020 530 0160

Pseudonimisering in het onderwijs

Gepubliceerd op 30 november 2016 categorieën 

Onderwijsinstellingen maken steeds vaker gebruik van digitale leermiddelen. Daarbij worden er persoonsgegevens uitgewisseld tussen de onderwijsinstelling en de leverancier van leermiddelen over de leerlingen. De minister van Onderwijs heeft daarom een concept wetsvoorstel geïntroduceerd waardoor het voor onderwijsinstellingen mogelijk wordt om een pseudoniem van het persoonsgebonden nummer (PGN) van een leerling te gebruiken in het kader van de toegang tot en het gebruik van digitale leermiddelen. Dit zou de privacy van leerlingen beter moeten waarborgen.

Doel van de regeling

Om ervoor te zorgen dat leerlingen gebruik kunnen maken van digitale leermiddelen, moeten zij uniek geïdentificeerd kunnen worden door de leveranciers van die leermiddelen. Het doel van het wetsvoorstel is het creëren van een pseudoniem voor leerlingen, gebaseerd op het PGN, dat gebruikt wordt in de uitwisseling tussen de onderwijsinstelling en de leveranciers, zodat de leerlingen gebruik kunnen maken van digitale leermiddelen. Dit PGN is in het onderwijs meestal het Burgerservicenummer (BSN), waarvoor op grond van de privacywetgeving strenge regels gelden voor het gebruik daarvan. Het PGN mag niet gebruikt worden in de uitwisseling tussen onderwijsinstellingen en leveranciers, zonder een wettelijke grondslag. Om het pseudoniem te kunnen baseren op het PGN, is het daarom noodzakelijk het doel voor het gebruik van het PGN in een wet vast te leggen.

Advies Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens heeft op verzoek van de minister een advies uitgebracht over het wetsvoorstel. In haar advies raadt de Autoriteit Persoonsgegevens de minister aan om het wetsvoorstel pas in te dienen nadat haar advies daarin is verwerkt.

Dataminimalisatie

De toelichting op het wetsvoorstel vermeldt dat het gebruik van een pseudoniem van het PGN dataminimalisatie mogelijk maakt. Dataminimalisatie houdt in dat je alleen de gegevens mag verwerken die noodzakelijk zijn voor het doel van de verwerking. Je mag niet te gedetailleerde gegevens verwerken als dat niet noodzakelijk is. Als bijvoorbeeld een incassobureau gegevens verwerkt om debiteuren te kunnen aanmanen en gelden te incasseren, dan is het voor dit doel niet noodzakelijk om gedetailleerde gegevens te verwerken over de producten of diensten die de desbetreffende debiteur heeft afgenomen. Zou het incassobureau dit wel doen, dan is sprake van een bovenmatige verwerking.

Het pseudoniem maakt dataminimalisatie mogelijk. Onderwijsinstellingen behoeven alleen die gegevens uit te wisselen die nodig zijn voor een gebruiksvriendelijke inzet van digitale leermiddelen. Te denken valt aan een voornaam, zodat leerlingen die werken in een digitale leeromgeving die niet in de onderwijsinstelling zelf staat, aangesproken kunnen worden met hun voornaam.”

Maar de Autoriteit Persoonsgegevens merkt terecht op dat daarmee de noodzakelijkheid voor het gebruik van het pseudoniem niet is gegeven:

De (voor-en/of achter)naam en de groep van een onderwijsdeelnemer zullen evenwel meestal al voldoende zijn om een digitaal leermiddel aan de onderwijsdeelnemer van een onderwijsinstelling te kunnen koppelen.”

De Autoriteit Persoonsgegevens adviseert daarom om in de toelichting op het wetsvoorstel te motiveren waarom een pseudoniem noodzakelijk is en hoe een pseudoniem tot dataminimalisatie leidt. Verder adviseert de toezichthouder om toe te lichten door wie, wanneer en hoe pseudoniemen aan elkaar kunnen worden gekoppeld.

Herleidbaarheid door derden uitgesloten?

Opvallend is dat in het wetsvoorstel wordt geïmpliceerd dat door het gebruik van een pseudoniem de leerling niet meer door derden te herleiden is:

Het pseudoniem leidt ertoe dat onderwijsinstellingen en leveranciers van digitaal leermateriaal weten dat ze het over dezelfde leerling hebben. De onderwijsinstelling weet welke leerling dit is; het pseudoniem is voor anderen niet te herleiden naar een individuele leerling.”

Wat ook opvallend is, is dat de Autoriteit Persoonsgegevens daar niet op ingaat. Een bekend misverstand is dat gepseudonimiseerde gegevens worden gelijkgesteld met geanonimiseerde gegevens. Gepseudonimiseerde gegevens zijn niet gelijk te stellen met geanonimiseerde gegevens omdat de versleutelde gegevens (pseudoniemen) nog steeds herleidbaar zijn tot individuen. Daarom vallen ook pseudonieme gegevens onder de werkingssfeer van de privacywetgeving.

Op welke wijze het PGN Gepseudonimiseerde moet worden, vermeldt het wetsvoorstel niet. Maar ten aanzien van hashen hebben de Europese privacytoezichthouders eerder bepaald dat dergelijke gegevens alsnog teruggedraaid kunnen worden, ook door derden, als de invoerwaarde bekend is, bijvoorbeeld een PGN of BSN:

Is het bereik van invoerwaarden van de hashfunctie echter bekend, dan bestaat de mogelijkheid de hashfunctie opnieuw daarop toe te passen (replay-aanval) om de juiste waarde voor een specifieke record af te leiden. Werd een dataset bijvoorbeeld gepseudonimiseerd door de hashfunctie op een nationaal identificatienummer toe te passen, dan is dit nummer eenvoudig af te leiden door alle mogelijke invoerwaarden te hashen en het resultaat te vergelijken met de waarden in de dataset.”

Gebruik van een BSN in de Wet bescherming persoonsgegevens

Het BSN is een uniek en tot de persoon herleidbaar nummer. Daarom is het een zogeheten bijzonder persoonsgegeven. Voor het gebruik van bijzondere persoonsgegevens gelden extra strenge regels.

Overheidsorganisaties mogen het BSN gebruiken om hun taak uit te voeren, mits het BSN hierbij noodzakelijk is. Organisaties buiten de overheid mogen het BSN alléén gebruiken als dit in de wet staat. En dan nog alleen voor de doelen die in de wet staan, dus niet zomaar overal voor. Zo is een werkgever verplicht om het BSN van werknemers te verwerken om te voldoen aan zijn wettelijke administratieplicht. De werkgever mag het BSN van werknemers echter niet voor andere doeleinden gebruiken, zoals door het BSN op een toegangspas op te nemen of het BSN te gebruiken als inlogcode of identificatiemiddel in het HRM-systeem.

De Autoriteit Persoonsgegevens heeft eerder dit jaar opgetreden tegen verboden gebruik van het BSN en contact opgenomen met een aantal organisaties dat het BSN onterecht gebruikte.

Deze blog is automatisch geïmporteerd uit een oudere versie van deze website. Daarom is de lay-out mogelijk niet perfect.
Deel:

auteur

Lora

publicaties

Gerelateerde artikelen