Corona - Veelgestelde vragen - Privacy

De coronacrisis vraagt aanpassingen van het onderwijs. Waar moet u als school rekening mee houden? Hier vindt u vragen en antwoorden over privacy en de relatie tot thuiswerken. De vragen en antwoorden worden steeds geactualiseerd en aangevuld. Kijk daarom regelmatig op deze pagina!

Werkgever en privacy

Wat mag een werkgever nu verwerken van gezondheidsgegevens?

De Algemene verordening gegevensbescherming (AVG) bepaalt dat het digitaal of op papier documenteren (verwerken) van gezondheidsgegevens van werknemers verboden is, tenzij er sprake is van een grondslag (art. 6 AVG) of een uitzondering (art. 9 AVG). In geval van een uitzonderingssituatie moet de verwerking effectief zijn voor het te bereiken doel (proportionaliteit). Een uitzondering is dat werkgevers wél gezondheidsgegevens mogen verwerken als dit noodzakelijk is voor het uitvoeren van wettelijke verplichtingen op het gebied van arbeidsrecht. Denk bijvoorbeeld aan de loondoorbetalingsverplichting bij ziekte. Werkgevers moeten weten of sprake is van ziekte (= een gezondheidsgegeven) om aan deze verplichting te kunnen voldoen. Ze mogen echter niet méér registreren dan dat de werknemer ziek is. De verwerking van verdere informatie over de aard van de ziekte is voorbehouden aan de bedrijfsarts.

Is het voorkómen van de verdere verspreiding van het coronavirus een uitzonderingssituatie voor het verwerken van persoonsgegevens?

De Autoriteit Persoonsgegevens (AP), de Nederlandse privacy-waakhond, stelt zich op dit punt kritisch op. In reactie op vragen over het coronavirus geeft de AP aan dat door werkgevers enkel in ‘heel uitzonderlijke gevallen’ bijzondere persoonsgegevens mogen worden verwerkt. Hieruit kan worden afgeleid dat de AP vindt dat de wettelijke plicht om te zorgen voor een veilige werkomgeving niet zover strekt dat werkgevers bij een virus-uitbraak wél allerlei gezondheidsgegevens mogen verwerken. Daarnaast zijn er veelal (betere) en meer proportionele alternatieven voorhanden. Denk bijvoorbeeld aan het nemen van hygiënemaatregelen en het eerder inschakelen van de bedrijfsarts.

Wanneer mogen gezondheidsgegevens wel worden besproken of gedocumenteerd?

Op zich is het op grond van de Algemene verordening gegevensbescherming (AVG) niet verboden om ziekteverschijnselen mondeling te bespreken of gezondheidsgegevens te documenteren die niet herleidbaar zijn naar een specifiek persoon. Dit lijkt op het eerste gezicht ruimte te bieden om buiten de AVG om werknemers te vragen naar ziektesymptomen en misschien zelfs ‘aan de poort’ (preventief) te controleren op koorts.

Maar: ook als de AVG niet van toepassing is, geldt nog steeds dat de werknemer recht heeft op privacy en dat een werkgever niet zomaar inbreuk mag maken op dit recht. Van werkgevers wordt verwacht dat (privacy)gevoelige informatie alleen wordt verwerkt als het belang van de werkgever om dit te doen zwaarder weegt dan het algemene grondrecht van de werknemer op eerbiediging van de persoonlijke levenssfeer én als het nodig is (effectief is) om het beoogde doel te bereiken.

Mag een werkgever (preventief) controleren op koorts?

Volgens de Autoriteit Persoonsgegevens (AP) is het op grond van de Algemene verordening gegevensbescherming (AVG) verboden om met bijvoorbeeld koortsscanners (preventief) de temperatuur op te nemen bij werknemers. Werknemers mogen dat volgens de AP dan ook weigeren. Tip: overweeg alternatieven zoals werknemers die recent in risicogebieden zijn geweest thuis laten werken. En/of motiveer werknemers om contact te zoeken met de lokale GGD of huisarts wanneer zij symptomen ervaren die kunnen wijzen op corona.

