Tablets met onderwijs-apps in strijd met privacywet

snappet-tablet-schoolEen organisatie die tablets met onderwijs-apps verhuurt aan scholen, heeft de privacywetgeving geschonden, las ik bij Tweakers. Men gebruikte namelijk persoonsgegevens van scholieren voor onder meer het vergelijken met alle andere kinderen die de Snappet-tablets gebruiken. En dat mag niet: het is de school en niet de tabletverhuurder die bepaalt wat er met dergelijke persoonsgegevens gebeurt. Als ‘bewerker’ zoals je dan juridisch heet, mag je niets met de langskomende persoonsgegevens behalve datgene wat je klant – de verantwoordelijke – zegt.

Snappet verhuurt tablets aan basisscholen, en daarbij speciale onderwijs-apps opneemt. Via die apps worden allerlei persoonlijke gegevens over de kinderen verzameld die de apps gebruiken, en Snappet gaat daar zelf mee aan de slag. Uit het besluit blijkt dat men dit onder meer doet voor het maken van overzichten, het adviseren van scholen en het analyseren en classificeren van gegevens over alle tabletgebruikers heen.

Wanneer je je klanten tools geeft waarmee zij persoonsgegevens van hún klanten (klantjes) verwerken, dan ben jij een bewerker. Een bewerker is een partij die in opdracht persoonsgegevens verwerkt voor de doelen die de verantwoordelijke (de klant dus) vaststelt.

Dit doet wat gek aan in een ICT context, want het is toch Snappet die de apparatuur levert en bepaalt wat de software doet? Maar formeel klopt het: de school kiest voor de tablet en apps en bepaalt daarmee wat er mag gebeuren. Dat zij dat bepaalt als “whatever de software doet” zonder nader onderzoek, maakt daarbij niet uit.

Als bewerker mag je dus niet zelf met gegevens aan de slag, het zijn niet jouw doelen en jouw gegevens. Afblijven; je beheert ze voor je klanten maar je mag alleen doen wat je klant expliciet heeft goedgekeurd en dan ook nog eens uitsluitend ten behoeve van die klant.

Doe je meer dan dat, dan ben je ineens zelfstandig verantwoordelijke en dan moet je zélf toestemming hebben gekregen (of een andere grond uit de privacywet hebben) om aan de slag te mogen met die gegevens. En dat had Snappet niet.

In theorie is dit op te lossen: de school kan aan ouders toestemming vragen voor het beoogde gebruik door Snappet, en dan vervolgens Snappet melden dat het in orde is. Maar dan moet je als school wel diepgaand nagaan wat die apps allemaal doen en waarom, en volgens mij ontbreekt het in de praktijk vaak aan de daarvoor benodigde kennis. Wat ergens wel zorgelijk is – als we alles via apps gaan doen, moeten we dan niet eerst allemaal snappen wat apps doen?

Arnoud

15 reacties

  1. Ik verwacht ook dat de scholen geen keuze geven aan de ouders. Dit gaan we gebruiken en als je het er niet mee eens bent dan ben je vrij om je kind naar een andere school te sturen. Als individuele ouder heb je er dus helemaal niets over te zeggen. Dat vind ik ergerlijk, het is tegenwoordig met vrijwel alles waar privacy in het geding is, als je het niet wil doe je het niet.

    Wil je geen cookies, dan mag je deze site niet meer zien. Wil je niet gevolgd worden in het OV, dan ga je toch met de auto. Wil je met de auto niet gevolgd worden op de snelwegen, dan pak je toch de provinciale wegen of de fiets. Je hebt helemaal geen keuzes meer, het is slikken of stikken…..

