Mag een school-app persoonsgegevens van kinderen naar derden sturen?

school-kind-ipad-leren-onderwijs-privacy-appDigitaal lesmateriaal is iets totaal anders dan gewoon maar een boek op de computer: de software observeert en categoriseert al doende elk kind dat met zulk digitaal lesmateriaal werkt. Dat schreef Karin Spaink vorige week naar aanleiding van een Kamerbrief over allerlei apps en tools die persoonsgegevens van leerlingen bijhouden. Dat roept meteen een belangrijke vraag op: eh, wat krijgen we nou? Die software houdt persoonsgegevens bij van kinderen, en slaat dat centraal op onder beheer van de uitgevers van die apps of software. Hoe zit dat privacytechnisch?

Apps en webtools voor educatieve doeleinden werken vrijwel altijd met accounts, al is het maar om prestaties per leerling te kunnen registreren voor de docent. Dergelijke accounts vallen daarmee onder de Wet bescherming persoonsgegevens (Wbp) oftewel de privacywet. Deze zegt dat voor verwerking van zulke gegevens in principe toestemming nodig is, behalve in twee uitzonderingssituaties: allereerst als de verwerking nodig is voor de uitvoering van de onderwijsovereenkomst tussen ouder en school, en ten tweede als de partij die verwerkt een dringend eigen belang heeft waarvoor de privacy van het kind moet wijken.

Het bijhouden van de uitslagen van proefwerken en dergelijke, of het meten van hoe snel een kind iets leest of afmaakt, valt denk ik wel onder “nodig voor de onderwijsovereenkomst”. Je kunt immers geen onderwijs verrichten als je zulke dingen niet kunt bijhouden. Maar die “dringende noodzaak”, daar kan ik met de beste wil van de wereld geen voorbeeld van vinden.

Als de app of tool gegevens opslaat bij een derde, bijvoorbeeld de uitgever van een digitaal schoolboek of de partij die de webtool host, dan is die partij een bewerker zoals dat heet. Die handelt dan in opdracht en onder verantwoordelijkheid van de school, en dat moet schriftelijk zijn vastgelegd tussen school en bewerker. De school is en blijft aansprakelijk voor de verwerking, ook als de fout in feite niet bij de school ligt maar bij de bewerker.

Bij school-apps en webtools blijkt dit allemaal erg onduidelijk. In een rapport uit september spreekt men van “de beste bedoelingen voor het welzijn van de leerling” en gezond-verstandhandelen. Maar gezond verstand en Wbp gaan niet per se samen, zal de vaste lezer van deze blog nu opmerken.

Zo lijkt het bijvoorbeeld zo klaar als een klontje dat je een app mag inzetten waarmee leerlingen een educatief spelletje kunnen doen, en dat de docent dan de resultaten kan zien. Maar omdat de app zijn gegevens elders heenstuurt, is een bewerkersovereenkomst nodig én mag de spelaanbieder niet zelfstandig dingen doen met de gegevens die hij zo van de leerlingen verkrijgt. En zelfs als je als leraar een Facebookgroep aanmaakt, dan moet je een bewerkersovereenkomst sluiten met Facebook eigenlijk.

Je kunt ook zeggen: die aanbieder is zelf de verantwoordelijke, en staat los van de school. Net zoals de snackbar aan de overkant van de school zijn eigen klantenbestand heeft, ook al overlapt dat met het leerlingenbestand en ook al zegt de docent, ga lekker een frietje halen jongens. Of het digitale equivalent, dat de docent een account aanmaakt voor de leerlingen en ze daarmee laat werken.

Alleen, dan moet die aanbieder wel zelf een grondslag hebben, zoals toestemming, uitvoering overeenkomst of een eigen dringende noodzaak. Die toestemming is er maar zelden, omdat de aanbieders niet rechtstreeks met de ouders communiceren en de leraar of school niet aan de ouders vraagt of er toestemming is een account aan te maken voor het kind.

