Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Learning analytics
onder de AVG,
wat mag er nog?
MR.IR. A.P. ENGELFRIET,
PARTNER BIJ ICTRECHT.NL
A.ENGELFRIET@ICTRECHT.NL ...
Beeld: “Sunside”, Flickr, CC
2.0
Van Richtlijn naar
Verordening
Persoonsgegevens
Persoonsgegeven:
elk gegeven
betreffende een
geïdentificeerde of
identificeerbare
natuurlijke persoon.
Ø ...
Persoonsgegevens
… aan de hand
van een
identificator
zoals een naam,
een identificatie-
nummer,
locatiegegevens,
of een on...
Om deel te nemen, typ
het cijfer linksboven over
Bijzondere
persoonsgegevens
Waaruit ras of etnische afkomst, politieke
opvattingen, religieuze of
levensbeschouwelijke ove...
Beginselen
u Rechtmatig, behoorlijk en
transparant
u Doelbinding/doelbeperking
u Dataminimalisatie
u Accuraat en relevant
...
Grondslagen
u Toestemming
u Uitvoering overeenkomst
u Wettelijke plicht
u Vitale belangen
betrokkenen
u Uitvoering overhei...
Toestemming
Elke
Ø vrije,
Ø specifieke
Ø geïnformeerde
Ø ondubbelzinnige
wilsuiting waarmee
de betrokkene
aanvaardt dat
he...
Toestemming
u Verantwoordelijke
moet toestemming
kunnen bewijzen
u Toestemming is op
ieder moment vrij
intrekbaar
u Melden...
Uitvoering overeenkomst
Indien noodzakelijk voor
de uitvoering van een
overeenkomst tussen
verantwoordelijke en
betrokkene...
Noodzakelijk of handig?
“Het niet inchecken maar het
slechts laten uitlezen van de OV-
chipkaart door de conducteur is
dan...
Wettelijke plicht
Noodzakelijk om
een wettelijke
verplichting na te
komen waaraan de
verantwoordelijke
onderworpen is.
Uitvoering overheidstaak
Noodzakelijk voor de
vervulling van een
taak van algemeen
belang of van een
taak in het kader van...
Gerechtvaardigd eigen
belang
u Toestemming vragen is
niet realistisch
u Legitiem eigen belang
u Noodzakelijk voor
belang
u...
(Wetenschappelijk en
statistisch onderzoek)
De verdere verwerking met
het oog op archivering in
het algemeen belang,
weten...
Doelbinding
Persoonsgegevens worden
voor welbepaalde,
uitdrukkelijk omschreven en
gerechtvaardigde
doeleinden verzameld.
P...
Bewaartermijn
Persoonsgegevens
worden bewaard in een
vorm die het mogelijk
maakt de betrokkenen
niet langer te
identificer...
Besluitvorming door
persoonsgegevens
De betrokkene heeft het
recht niet te worden
onderworpen aan een
uitsluitend op
geaut...
Besluitvorming(?) bij
Learning Analytics
Extra stof
suggereren
Extra stof verplicht
Indicaties van
fraude zoeken
Ruw cijfe...
Register van verwerking
u Identiteit van
verantwoordelijke
u Omschrijving
u Doeleinden
u Grondslagen
u Ontvangers
u Beveil...
Recht van informatie
u Identiteit van
verantwoordelijke
u Doeleinden
u Grondslagen
u Ontvangers
u Bewaartermijn
u Uitleg o...
Recht van informatie
Het bestaan van
geautomatiseerde
besluitvorming, … en
nuttige informatie over
de onderliggende logica...
Recht van informatie
De betrokkene heeft het
recht zijn persoons-
gegevens … in een
gestructureerde,
gangbare en machinaal...
Recht van correctie en
verwijdering
u Verbeteren
u Aanvullen
u Verwijderen of
afschermen
Indien
u Feitelijk onjuist
u Onvo...
Recht van bezwaar
u Bezwaar tegen verwerkingen voor
u Vitaal belang
u Publieke taak
u Eigen dringend belang
u Profiling
u ...
Elektronische uitoefening
Wanneer de betrokkene zijn
verzoek elektronisch
indient, wordt de informatie
indien mogelijk ele...
Beveiliging & Compliance
u Rekening houdend met
de aard, de omvang, de
context en het doel van
de verwerking, alsook met
d...
Privacy by design / by
default
Datalekken
u Inbreuk op de
beveiliging
u Per ongeluk of op
onrechtmatige wijze
u Gevolg is
u Vernietiging
u Wijziging
u On...
Datalekken
Altijd melden bij Autoriteit:
u Tenzij risico’s voor
betrokkenen
onwaarschijnlijk
Betrokkenen informeren:
u Wan...
Uitbesteden van
verwerking
Betrokkene
Bewerker
Verantwoor-
delijke
Bepaalt
doel en
middelen
van verwerking
Verwerkt
uitslu...
Inhoud
verwerkersovereenkomst
❏ Introducerende
bepalingen
❏ Doeleinden van
verwerking
❏ Verplichtingen van
bewerker
❏ Door...
https://goo.gl/ussp1E
Privacy Impact
Assessment
u Wanneer (waarschijnlijk)
een risico bestaat voor
privacy;
u In het bijzonder bij
gebruik van n...
Aanstellen functionaris voor
gegevensbescherming
Verplicht om aan te stellen
als:
u Verwerking plaatsvindt
door overheidso...
Taken functionaris
u Informeren en adviseren
over verplichtingen
u Toezien op compliance,
inclusief audits en
trainingen a...
Vragen?
16:00-16:30
Data-driven leren en de Privacyverordening, wat mag er nog? - Arnoud Engelfriet - OWD17
Data-driven leren en de Privacyverordening, wat mag er nog? - Arnoud Engelfriet - OWD17
Data-driven leren en de Privacyverordening, wat mag er nog? - Arnoud Engelfriet - OWD17
Data-driven leren en de Privacyverordening, wat mag er nog? - Arnoud Engelfriet - OWD17
Data-driven leren en de Privacyverordening, wat mag er nog? - Arnoud Engelfriet - OWD17
Data-driven leren en de Privacyverordening, wat mag er nog? - Arnoud Engelfriet - OWD17
Data-driven leren en de Privacyverordening, wat mag er nog? - Arnoud Engelfriet - OWD17
Upcoming SlideShare
Loading in …5
×