    Zo, dat is er uit op de vroege ochtend 😉

    1. Er is gewoon de leerplicht-wet en hoe vervelend het ook is voor een school, als de ouders het gebruik van deze software weigeren dan zal de school daar een oplossing voor moeten bedenken. Niet de ouders, want andere scholen in de omgeving gebruiken mogelijk precies dezelfde software. Sterker nog, het probleem kan bij de ouderraad worden neergelegd, waarop meer ouders kunnen gaan protesteren zodra ze beseffen dat hun privacy hiermee wordt geschonden. Je kunt voorkomen dat je in het OV wordt gevolgd door gewoon een anonieme kaart te kopen. Regelmatig die kaart weggooien en een nieuwe gebruiken en het enige wat ze volgen zijn die kaartjes. Of je koopt gewoon een uur/dag/weekkaart waarmee je ook gewoon anoniem blijft. Niemand verplicht je om je aan te melden voor een OV-kaartje. Als je niet in je auto gevolgd wilt worden, leen dan een auto van iemand anders. Als je een auto van de zaak hebt, ruil deze dan regelmatig met collega’s die hetzelfde type auto hebben. En een site die je verplicht om cookies te accepteren komt bij mij meteen op de lijst van malafide websites. Die wil je geeneens bezoeken, toch? Als bezoekers dergelijke websites gewoon boycotten dan lost het probleem zich vanzelf op.

      1. Je kunt voorkomen dat je in het OV wordt gevolgd door gewoon een anonieme kaart te kopen. Regelmatig die kaart weggooien en een nieuwe gebruiken

        Dat kost wel iedere keer 7,50 EUR. Waarom worden de privacybewusten op kosten gejaagd en zij die hun ziel en zaligheid aan Big Databrother verkopen niet?

            1. Niet zo’n probleem, dan wijs ik ze erop dat ik die kaarten ruil en waarom.

              Ik kan ze ook verschillende forums aanwijzen waarop ik heb aangegeven dat ik dit doe en aangeraden aan anderen om dit uit privacy oogpunt ook te gaan doen. Tevens zijn het echt niet altijd (eigenlijk bijna nooit) onbekenden waarmee ik ruil, dus ik maak me geen zorgen over de kleine kans dat zoiets gebeurt.

              Voor het OV heb ik overigens een kaart die ik ooit op straat heb gevonden en nooit met de pin pas heb geladen. Die gebruik ik zo’n 1 á 2 keer per jaar, vaker reis ik niet met het OV. Voor de vervoersbedrijven ben ik dus een onbekende.

                1. Daar komt bij dat er bij ieder oplaadpunt ook camera’ s staan. Het is ongeveer 2 minuten extra werk om die kaart dan aan jouw persoon te koppelen op het moment dat ze daadwerkelijk meer van jou(w chipkaart) willen weten.

      2. Jouw oplossingen zijn precies mijn probleem 😉

        Alle vragen mbt privacy zouden geen andere uitkomst moeten hebben dan de vraag Sambal bij of Wilt u een tasje. De dienst of product moet gewoon geleverd worden zonder inbreuk op de privacy.

      3. Je kunt voorkomen dat je in het OV wordt gevolgd door gewoon een anonieme kaart te kopen. Regelmatig die kaart weggooien en een nieuwe gebruiken en het enige wat ze volgen zijn die kaartjes.

        Nee, dat kun je dus niet. Ten eerste kosten die dingen gewoon geld, ten tweede hoef je maar één keer met je pinpas op te waarderen en je identiteit kan makkelijk gelinkt worden (en even heel realistisch, hoeveel oplaadpunten accepteren briefgeld?), en ten derde mag je bij het overschrijven van je oude saldo vrolijk je adresgegevens invullen. Of was je van plan om op iedere kaart 20 euro te laten staan voor de NS?

        Ja, in theorie kun je een ‘anonieme’ (haha) kaart gebruiken. In de praktijk wordt je dat echter zo lastig gemaakt dat het geen realistische optie is.

        Of je koopt gewoon een uur/dag/weekkaart waarmee je ook gewoon anoniem blijft.

        En vervolgens betaal je één tot enkele euro’s toeslag per kaartje afhankelijk van het type vervoer.

        Niemand verplicht je om je aan te melden voor een OV-kaartje.

        Met het bovenstaande soort treiterijtjes is dat dus helaas precies wat er gebeurt. De situatie is gewoon niet redelijk mee om te gaan als je het niet doet.

