De Belgische privacytoezichthouder GBA heeft een Belgische school berispt voor een niet anonieme online enquête over alcohol, drugs, gamen en gokken door leerlingen. Een ouder van een leerling van de school diende bij de GBA een klacht in. Hij stelde dat de gegevens van de enquête niet anoniem werden verwerkt en dat de gegevens van zijn 13-jarige dochter zonder de vereiste vrije, geïnformeerde toestemming waren verwerkt.

De school stelde dat het niet de verwerkingsverantwoordelijke voor de enquête was, maar dat dit de verantwoordelijkheid was van het expertisecentrum achter de enquête. De school ontvangt van het expertisecentrum een rapport met de anonieme resultaten van de school, die de school zou moeten helpen om inzicht te krijgen op de leefwereld van de leerlingen die op school zitten om zo, op basis van deze resultaten, een preventief aanbod te plannen.

De Belgische privacytoezichthouder stelt dat de school wel degelijk verantwoordelijk voor de verwerking is. De school zamelt namelijk via de vragen informatie in die door de leerlingen wordt verstrekt. Zo konden leerlingen de vragen vanaf schoolcomputers beantwoorden. "Het feit dat de verweerder daarbij de werkwijze hanteert waarbij de leerling na het inloggen door middel van de toegewezen unieke logincode zijn inloggegevens dient aan te passen in die zin dat een nieuw wachtwoord dient te worden gekozen, maar met behoud van de gebruikersnaam, verandert hieraan niets", aldus de GBA.

"Eke deelnemende leerling verstrekt aanvankelijk door middel van de antwoorden op de gestelde vragen informatie die betrekking heeft op zijn persoon", gaat de toezichthouder verder, die tevens toevoegt dat personen op basis van de antwoorden te identificeren zijn. Daarnaast wordt per leerling een unieke code gegenereerd waarmee de leerling kan inloggen.

Om het aanmaken van de inlogcodes makkelijker te maken moet de school aan het expertisecentrum een Excel-lijst met de voornaam en klascode van alle leerlingen verstrekken. "Deze elementen wijzen er niet op dat er sprake is van anonieme gegevens in de zin van artikel 4.1 AVG10 en overweging 26 AVG11", oordeelt de GBA. Volgens de toezichthouder heeft de school daarnaast niet aangetoond dat het verzamelen van de gegevens op anonieme wijze plaatsvond.

De Belgische privacytoezichthouder komt uiteindelijk tot de conclusie dat de school de verwerkingsverantwoordelijke is en in die rol ook de grondslag voor de gegevensverwerking had moeten regelen, waaronder het krijgen van expliciete toestemming voor het verwerken van gezondheidsgerelateerde informatie. Daarnaast heeft de school de anonimiteit van de gegevens niet adequaat gegarandeerd en heeft het geen geldige toestemming van leerlingen verkregen. Daarmee heeft de school op meerdere punten de AVG overtreden. aldus de GBA, die de school een berisping geeft (pdf).