Gebruik en misbruik van persoonsgegevens

In mijn vorige blog behandelde ik het essentiële verschil tussen normaal gebruik en misbruik van persoonsgegevens . Normaal gebruik kan en mag. Misbruik is verboden. Maar wat is het verschil tussen normaal en abnormaal? En hoe beoordeel je dat? Een van de invalshoeken die scholen kunnen hanteren is kijken naar de soort data.

Persoonsgegevens zijn er in vele soorten en maten.

Het nieuwe privacystelsel kent verschillen qua soorten data, doelgroepen en toepassingsgebieden. Sommige data, doelgroepen en toepassingen hebben een verhoogd risico en verdienen extra bescherming.

Een toepassingsgebied dat hoge risico’s kent is het medisch domein.

Gegevens over gezondheid verzamelen, opslaan en verwerken is per definitie gevoelig en verdient dus extra zorgvuldigheid. Niemand wil dat zijn of haar medische dossier op straat komt te liggen of dat deze hoogstpersoonlijke informatie in verkeerde handen valt. Kwetsbare doelgroepen zijn er ook. Kinderen bijvoorbeeld. Daarnaast zijn er bijzondere persoonsgegevens die gevoelig liggen; denk aan lidmaatschap van een politieke partij of vakbond en seksuele voorkeur.

Wat betekent dit voor scholen?

Mag een school niet data verzamelen of opslaan over een ziekte? Mag een school überhaupt wel iets doen met gegevens over kinderen? Wat is hier normaal gebruik en wat is misbruik? Hoe ga je hier mee om?
De wet en de toezichthouder verlangen een zorgvuldige afweging. Als je een zorgvuldige afweging maakt, dat serieus doet en dat ook netjes vastlegt, is er niets aan de hand.
Een voorbeeld. Stel een kind op mijn school heeft diabetes. Ik weet dat ik moet oppassen, want het is een kwetsbaar kind en het betreft medisch gevoelige informatie.

Mag ik data opslaan?

Maak een afweging! Weeg voors en tegens. Is het belangrijk dat leerkrachten en/of directie weten dat een kind diabetes heeft? Ja, want stel je voor dat er iets misgaat met het kind en bijvoorbeeld in een hypo terecht komt. Dit kan levensbedreigend zijn. Natuurlijk moet de school dit weten. Ouders willen dit toch ook? Geef je de gegevens aan partijen buiten de school? Moet iedereen op school het weten? Wie moet het eigenlijk allemaal weten? Alleen de betrokken leerkracht? En wat dan als die toevallig ziek is of op vakantie?

Stel de vragen, praat erover met betrokkenen en leg dit vast!

Door dit soort vragen te stellen en erover te praten met de betrokkenen, ontstaat er vanzelf een aanpak. Leg deze vast en communiceer het intern. Hiermee heb je als school al een zogenoemd verwerkingsregister, laat je zien dat je een serieuze afweging maakt en daarin transparant bent .En natuurlijk vraag je als school om toestemming van de ouders. Als die toestemming er is is er helemaal niets aan de hand. Langs deze weg ontstaat een schoolvoorbeeld van normaal gebruik.

Ton Veldhuis

Gepubliceerd in Privacy.