blog, informatiebeveiliging
Mag je zomaar corona besmettingen registreren?
Wel een zo fijn en veilig gevoel toch? Bijhouden welke leerlingen besmet zijn met corona om zo te kunnen bepalen welke andere leerlingen of leerkrachten mogelijk besmet zouden kunnen zijn. Door het registreren creëer je een gevoel van veiligheid en om grip te krijgen op deze onzichtbare boosdoener. Deze redenatie is zeer logisch maar let op dat je met deze registratie de wet niet overtreedt en de privacy van je leerlingen in gevaar brengt. In dit blog lees je wat je wel en niet mag met betrekking tot corona registraties.
Registreren is een taak van de GGD, niet van de school
Als eerste is het goed om te vermelden dat het registreren van besmettingen niet de taak van een onderwijsinstelling is, maar van de GGD. De GGD houdt de registratie van positieve corona besmettingen bij, voert de bron- en het contactonderzoek uit en waarschuwt indien nodig betrokkenen. Bij een coronabesmetting bepaalt de GGD hoe de nauwe contacten van de besmette persoon worden geïnformeerd. Als school heb je hier meestal geen taak in.
Wat is wel de taak van de school?
Stilzitten langs de zijlijn terwijl dit virus ons hele leven bepaald is niet ons ding, wat kan een school dan wel doen? Om te beginnen, meld een uitbraak bij de GGD. Alleen het aantal besmettingen is dan benodigd, niet wie er besmet zijn. Als het goed is weet de GGD om welke personen het gaat. Daarna informeer je uiteraard de groepen waar het om gaat.
Een ouder belt om door te geven dat hun kind corona heeft. Mag je deze melding dan wel registreren?
Privacy van individuen wordt beschermd door de AVG. Of iemand wel of niet is besmet met corona is een gezondheidsgegeven. Gezondheidsgegevens vallen onder de categorie bijzondere persoonsgegevens die door de AVG-wetgeving extra beschermd worden. Het uitgangspunt is dat het niet toegestaan is deze te verwerken tenzij er sprake is van een uitzondering. Aan deze uitzondering zitten strenge voorwaarden.
Terug naar de ouder die belt en doorgeeft dat hun kind corona heeft. Wat kan je dan doen met deze informatie? Dat deze melding wordt gedaan is geen probleem. Naast dat je een luisterend oor biedt mag je deze melding anoniem turven. Zolang maar niet uit de registratie te achterhalen is om wie het gaat. Naar alle collega’s mailen dat Mitchel Derks uit groep 5 besmet is, is echt not done!
De klas inlichten mag, maar niet over om welke persoon het specifiek gaat
Hoe moet ik dan een klas inlichten dat er een besmetting is?
Voor het informeren van collega’s en leerlingen is het voldoende slechts te melden dat er een besmetting heeft plaatsgevonden in een bepaalde groep. De naam van deze persoon is hierbij niet relevant. De GGD informeert, waar nodig, de (directe) contacten van een besmette persoon. Wat de school nu wél kan doen is communiceren naar alle klasgenoten dat een medeleerling besmet is. Alleen kun je niet vermelden om wie het gaat. Het RIVM heeft voorbeeld brieven opgesteld die je kunt gebruiken bij deze informatievoorziening.
Maar ik wil de namen toch heel erg graag bijhouden. Hoe kan ik dit doen binnen de kaders van de AVG?
Zoals hierboven aangegeven is registreren van gezondheidsgegevens niet toegestaan tenzij je, je houdt aan onderstaande strenge voorwaarden:
- Je moet uitdrukkelijke toestemming verkrijgen van de besmette persoon (of bij kinderen onder de 16 jaar: één van de ouders).
- Deze toestemming moet vrij, zonder druk, gegeven zijn. Deze toestemming moet ook geweigerd kunnen worden, zonder nadelige gevolgen. Een nadelig gevolg kan zijn dat een leerling zonder toestemming niet naar school zou mogen komen.
- Deze toestemming moet op elk moment weer, zonder nadelige gevolgen, ingetrokken kunnen worden. Je moet dit recht op intrekken ook vooraf melden bij ouder/leerling.
- Omdat deze toestemming ingetrokken moet kunnen worden is het onmisbaar dat deze toestemming wordt geregistreerd via een website, email of schriftelijk.
- Het is aan de school om aan te tonen dat toestemming daadwerkelijk vrijelijk is gegeven. Blijkt dat (achteraf) niet het geval te zijn? Dan is de toestemming niet geldig en overtreed je de AVG.
- De opgeslagen gegevens moeten goed beveiligd zijn, niet benaderbaar voor onbevoegden en veilig vernietigd worden als ze niet meer nodig zijn.
- Je moet een bewaartermijn hanteren en een proces inrichten dat deze gegevens na deze termijn daadwerkelijk vernietigd worden.
- Je moet aan de betrokkenen vooraf kenbaar maken met welk doel je deze gezondheidsgegevens opslaat. Dit doel moet specifiek genoeg zijn. Algemene doelen zoals ‘de verspreiding van het virus tegengaan’ zijn niet specifiek genoeg.
- Je mag de gegevens niet voor andere doeleinden gebruiken dan is beschreven en waar je toestemming voor hebt gekregen. Ook mag je deze gegevens niet met derden delen.
Zoals je ziet zijn er een hoop zaken om mee rekening te houden bij een niet anonieme corona registratie.
Conclusie en advies
Vraag je dus eerst altijd af: wat voegt het toe als ik ook besmettingen zou registreren, naast dat de GGD dit doet? Welk probleem verwacht ik hiermee op te lossen? Kan ik niet volstaan met alleen het vastleggen van het aantal besmettingen?
Ons advies is in elk geval: registreer niet de namen van besmette collega’s of leerlingen. Laat dit over aan de GGD. Informeer alleen anoniem dat er een besmetting heeft plaats gevonden en in welke groep(en). Wil je de namen van besmette personen toch registeren, let dan op de strenge voorwaarden die de wet stelt. Onzorgvuldige registratie vergroot de kans op datalekken en brengt de privacy van betrokkenen in gevaar.
Wij helpen ook met het beleid op gebied van informatieveiligheid
Naast technische (informatie)veiligheid helpt Ratho haar klanten ook met de niet technische aspecten van informatiebeveiliging. Denk dan aan:
• IT-beleid opstellen.
• Vertalen van dit beleid in processen.
• Informatieveiligheidsbewustwording (3x woordwaarde!) bij medewerkers.
• Compliance met regelgeving zoals de AVG.
Laat ons helpen en adviseren wat betreft de bewustwording en het beleid in de organisatie
Vragen en contact
Heb je vragen over dit artikel of over wat wij voor jou kunnen betekenen omtrent informatieveiligheid? Neem dan contact op met mij via thijs@ratho.nl, bel 040 2370 426 of gebruik onderstaande button.

Thijs Marques
Thijs is FG bij Ratho en gecertificeerd privacy expert die je graag helpt met jouw privacy uitdagingen. Met zijn juridische achtergrond is hij mede verantwoordelijk voor onze ISO- en NEN certificaten voor informatiebeveiliging.