Uitkomsten studentenenquête vertraagd door privacywet
Gepubliceerd: 16 May 2018 • Leestijd: 1 minuten en 38 seconden • Nieuws Dit artikel is meer dan een jaar oud.Hoe oordelen studenten over docenten, gebouwen, lesprogramma enzovoorts? Wegens problemen met de privacy moeten universiteiten en hogescholen nog even wachten op de uitslag van de Nationale Studenten Enquête.
Eind mei zouden de resultaten van de Nationale Studenten Enquête (NSE) bekend worden, maar het gaat een maandje langer duren. Het heeft te maken met de strengere regels omtrent privacy die op 25 mei van kracht worden.
Niet herleidbaar
Studenten in het hoger onderwijs krijgen elk voorjaar een uitnodiging om de NSE in te vullen en meer dan één op de drie geeft daar gehoor aan. Dus van vele tienduizenden studenten staan de meningen genoteerd.
De stichting Studiekeuze123, die de Nationale Studenten Enquête beheert, heeft gekeken wat de nieuwe Algemene verordening gegevensbescherming (AVG) voor de enquête betekent. De wet stelt tegenwoordig strengere eisen. Gegevens mogen niet herleidbaar zijn tot individuen.
Dus wat doe je met de antwoorden van die ene 48-jarige vrouw die toch weer ging studeren? Of die ene jongen met een handicap aan de pabo? Je zou erachter kunnen komen wie zij zijn en dat mag niet.
Externe jurist
Studiekeuze123 had bedacht hoe zij de bestanden kon aanleveren zonder problemen met de AVG, maar een externe jurist die zich erover boog, zag toch nog wat problemen. Er moesten extra maatregelen worden genomen.
‘Dat gaf wat rumoer en beroering bij de instellingen’, vertel Pauline Thoolen, hoofd informatiemanagement van Studiekeuze123. ‘Er kwamen veel vragen. Daarom gingen we met vertegenwoordigers van universiteiten en hogescholen om de tafel om erover door te praten.’
Daaruit volgde dat methodologen en juristen van de onderwijsinstellingen wilden kijken naar de keuzes die de stichting had gemaakt. Toen is er toegezegd om extra berekeningen te maken en iets meer informatie te leveren. ‘Dat kost meer tijd en daarom hebben we de levering een maand uitgesteld.’
Anoniem
Vooraf heeft de stichting aan studenten gevraagd of ze het goed vinden om persoonsgegevens met hun onderwijsinstelling te delen of dat ze liever anoniem mee wilden doen. ‘Als je belooft dat ze anoniem meedoen, moet je die anonimiteit ook echt garanderen’, zegt Thoolen.
De stichting gaat nog nadenken hoe het volgend jaar moet. Misschien krijgen studenten dan de vraag of ze meer gegevens willen delen.
De Vereniging Hogescholen laat in een schriftelijke reactie weten dat er niets op tegen is dat Studiekeuze123 als één van de eersten ‘AVG compliant’ is. ‘Alleen had het proces in betere afstemming met de instellingen moeten gebeuren. Dan was het waarschijnlijk ook niet nodig geweest om op het laatste moment allemaal aanpassingen te doen in de bestanden waardoor de levering van de NSE-gegevens vertraging oploopt.’
HOP, Bas Belleman
Helaas hadden ze niet al twee jaar de tijd om hier naar te kijken.
“Op 4 mei 2016 is de AVG gepubliceerd in het Publicatieblad van de Europese Unie. De AVG is 20 dagen na deze publicatie in werking getreden. Maar de AVG is pas vanaf 25 mei 2018 van toepassing.
Er zit dus een periode van 2 jaar tussen de inwerkingtreding van de AVG en het moment dat deze daadwerkelijk van toepassing is. Deze tijd is nodig om organisaties en toezichthouders zich goed te laten voorbereiden op de AVG. Let op: tijdens deze 2 jaar geldt in Nederland nog steeds de Wbp.”
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/algemene-informatie-avg
Helemaal eens met Henk; de AVG/GDPR is al 2 jaar bekend, ik zou dan gelijk een jurist inschakelen, voorstel doen, laten evalueren door de jurist. Dan ben je direct klaar voor de AVG, kost je minder ellende dan nu door het stof moeten en je kunt zelfs dan trots zijn dat je de eerste bent die het helemaal rond heeft.
En zeker ook wat Henk zegt, we hadden al de Wbp.
Ik snap niet waarom ze zo ontzettend moeilijk doen, de anonimiteit is gemakkelijk te waarbogen met pseudonemisering
Volgens de AVG:
“5) „pseudonimisering”: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld;” (Bron: AVG/GDPR)
Koppel de identiteit van een natuurlijk identificeerbaar persoon (student) los en vervang ze door willekeurig gegenereerde UID’s (Unique Identifiers). Maar eigenlijk komt het erop neer dat ze in de twee jaar dat de AVG/GDPR actief is er geen ene ‘ruk’ aan hebben gedaan om hieraan te voldoen.
“Too little, too late”
Ik snap sowieso niet waarom privacywetgeving voorgeschreven moet worden op supranational niveau, door een niet democratisch verkozen bestel (EC), met daarin corrupte dronkelappen (Jean Claude Juncker). Maar goed, jammer dat dit vertraging oploopt. Er zijn altijd genoeg verbeterpunten die aan het licht komen, we wachten het af.