Mag een werkgever met een werknemer spreken over diens ziektesymptomen?

Ja, dat mag. Informatie uit zo'n gesprek mag echter niet digitaal wordt vastgelegd of in bijvoorbeeld het personeelsdossier worden opgenomen. Ook kunnen werknemers niet worden verplicht om dergelijke informatie te verstrekken.

Tip: realiseer dat een gesprek over ziektesymptomen zeer (privacy)gevoelig is, probeer dit te vermijden en te beperken.

Mag een werkgever werknemers met besmettingen registreren?

Het bijhouden van een lijst met (mogelijk) geïnfecteerde werknemers is in beginsel niet toegestaan. Dit betreft het verwerken van gezondheidsgegevens waarop het verbod uit de AVG van toepassing is.

Tip: zijn werknemers besmet met het Coronavirus? Weeg dan zorgvuldig af of het bijhouden van een lijst met besmettingen noodzakelijk is om een veilige werkomgeving te waarborgen. Waarschijnlijk kan de arbodienst worden ingeschakeld om de gezondheidsgegevens te verwerken en kan de arbodienst de werkgever voorzien van de nodige, niet medische, informatie.

Mag een werkgever collega’s informeren over een besmette collega?

Ook het delen van gezondheidsinformatie van personen met anderen valt onder het verbod uit de AVG. Wel kan in algemene bewoordingen en zonder dat bekend wordt over welke persoon het gaat, worden aangegeven dat een verhoogd risico bijvoorbeeld nieuwe maatregelen noodzakelijk maakt. Maakt een werknemer zelf gezondheidsgegevens bekend of vraagt hij/zij zelf aan de werkgever informatie over zijn/haar gezondheid met collega’s te delen, dan levert dat geen strijd op met de AVG. Wél mag deze informatie (digitaal) niet worden bewaard.

Tip: houd er rekening mee dat in de communicatie over mogelijke besmettingen geen details worden vrijgegeven waaruit de identiteit van de mogelijk getroffen persoon kan worden afgeleid.

Meer informatie op de website van de Autoriteit Persoonsgegevens:

Thuiswerken en privacy

Waar moeten onderwijsgevenden op letten bij het geven van online lessen?

Bij onderwijs op afstand is de onderwijsgevende hoorbaar en zichtbaar in het huishouden van de student. Dit kan de leraar kwetsbaar maken omdat hij/zij niet weet wie er thuis meekijken/luisteren. Let op de volgende zaken:

  • Omgeving

Zijn er privacygevoelige zaken of teksten in beeld? Haal deze weg of kies een andere achtergrond. Kies een rustige omgeving waar anderen niet kunnen meekijken en/of luisteren en spreek met de studenten af dat zij dat ook doen. Dat is ook bevorderlijk voor de concentratie.

  • Gebruik van beelden/audio

Het is verstandig met studenten (en ouders) af te spreken dat het niet toegestaan is om opnames te maken van het onderwijs of de onderwijsgevende, laat staan deze beelden te delen op social media. U kunt lessen ook vooraf opnemen en als video delen: dat maakt het gemakkelijk om vooraf te checken of de lesstof goed overkomt en er geen ongewenste zaken in beeld zijn.

  • Gebruik accounts

Bij voorkeur loggen de studenten in via hun schoolaccount. Bij het aanmaken of gebruiken van een privé-account worden persoonsgegevens verwerkt. Vraag of dit wel veilig is en wenselijk is, aangezien de gegevens met derden worden gedeeld.

Welke alternatieven zijn als er geen gebruik wordt gemaakt van een schoolaccount?

Als er niet direct of indirect kan worden ingelogd vanuit huis met een bestaand schoolaccount, zal er een account via het mailadres van de student (of ouder) aangemaakt moeten worden. Hiervoor moet veelal het persoonlijke e-mailadres van de student (of ouder) door de school worden doorgegeven aan de uitgever of distributeur. Dit mag de school doen, maar het is wel belangrijk om de student (of ouders) hierover vooraf te informeren. Het e-mailadres wordt namelijk veelal gebruikt als gebruikersnaam of -iD voor het leermiddel. Let op, ouders mogen hiertegen bezwaar maken, dit is hun recht. In deze gevallen kan de school de ouders aanraden om hiervoor een apart mailadres aan te maken (bijv. Outlook of Gmail).

