidelijk dat die gegevens alleen maar gebruikt mogen worden voor het doel waarvoor ze worden opgenomen in het bestand. Het verstrekken van gegevens aan derden moet dan wel aan heel stringente eisen voldoen. Anders kunnen gegevens goedbedoeld maar onterecht worden verstrekt aan verkeerde personen of instanties. Zo lijkt het logisch dat er aan een ouder telefonisch wat informatie wordt gegeven over hun kind. Maar -als het al een ouder is- zal het maar net de ouder zijn, die het ouderlijk gezag is ontnomen. En als nu de politie informeert naar een leerling? Onder bepaalde omstandigheden zal die informatie toch gegeven moeten worden. In dit soort gevallen moet dat niet gebeuren tijdens het desbetreffende telefoongesprek zelf. Op dat moment valt immers nauwelijks te controleren of het verzoek authentiek is. In een dergelijk geval: terugbellen naar een bij de verzoeker behorend telefoonnummer (het thuisnummer van de student of het nummer van het bijbehorende politiebereau). Op die manier worden door dit type procedures maatregelen genomen in het kader van privacy.
En als een uitzendbureau om een adreslijst vraagt om examenkandidaten een presentje te kunnen sturen? Kan niet, mag niet. Dus ook geen adreslijst voor oud-leerlingen die een reünie willen organiseren. Jammer, maar helaas. En hoe zit het dan met een leermiddelenleverancier, een Centraal Boekhuis, dat ook de functurering voor zijn rekening neemt? Dat is weer een ander verhaal...

Het is niet voor niets dat er in de wet een regeling is opgenomen dat persoonsregisters moeten worden aangemeld bij het College Bescherming Persoonsgegevens. Nou ja, als alles gemeld zou moeten worden: het is duidelijk dat er dan wel heel veel meldingen gedaan zouden moeten worden want er zijn nogal wat bestanden waarin gegevens worden opgeslagen. Om te voorkomen dat alles gemeld moet worden is het Vrijstellingsbesluit in het leven geroepen. In dat Besluit is ook geregeld dat onderwijsinstellingen onderwijs- of begeleidingsgerelateerde gegevens in een bestand mogen opnemen en dat die een dergelijke registratie dus niet hoeven te melden. In het besluit is ook geregeld, wat er geregistreerd mag worden en aan wie die gegevens verstrekt mogen worden. Daar staat bijvoorbeeld in, dat gegevens geleverd mogen worden aan leveranciers van leermiddelen, al moet je er even voor zoeken... ("art. 19, lid 2 onder b en c in combinatie met lid 4 onder a, Vrijstellingsbesluit").

Wat ook in het Vrijstellingsbesluit staat is, dat de gegevens (met uitzondering van een aantal zaken zoals diploma's en nog wat andere zaken) na twee jaar weer vernietigd moeten worden. Dat druist een beetje in tegen het gevoel dat die gegevens gewoon in het systeem kunnen blijven zitten 'want als die student nog eens terugkomt...'. Toch heb ik in de verschillende applicaties die ik ken nog geen knop gevonden waarmee de gegevens (na die twee jaar) weer opgeruimd kunnen worden. En wat betekent die regel voor backupbestanden?

Soms wordt te zwaar getild aan de privacyregels. Voorbeeld: veel onderwijsinstellingen hebben een aparte dienst waar studenten extra steun of begeleiding kunnen krijgen (meestal aangeduid als tweedelijns begeleiding). Soms vindt men dat zo'n dienst 'alleen maar gegevens mag krijgen van studenten die daar worden aangemeld'. De tweedelijnsbegeleiders zouden dan geen toegang mogen hebben tot alle begeleidingsgegevens van alle studenten. Toch gaat het om gegevens die binnen de instelling blijven. De WBP beschouwt de organisatie dan ook als houder van het systeem en de gegevens, niet de afzonderlijke medewerkers, dus de wet stelt die eis helemaal niet. Het is ook een soort motie van wantrouwen tegenover die medewerkers als die in principe zouden kunnen beschikken over alle begeleidingsgegevens van alle studenten. Je mag toch zeker een professionele houding van alle medewerkers verwachten? Zo'n beperkende afspraak of procedure is dus helemaal niet nodig en vaak niet werkbaar voor de desbetreffende dienst.
Daar staat tegenover, dat veel docenten een begeleidingssysteem als een soort privé registratiemiddel beswchouwen, waar een student niet in mag kijken. Daarbij wordt dan eigenlijk geen rekening gehouden met et feit dat de gegevens dan wel niet van de student zijn maar wel over de student gaan. En dus heeft die student het recht om te weten wat er over hem/haar is geregistreerd. Dat betekent nog niet, dat er dus ook maar meteen toegang moet zijn, maar een student mag vragen om inzage! Van docenten wordt dus een zorgvuldigheid verwacht bij alles wat er geregistreerd wordt! En wat niet bestemd of geschikt is om aan de student te tonen moet dan ook maar niet geregistreerd worden.
Studenten mogen ook verzoeken om gegevens te verwijderen of aan te passen. Lijkt ook logisch als het gaat om duidelijk verkeerde gegevens. Maar als het nu gaat om correcte gegevens waarvan die liever niet heeft dat ze worden geregistreerd? Een besmettelijke bloedziekte als HIV? Maar je wilt een EHBO'er toch ook in bescherming kunnen nemen? In dergelijke gevallen hoeft er dan ook aan het verzoek geen gehoor gegeven te worden.

Al dit soort dingen blijken in de praktijk toch weer wat complexer dan in eerste instantie lijkt. Toch goed om er over na te denken, te regelen en te communiceren met alle betrokkenen!

Geen opmerkingen:

Een reactie posten

Reacties zijn welkom