Privacy van leerlingen en medewerkers ROC gaat voor op onderzoeksbelang Facebookslachtoffer

In de zogeheten “Facebookzaak” is Facebook veroordeeld tot het verstrekken van informatie over het IP-adres van een gebruiker die een filmpje had geplaatst waarin betrokkene seksuele handelingen verrichtte met haar ex-vriend. Dit IP-adres leidde naar een ROC in Breda. Het ROC weigerde echter medewerking aan verder onderzoek naar de dader, met een beroep op de privacy van haar leerlingen en medewerkers.

Volgens de dame in kwestie (eiseres) was die weigering onrechtmatig. ROC zou moeten worden verplicht om mee te werken aan het nadere onderzoek aan haar computer- en netwerksystemen. Volgens eiseres ging haar belang bij het opsporen van de dader, op wie zij schade wilde verhalen, voor op de privacy van leerlingen en personeel van het ROC.

De voorzieningenrechter van de rechtbank Zeeland-West-Brabant dacht daar anders over.

De rechter volgde het privacyverweer van ROC. ROC had zich beroepen op de Wet Bescherming Persoonsgegevens (Wbp). Bij het onderzoek zouden namelijk onder meer inlogcodes en de browsegeschiedenis van personeel en leerlingen zichtbaar worden. ROC wees erop dat een dergelijke inbreuk op hun privacy een “uiterst middel” zou moeten zijn. Met andere woorden: als de dader zou kunnen worden opgespoord via een methode die geen of minder inbreuk zou maken op de privacy van leerlingen en personeel, dan zou de eiseres daarvoor moeten kiezen. Volgens ROC was dat het geval. Het strafrechtelijk onderzoek van het OM zou nog tot de dader kunnen leiden. Daarnaast waren er zes specifieke leerlingen als potentiele dader in beeld en eiseres had volgens ROC nog niet voldoende gedaan om hen als verdachte uit te sluiten. Zo waren zij bijvoorbeeld nog niet opgeroepen voor een (voorlopig) getuigenverhoor.

De voorzieningenrechter oordeelde mede op basis van het voorgaande, dat ROC terecht medewerking aan het nader onderzoek had geweigerd. Uit het vonnis volgt dat eiseres niet voldoet aan de eisen van proportionaliteit en subsidiariteit. Dit zijn belangrijke kernwaarden uit de Wbp, waaraan elke verwerking van persoonsgegevens moet voldoen. Een inbreuk op de privacy dient altijd in evenredige verhouding te staan tot het doel waarvoor de persoonsgegevens worden verwerkt en dat doel moet niet op een andere, minder inbreuk makende wijze kunnen worden bereikt.

Bij elke verwerking van persoonsgegevens is het derhalve essentieel om na te gaan of u aan deze vereisten voldoet. Op correcte naleving van de Wbp wordt toezicht gehouden door de Autoriteit Persoonsgegevens, die een ruime boetebevoegdheid heeft (oplopend tot € 820.000 per overtreding). Om de risico’s op oplegging van boetes te beperken is het noodzakelijk om te voorzien in gedegen privacybeleid, gebaseerd op inzicht in alle stromen van gegevensverwerking in uw onderwijsinstelling. De Europese Privacyverordening (AVG) die op 25 mei 2018 in Nederland van kracht wordt, verplicht organisaties tot het hebben van een deugdelijk privacybeleid. Organisaties zullen dat terzijnertijd bovendien moeten kunnen aantonen (documentatieplicht (art. 30 AVG) en accountability (artikel 24, lid 1 AVG). Het is van belang om uw organisatie hierop tijdig voor te bereiden.

Heeft u hier vragen over? Neem dan gerust op met de leden van het brancheteam Onderwijs.