Data-driven leren en de Privacyverordening, wat mag er nog? - Arnoud Engelfriet - OWD17

857 views

Published on

De nieuwe Europese privacywet komt eraan. Wat betekent dit voor learning analytics, online onderwijs en data analyses op studentenprestaties? De nieuwe wet is streng. Iedere vorm van observeren of monitoring met elektronische tools valt onder het begrip ‘verwerken van persoonsgegevens’ en moet daarmee gerechtvaardigd zijn binnen de nieuwe regels. Dit betekent toestemming vragen of onderbouwen waarom de monitoring noodzakelijk is voor het onderwijs. Een toelichting in gewone mensentaal zal er ook bij moeten, en natuurlijk moeten deze gegevens strikt vertrouwelijk en beveiligd worden behandeld. Dit geldt ook bij statistisch onderzoek zoals fraudedetectie. In deze sessie krijgt u van ICT-jurist en privacyexpert Arnoud Engelfriet praktische handvatten om hiermee om te gaan.

Published in: Education
  • Be the first to comment

  • Be the first to like this

Data-driven leren en de Privacyverordening, wat mag er nog? - Arnoud Engelfriet - OWD17

  1. 1. Learning analytics onder de AVG, wat mag er nog? MR.IR. A.P. ENGELFRIET, PARTNER BIJ ICTRECHT.NL A.ENGELFRIET@ICTRECHT.NL / 020-663 1941
  2. 2. Beeld: “Sunside”, Flickr, CC 2.0
  3. 3. Van Richtlijn naar Verordening
  4. 4. Persoonsgegevens Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Ø Direct Ø Indirect
  5. 5. Persoonsgegevens … aan de hand van een identificator zoals een naam, een identificatie- nummer, locatiegegevens, of een online identificator
  6. 6. Om deel te nemen, typ het cijfer linksboven over
  7. 7. Bijzondere persoonsgegevens Waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid
  8. 8. Beginselen u Rechtmatig, behoorlijk en transparant u Doelbinding/doelbeperking u Dataminimalisatie u Accuraat en relevant u Niet langer dan nodig bewaren u Afdoende beveiligd Verantwoordelijke draagt zorg voor compliance en kan dit bewijzen.
  9. 9. Grondslagen u Toestemming u Uitvoering overeenkomst u Wettelijke plicht u Vitale belangen betrokkenen u Uitvoering overheidstaak u Gerechtvaardigd eigen belang u (Wetenschappelijk en statistisch onderzoek)
  10. 10. Toestemming Elke Ø vrije, Ø specifieke Ø geïnformeerde Ø ondubbelzinnige wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt.
  11. 11. Toestemming u Verantwoordelijke moet toestemming kunnen bewijzen u Toestemming is op ieder moment vrij intrekbaar u Melden als intrekking leidt tot einde dienstverlening
  12. 12. Uitvoering overeenkomst Indien noodzakelijk voor de uitvoering van een overeenkomst tussen verantwoordelijke en betrokkene, inclusief precontractuele maatregelen.
  13. 13. Noodzakelijk of handig? “Het niet inchecken maar het slechts laten uitlezen van de OV- chipkaart door de conducteur is dan ook niet meer voldoende om op basis van een geldig vervoersbewijs met het studentenreisrecht te kunnen reizen. (…) Een conducteur moet [], bijvoorbeeld op de dagen waarin de vrij reizenperiode overgaat in de 40%- reductieperiode en vice versa, middels het moment (tijdstip) van inchecken kunnen vaststellen of de reis de vrij reizen periode of de 40%-reductie periode betreft. Het uitlezen van het type studentenreisrecht door de conducteur is dan onvoldoende.”
  14. 14. Wettelijke plicht Noodzakelijk om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is.
  15. 15. Uitvoering overheidstaak Noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag.
  16. 16. Gerechtvaardigd eigen belang u Toestemming vragen is niet realistisch u Legitiem eigen belang u Noodzakelijk voor belang u Proportioneel gezien privacy van anderen u Zo mogelijk opt-out College bescherming persoonsgegevens z2010-01467 Foto: Cory Doctorow, CC-BY-SA
  17. 17. (Wetenschappelijk en statistisch onderzoek) De verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd [mits waarborgen zijn getroffen].