Zorg er ook voor dat u als schoolbestuur met de uitgevers en distributeurs een verwerkersovereenkomst hebt. Een goed model hiervoor is het model van het Privacy Convenant. Hierin moet ook de verwerking van het mailadres van ouders en studenten vermeld zijn

Waar moet de school op letten bij thuisgebruik van privé- en schoollaptops/-tablets?
  • Schoollaptops-tablets

Zorg ervoor dat laptops/tablets van de school beveiligd zijn met een wachtwoord. Het is de bedoeling dat uitsluitend de student op het apparaat werkt voor schoolwerkzaamheden. Maak hierover duidelijke afspraken met de studenten. Een tweede belangrijke afspraak is dat de student niet zelfstandig software downloadt of installeert. Daarmee voorkomt u dat er virussen of andere schadelijke software (malware) wordt geïnstalleerd.

Met medewerkers, studenten en/of ouders sluit u een bruikleen- of gebruikersovereenkomst af. Hierin staan ook afspraken over wie de laptop/tablet mag gebruiken en waarvoor.

Stelt u tweedehands laptops of tablets in bij gebrek aan voldoende eigen devices, zorg dan dat de apparaten opgeschoond en opnieuw zijn geïnstalleerd/ingericht met onder andere beveiligingssoftware.

  • Privé-laptops/-tablets

Gebruiken medewerkers/studenten thuis voor schoolactiviteiten als afstandsleren privé-laptops/-tablets, maak dan afspraken over het beveiligen van deze devices met een wachtwoord, het gebruik van een virusscanner en het automatisch/dagelijks bijwerken van beveiligingsupdates. Zo kan worden voorkomen dat bestanden met vertrouwelijke informatie of persoonsgegevens geïnfecteerd worden door virussen of in handen komen van derden (bijvoorbeeld hackers).

Specifiek voor medewerkers van de school: download geen persoonsgegevens op privé-laptops/-tablets, tenzij dit nodig is voor de bewerking ervan. In dat geval is het belangrijk om na het uploaden de bewerkte documenten te verwijderen. Let op: verwijder deze documenten ook uit de map ‘Downloads’.

Waar moeten scholen op letten bij thuisgebruik van digitale leermiddelen?

Uitgeverijen, leveranciers en/of distributeurs van digitale leermiddelen maken het over het algemeen mogelijk om digitale leermiddelen ook thuis te gebruiken. In veel gevallen gebruikt de school hiervoor een online leeromgeving. De student kan gebruik maken van de leermiddelen door in te loggen op de online leeromgeving van de school. Vaak wordt de student dan ook automatisch ingelogd voor het gebruik van het digitale leermiddel.

Het kan ook zijn dat studenten wordt gevraagd om rechtstreeks in te loggen om het digitale leermiddel te kunnen gebruiken. Ook dan zou bij voorkeur het schoolaccount moeten worden gebruikt.

De school mag het e-mailadres van studenten (en ouders) gebruiken om hen te informeren over het proces waarmee ze de digitale leermiddelen kunnen gebruiken.

BSN en ID's

Hoe moet een school omgaan bij een telefonische intake met de ID-plicht?

Bij (telefonische) intake mag de school vragen naar het BSN. De persoon in kwestie moet wel naar school komen om zijn/haar BSN definitief te laten controleren en vast te laten leggen in de administratie.

Hoe is het ID bij het afnemen van een examen op afstand te controleren?

Dit kan door de student bijvoorbeeld te vragen een kopie (foto) van zijn/haar ID via de app ‘KopieID’ van de Rijksoverheid ca. tien minuten voor aanvang van het examen per mail te verzenden. De app is gratis te downloaden.