Na Nederland, is ook de autoriteit in Zweden begonnen met het uitdelen van de eerste boetes op basis van de AVG. De eerste boete gaat naar een school in het voortgezet onderwijs.
Waar de Nederlandse autoriteit erg zacht is voor scholen, pakken ze het in Zweden duidelijk anders aan. Een school in het voortgezet onderwijs ontving daar een boete van, omgerekend, zo’n €18.6 duizend euro.
De school voerde een test uit op 22 leerlingen. De leerlingen werden op basis van gezichtsherkenning geregistreerd. Deze registratie was onderdeel van een pilot die drie weken liep. De school gaf aan toestemming te hebben, maar de autoriteit achtte die toestemming niet valide.
De studenten waren immers afhankelijk van de school, waardoor de school een grote invloed had op het verkrijgen van de toestemming. Bovendien ziet de privacy waakhond in Zweden genoeg alternatieven die niet zo ingrijpend zijn als het vastleggen van biometrische data.
AVG en scholen in Nederland
We vroegen Arjan Olsder, hoofdredacteur van GadgetGear.nl, maar ook AVG specialist bij Web Wingmen, hoe het in het Nederlandse onderwijs zit.
De regelgeving rondom camera’s op scholen is ook in Nederland zeer streng. Zo moeten scholen een gerechtvaardigd belang hebben om camera’s op te hangen. Dit kan niet het registreren van leerlingen zijn. Wat wel gerechtvaardigd belang is, is het tegengaan van bijvoorbeeld diefstallen. Ook mag je deze niet op iedere plek in het gebouw hangen. Toiletten zijn bijvoorbeeld uit den boze.
Ook moet het cameratoezicht noodzakelijk zijn. Met andere woorden, er moet geen andere goede manier beschikbaar zijn om deze controles, op dit niveau, uit te voeren. Bijvoorbeeld omdat je onvoldoende budget hebt om menselijke bewakers in te schakelen, wat vrij realistisch is. Het cameratoezicht mag niet het enige middel zijn dat de school toepast om de veiligheid te vergroten en er moet een privacytoets worden afgelegd. De kans dat scholen in Nederland op termijn ook boetes krijgen, is dan ook realistisch.
Zijn er meer risico’s voor het onderwijs?
Met name in het primair onderwijs, blijkt in de praktijk nog maar weinig met de AVG te zijn gedaan. In een zeer beperkte steeproef in Nijmegen, blijken veel basisschool potentiële veiligheidslekken te bevatten. Denk aan zwaar verouderde CMS systemen. Het gros van de basisscholen daar, draait haar websites (met persoonsgegevens) op Umbraco 4.7. Die versie van het CMS stamt nog uit 2011. De laatste versie is 8.1.3 van augustus 2019. Hier is, mijns inziens, spraken van aantoonbare nalatigheid wanneer persoonsgegevens van (minderjarigen) worden gelekt. En dan is er nog een pakket andere wetgeving voor de publieke sector, waar ook echt nog werk ligt voor de onderwijssector. Let wel, de situatie in Nijmegen is verre van uniek ondanks grootse inspanningen van de Autoriteit Persoonsgegevens.