  18. 18. Doelbinding Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld. Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.
  19. 19. Bewaartermijn Persoonsgegevens worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is
  20. 20. Besluitvorming door persoonsgegevens De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.
  21. 21. Besluitvorming(?) bij Learning Analytics Extra stof suggereren Extra stof verplicht Indicaties van fraude zoeken Ruw cijfer berekenen Uitsluiten van optioneel vervolgvak Eindcijfer vaststellen Uitsluiten van verplicht vervolgvak
  22. 22. Register van verwerking u Identiteit van verantwoordelijke u Omschrijving u Doeleinden u Grondslagen u Ontvangers u Beveiliging u Bewaartermijn
  23. 23. Recht van informatie u Identiteit van verantwoordelijke u Doeleinden u Grondslagen u Ontvangers u Bewaartermijn u Uitleg over rechten In eenvoudige taal, en toegesneden op de doelgroep (=Europees Taalniveau B2).
  24. 24. Recht van informatie Het bestaan van geautomatiseerde besluitvorming, … en nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene
  25. 25. Recht van informatie De betrokkene heeft het recht zijn persoons- gegevens … in een gestructureerde, gangbare en machinaal leesbare vorm te verkrijgen. u Bij toestemming u Bij overeenkomst
  26. 26. Recht van correctie en verwijdering u Verbeteren u Aanvullen u Verwijderen of afschermen Indien u Feitelijk onjuist u Onvolledig u Niet langer nodig u Toestemming ingetrokken
  27. 27. Recht van bezwaar u Bezwaar tegen verwerkingen voor u Vitaal belang u Publieke taak u Eigen dringend belang u Profiling u Apart en expliciet melden dat dit recht bestaat u Ieder bezwaar moet gemotiveerd worden behandeld u Staken na bezwaar, tenzij
  28. 28. Elektronische uitoefening Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.
  29. 29. Beveiliging & Compliance u Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, treft de verantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. u … treffen de verantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.
  30. 30. Privacy by design / by default
  31. 31. Datalekken u Inbreuk op de beveiliging u Per ongeluk of op onrechtmatige wijze u Gevolg is u Vernietiging u Wijziging u Ongeoorloofde verstrekking u Ongeoorloofde toegang
  32. 32. Datalekken Altijd melden bij Autoriteit: u Tenzij risico’s voor betrokkenen onwaarschijnlijk Betrokkenen informeren: u Wanneer risico’s waarschijnlijk hoog u Tenzij gegevens sterk zijn versleuteld
  33. 33. Uitbesteden van verwerking Betrokkene Bewerker Verantwoor- delijke Bepaalt doel en middelen van verwerking Verwerkt uitsluitend in opdracht van verantwoordelijke Verwerkers- overeenkomst
  34. 34. Inhoud verwerkersovereenkomst ❏ Introducerende bepalingen ❏ Doeleinden van verwerking ❏ Verplichtingen van bewerker ❏ Doorgifte persoonsgegevens ❏ Garanties ❏ Beveiliging ❏ Datalekmeldplicht ❏ Verzoeken van betrokkenen ❏ Intellectueel eigendom ❏ Vrijwaringen ❏ Geheimhouding ❏ Duur, verlenging en opzegging ❏ Wijzigen van de overeenkomst ❏ Rechtskeuze en forumkeuze ❏ Slotbepalingen
  35. 35. https://goo.gl/ussp1E
  36. 36. Privacy Impact Assessment u Wanneer (waarschijnlijk) een risico bestaat voor privacy; u In het bijzonder bij gebruik van nieuwe technologieën; u Dient een assessment te worden uitgevoerd om de impact op privacy te onderzoeken
  37. 37. Aanstellen functionaris voor gegevensbescherming Verplicht om aan te stellen als: u Verwerking plaatsvindt door overheidsorgaan u Kernactiviteit bestaat uit verwerkingen die stelselmatige observatie op grote schaal van betrokkenen vereisen u Er grootschalige verwerking van bijzondere persoonsgegevens plaatsvindt
  38. 38. Taken functionaris u Informeren en adviseren over verplichtingen u Toezien op compliance, inclusief audits en trainingen aan staf u Adviseren bij PIA’s u Meewerken met toezichthouder u Aanspreekpunt toezichthouder
  39. 39. Vragen? 16:00-16:30

×