        Dit is overigens een thema met erg veel dingen de laatste tijd. “Ja, maar als je het er niet mee eens bent, dan doe je het toch gewoon niet?”, daarbij geen rekening houdend met het feit dat het alternatief dankzij alle smerige truukjes compleet onhoudbaar is voor een normaal mens – truukjes zoals het netwerk-effect voor Facebook, en monopolie + toeslagen voor de OV-chipkaart. Het is simpelweg geen realistische optie; de alternatieven worden door de betreffende organisaties onleefbaar gemaakt.

      4. Je kunt vrijwel niet voorkomen dat je gevolgd wordt in het OV; “anonieme” kaart is een misnomer, het had moeten zijn “niet aan persoon gebonden” kaart. Op het moment dat je hem koopt kun je hem misschien nog cash betalen, maar ik ken alleen maar oplaadmogelijkheden die het gebruik van een (niet anonieme) bankpas vereisen. Een keer met je pin betalen en weg anonimiteit. Idem ditto als je een tijdje met dezelfde kaart reist, en ook je mobieltje daarbij aan hebt staan, of in beeld komt van de camera’s die tegenwoordig in alle bussen zitten.

        Kaartjes op de bus zijn extreem duur: 4 euro, ook voor een ritje dat normaal 1.80 kost… hoge prijs voor privacy.

  2. Kan je in de huidige maatschappij uberhaupt nog wel diepgaande kennis over veel zaken hebben? Of is daar tegenwoordig gewoon te veel gespecialiseerde kennis voor nodig. In dit voorbeeld gaat het ‘slechts’ over privacy, maar velen maken dagelijks gebruik van machines die letterlijk levens in gevaar kunnen brengen zonder dat ze hier diepgaande kennis van hebben. Welk percentage van automobilisten heeft diepgaande kennis van auto’s? Wie snap er wat die paracetamol met zijn lichaam doet? Hoe veel mensen begrijpen alle wetten?

  3. Is een eenvoudige oplossing niet alle persoonsgegevens anonimiseren, zodat deze nooit meer tot een persoon zijn te herleiden?

    Op de site van de rijksoverheid beginnen ze nota bene met “Persoonsgegevens geven directe of indirecte informatie over een persoon. Deze persoon moet daarbij wel te identificeren zijn.”

    Data per regio geaggregeerd op geslacht en leeftijdscohort/schooljaar zal niet meer te herleiden zijn tot individuen.

  4. Is het niet eens tijd voor een IusMentis-app? 🙂

    Dit doet mij denken aan de vele online huishoudboekjes die er momenteel zijn. Mijn moeder van 72 vroeg mij laatst welke site nou het meest handige zou zijn voor haar om haar boekhouding mee te gaan doen. Ik zei haar toen dat ze beter gewoon door kon gaan zoals ze al haar hele leven doet: met pen en papier in een boekje. (Overigens, nadat ze merkte dat ze voor haar account al haar gegevens moest invullen haakte ze al helemaal af.) Maar bij het bekijken van die diverse sites merkte ik dat meerdere huishoudboekjes-sites je de optie geven om je uigaven-patroon te vergelijken met (anonieme) anderen. Leuke feature maar weten de gebruikers van die apps/sites dit eigenlijk wel?

  5. Hoogste tijd om dat huidige les-geef-volk eruit te trappen, en weer echte meesters en juffen voor de klas te zetten die lesgeven i.p.v. het aan een of andere half gaar stuk elektronica over te laten die ook nog eens de privacy schaad.

    Het punt van privacy kan je nog min of meer ondervangen door de tablet dagelijks aan een andere leerling te geven. Maar dat zal niet gebeuren omdat de gegevens handig zijn voor het leerling monitoring en verslagleggingsysteem wat kennelijk in het huidige onderwijs ook belangrijk is. Of misschien wel belangrijker..

    Om te achterhalen wat apps doen zou men het gewoon na kunnen vragen 😉 Daar is op zich niet zo heel erg veel kennis voor nodig. Voor het op andere wijze achterhalen wat een app allemaal doet/doorzend is weer wel meer kennis nodig.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.