033 200 30 83
Gebruik centraal aanmeldsysteem leerlingen voldoet niet aan de AVG
De Belgische Gegevensbeschermingsautoriteit heeft vastgesteld dat de stad Antwerpen op meerdere punten inbreuk heeft gemaakt op de AVG bij het gebruik van het centraal aanmeldsysteem MeldJeAan in het onderwijs.
In een leerzame uitspraak gaat de Geschillenkamer van de Belgische Gegevensbeschermingsautoriteit in op de (niet-)naleving van een aantal AVG verplichtingen, en geeft zij inzicht in wat verweerster wel had moeten doen.
De feiten
MeldJeAan is een centraal inschrijvingssysteem dat al enkele jaren in België (en ook in Nederland) gebruikt wordt voor de toewijzing van scholen, om een vrije schoolkeuze van ouders en leerlingen te waarborgen en een sociale cohesie binnen de scholen te bevorderen.
Binnen de applicatie worden diverse persoonsgegevens van de leerlingen en andere betrokkenen verwerkt. Denk hierbij niet alleen aan gewone persoonsgegevens (zoals de NAW-gegevens) maar ook gevoelige en bijzondere persoonsgegevens van de leerlingen en hun gezinnen, waaronder de persoonlijke kenmerken van het kind, het rijksregisternummer (BSN), maar ook de thuistaal, het opleidingsniveau van de moeder van het kind, of de informatie of het gezin een schooltoeslag ontvangt.
Door een gebrek in de MeldJeAan app werd een URL met een link naar de downloadlijst met al deze gegevens, die alleen toegankelijk had moeten zijn voor de medewerkers van de betreffende scholen, rechtstreeks benaderbaar voor het publiek. Er werd ook minstens een lijst op deze manier gedownload.
De Gegevensbeschermingsautoriteit heeft naar aanleiding van het bovenstaande door de Inspectiedienst een onderzoek laten verrichten, hetgeen tot de behandeling van de zaak door de Geschillenkamer heeft geleid.
Beoordeling
De Geschillenkamer oordeelde dat de verwerkingsverantwoordelijke artikel 5.1.f), artikel 32.1 en 32.2 j° artikel 5.2, artikel 24.1 en artikel 25.1 AVG, artikelen 35.1, 35.2, 35.3 en 35.7 AVG, en artikel 38.1 en artikel 39.1 AVG had geschonden.
1. Ten eerste oordeelde de Geschillenkamer dat de verwerkingsverantwoordelijke de beginselen van “integriteit en vertrouwelijkheid” van artikel 5 lid 1 onder f) en “verantwoordingsplicht” van artikel 5 lid 2 AVG had geschonden, alsmede artikelen 1 en 32.2, artikel 24.1 en artikel 25.1 AVG (het nemen van passende technische en organisatorische beveiligingsmaatregelen). De verweerster heeft namelijk niet kunnen aantonen hoe en wanneer de naleving van de relevante verwerkersovereenkomst werd gecontroleerd, en ook niet dat er rekening werd gehouden met de stand der techniek, de uitvoeringskosten, aard, omvang en context van de verwerking, of dat de genomen maatregelen voldoende afgestemd waren op het beveiligingsrisico en rekening hielden met de verwerkingsrisico’s.
2. Ten tweede constateerde de Geschillenkamer schending van artikelen 35.1, 35.2, 35.3 en 35.7 AVG, omdat de door de verweerster aangeleverde DPIA niet correct is uitgevoerd. De verweerster werd foutief als verwerker in de DPIA aangeduid terwijl ze een verwerkingsverantwoordelijke was. Daarnaast gaat de Geschillenkamer uitgebreid in waarom er voor deze verwerking een DPIA verplicht is.
3. Tenslotte oordeelde de Geschillenkamer dat artikelen 38.1 en 39.1 door de verwerkingsverantwoordelijke zijn geschonden, omdat de functionaris gegevensbescherming niet in het kader van de beveiliging van de verwerking van persoonsgegevens in MeldJeAan geconsulteerd werd. Alhoewel MeldJeAan door de verweerster sinds 2014 werd gebruikt, diende het als verwerkingsverantwoordelijke na het van kracht worden van de AVG “proactief na te gaan” of aan de vereisten van de AVG voldaan werd, om de nodige aanpassingen te doen en ze te documenteren, en “geen afwachtende houding aan te nemen”. Het effectief en tijdig betrekken van de FG bij de beveiligingsvraagstukken hoorde bij deze verplichtingen.
Beslissing
Als gevolg hiervan heeft de Geschillenkamer de verweerster een berisping opgelegd. De keuze voor deze lichte sanctie wordt gerechtvaardigd door de feiten dat de verweerster foutief advies zou hebben gekregen omtrent haar kwalificatie als verwerkingsverantwoordelijke, en een aantal inbreuken al recht heeft gezet. Bovendien is de Geschillenkamer niet bevoegd om een administratieve geldboete aan een overheidsorgaan op te leggen.
PrivacyTeam adviseert bij meerdere gemeentes over het gezamenlijke inschrijf- en aanmeldbeleid en heeft voor diverse onderwijsinstellingen DPIA's uitgevoerd op verschillende aanmeldapplicaties. Ook hulp nodig? Neem dan contact met ons op.
Download hier de beslissing van de GEB