Het Platform Bescherming Burgerrechten houdt maandelijks een vergadering waarin aangesloten organisaties kennis en informatie over actuele onderwerpen uitwisselen. Lees hier welke onderwerpen onder meer zijn besproken op de Platformbijeenkomst op 28 oktober 2014. 

Scholen verwaarlozen privacy en beveiliging persoonsgegevens

Platformdeelnemer Ouders Online luidde in oktober de noodklok over de privacy van middelbare scholieren. PriceWaterHouseCoopers (PWC) onderzocht in opdracht van het Ministerie van Onderwijs de informatie die scholen over hun leerlingen verzamelen en opslaan in het zogeheten Digitaal Leerlingendossier.

Het rapport was lang onder de radar gebleven, terwijl de bevindingen verre van mals waren:Geen van de onderzochte scholen wist wat er wettelijk wel en niet was toegestaan bij het registreren van informatie over leerlingen. Gegevensbeveiliging vindt plaats op basis van ‘gezond verstand’ en niet op basis van juridische of technische kennis. Leerlingendossiers blijken een groot aantal persoonsgegevens over zowel ouders als leerlingen te bevatten: (psycho)sociale informatie, kattebelletjes, losse observaties van docenten, maar ook kopietjes van paspoorten en registraties van ras en godsdienst. Hieronder ook veel persoonlijke gegevens die volgens de wet helemaal niet door de school mogen worden bewaard.

Dit terwijl het zeer waardevolle informatie kan zijn voor verschillende partijen. De markt voor leerlingvolgsystemen en software die wordt gebruikt in de leermethode, is in handen van een beperkt aantal partijen. Dat is een machtsblok waar scholen niet tegenop kunnen, blijkt uit het rapport. Er staan dan ook verschillende verboden bepalingen in die contracten, zo ontdekte PWC. De leveranciers van leerlingenvolgsystemen hebben ongelofelijk veel gegevens over leerlingen in hun beheer, en onduidelijk is wat ze daarmee doen. PWC kreeg er geen vinger achter.

In november werd het onderwerp opgepikt door RTL Nieuws, dat onthulde dat scholen via lesprogramma’s informatie verstrekken over de prestaties van leerlingen. Deze gegevens werden vervolgens weer verkocht aan uitgevers. Het aanleveren van gegevens was een harde voorwaarde in het contract dat met de ontwikkerlaar was gesloten.

Ook bleek dat staatssecretaris Dekker de Kamer niet op de hoogte had gesteld van het rapport en de bevindingen die erin stonden, het was enkel online gezet in september.

Platformdeelnemer Ouders Online wijdde een mini-serie artikelen aan het onderwerp (link). Ook is Ouders Online als spreker uitgenodigd voor de hoorzitting die de Tweede Kamer organiseert naar aanleiding van het onderzoek.

Actualiteiten Privacy in de Gezondheidszorg

Herfstactie ikgeentoestemming.nl

Op de site www.ikgeentoestemming.nl van Burgerrechtenvereniging Vrijbit is een nieuw offensief ingezet tegen de uitrol van het LSP, het voormalige EPD. Naast een oproep om vooral geen toestemming te geven voor het delen van medische gegevens via het vermaledijde systeem, is er nu ook een voorbeeldbrief beschikbaar waarmee men eerder gegeven toestemming kan intrekken. Ook wordt aangeraden VZVZ, de organisatie achter het EPD, aan te schrijven en om een schriftelijke bevestiging te vragen dat men niet in het systeem staat opgenomen. Dat is zelfs voor personen die zich nooit hebben aangemeld verstandig om te doen, zo bleek uit een steekproef van het College Bescherming Persoonsgegevens begin november. De toezichthouder meldt op haar site:

Uit een steekproef van 149 dossiers bleek dat uiteindelijk in 8 onderzochte dossiers niet kon worden aangetoond dat sprake was van rechtsgeldige, uitdrukkelijke toestemming voor de uitwisseling van medische gegevens via het LSP. Zo ontbrak in enkele dossiers het bewijs dat rechtsgeldige toestemming was gegeven en bij andere dossiers bleek vooraf onvoldoende informatie over de uitwisseling aan de patiënt te zijn verstrekt. VZVZ heeft dit in deze 8 dossiers inmiddels opgelost.

Rapport Commissie-Elias

Het rapport van de commissie Elias kwam vorige week uit. Daarin wordt ook ingegaan op het LSP, oftewel het voormalige EPD. Het rapport bevestigt wat verschillende Platformdeelnemers al geruime tijd aanwijzen als een wezenlijke reden voor de onrechtmatigheid van het systeem.

In de casus EPD (het elektronisch patiëntendossier) blijkt […] dat fundamentele vragen over de visie en strategie vanaf de start onvoldoende zijn beantwoord, zoals de vraag «wat willen we bereiken op de langere termijn?» Bovendien hadden de partijen die bij het EPD betrokken waren geen gedeeld antwoord op vragen als: «Waarom hebben we een EPD nodig?», «Welke gegevens moeten in een EPD worden opgenomen?» en «Hoe moet het uiteindelijk allemaal gaan werken?». Iedereen had een ander beeld en andere verwachtingen van het EPD en dat is gedurende het hele project zo gebleven.

Er is voorafgaand aan de lancering van het systeem nooit een plan met duidelijke doelstellingen voor de ontwikkeling van het EPD ontwikkeld, en daarmee is niet onderzocht of het systeem een noodzakelijke oplossing voor een dringend probleem vormt, en of het systeem een subsidiair middel daartoe vormde. Stuk voor stuk vragen die essentieel zijn in het privacyrecht, maar in zowel het EPD als verschillende andere informatiseringsprojecten nooit afdoende zijn beantwoord.

Wet Cliëntenrechten in de Zorg

De behandeling van de Wet Cliëntenrechten in de Zorg (33509) is door de Eerste Kamer uitgesteld. Het Platform volgt de ontwikkelingen rondom deze wet, ook wel de ‘nieuwe EPD-wet’, op de voet. De campagne Specifieke Toestemming van Platformdeelnemers Privacy First en de Stichting Bescherming Burgerrechten besteedde ruim aandacht aan de wet (hier), die al eerder een negatief oordeel van de Raad van State kreeg (hier).

Biometrisch grenssysteem Europese Unie

De besluitvorming over het biometrische ‘smart borders’ systeem van de Europese Unie wordt in een sneltreinvaart beklonken, zo blijkt uit een rapportage van de Britse burgerrechtenorganisatie Statewatch. Het miljardenproject  wordt door de Europese Commissie in kannen en kruiken gegoten voordat de Raad van Ministers of het Europees Parlement er ook maar iets over kunnen beslissen. Statewatch meldt in haar rapport:

“Ondanks duidelijke beloftes in de voorstellen van de Europese Commissie over dat er geen grootschalig ICT-systeem zou worden ontwikkeld voordat doel, reikwijdte, functionaliteiten en technische details officieel waren aangenomen, rijst uit de huidige activiteiten het beeld dat de introductie van een ‘smart borders’ systeem een voldongen feit is.”

Stichting Meldpunt Misbruik ID-plicht organiseerde in mei dit jaar een debat over het op handen zijnde biometrische grenssyssteem, met Europarlementariërs en Raf Jespers, auteur van Big Brother in Europa. Lees meer over het ‘smart borders’ systeem in het verslag van die bijeenkomst op deze site.