Zonder toestemming is het voor zo’n aanbieder lastig. Mijn Wbp-tenen krullen als ik dan in die Kamerbrief lees

[Die aanbieders] doen een beroep op een “eigen” Wbp-grondslag: hun gerechtvaardigde belang om de gegevens voor de toepassing van het leermiddel te gebruiken. Het gaat dan om gebruik uitsluitend binnen het kader van de leermiddelen; zo worden de gegevens van een leerling vernietigd wanneer deze het leermiddel niet langer gebruikt. [Dan] is aparte toestemming van de betrokken leerling of zijn of haar ouders niet noodzakelijk.

Ik snap niet hoe hier een wetstechnisch correct antwoord wordt gegeven. De frase “gerechtvaardigd belang” slaat op de uitzondering voor het dringend eigen belang. Maar die uitzondering gaat alleen op als toestemming redelijkerwijs niet te vragen is én er een afweging van belangen is geweest die zegt, ga je gang. Het enkele feit dat het nodig is die gegevens te gebruiken omdat de app anders niet werkt, betekent nog niet dat je een noodzaak hebt om die gegevens te gebruiken in de zin van de Wbp. Ga maar toestemming vragen.

Gezond verstand zegt: doe niet zo moeilijk, als die leraar dat account aanmaakt en die aanbieder zich netjes gedraagt, waarom zou je dan toestemmingsbriefjes gaan doen waar de ouders tóch geen chocola van kunnen maken? Maar de Wbp zegt: waar is je toestemming? En hoe we dáár uit gaan komen?

Arnoud

Arnoud

Foto: Schulknabe mit iPad, Flickr, CC-BY

16 reacties

  1. Gezond verstand zegt: doe niet zo moeilijk, als die leraar dat account aanmaakt en die aanbieder zich netjes gedraagt, waarom zou je dan toestemmingsbriefjes gaan doen waar de ouders tóch geen chocola van kunnen maken? Maar de Wbp zegt: waar is je toestemming? En hoe we dáár uit gaan komen?

    Ik weet niet wiens verstand gezonder is, maar mijn verstand zegt me dat centrale opslag gewoon de verkeerde manier van werken is, en dat je er dus uit kunt komen door de data (en alleen die data die voor het onderwijs noodzakelijk is) lokaal op te slaan; fatsoenlijk beveiligd en door niemand anders in te zien dan de leraar en de betreffende leerling. Lesmethoden en apps die niet op die manier werken zijn gewoon NIET GESCHIKT, en scholen zouden er met een wijde boog omheen moeten lopen. Uitgevers leren dan vanzelf wel om dingen te maken die wel fatsoenlijk in elkaar zitten.

    Tot die tijd: blijf gewoon maar met pen en papier werken.

    1. Lokaal opslaan is alleen geschikt voor data die niet belangrijk is, bv die mp3 collectie die je toch weer kan downloaden. Zodra data belangrijk wordt moet je het centraal gaan opslaan, en ergens offsite een kopie van de data hebben. Papier is vanuit een beschikbaarheids oogpunt zo ongeveer de slechtste manier om data te bewaren. Er hoeft maar een brand uit te breken en alles is weg.

      Het grootste probleem hier is dat basisscholen als organisatie vergelijkbaar zijn met een mkb bedrijf. En bij dat soort bedrijven is er geen tot nauwelijks geld voor fatsoenlijk beheer.

  2. Heb ik teveel gedronken Arnoud Arnoud?

    Mijn zoon kreeg een brief mee vanuit school dat er zo’n login was om taal spelletjes te doen. Geen idee wat er precies gedeeld is tussen school en uitgever.

    Zal eens navragen 🙂

  3. Gezond verstand zegt: doe niet zo moeilijk, als die leraar dat account aanmaakt en die aanbieder zich netjes gedraagt

    Gezond verstand (lees: ervaring) zegt ook dat een aanbieder zich niet netjes gedraagt, tenzij daar een zware sanctie op staat. Nu zijn er geen sancties dus gedraagt men zich niet netjes. (Maar beweert natuurlijk wel het tegenovergestelde.) We hebben nu eenmaal met mensen te maken en die zijn uitsluitend bezig met de eigen belangen.

  4. Als de massale inzet van elektronische leermiddelen op school er toe zou leiden, dat de qualiteit van het onderwijs stijgt, zou ik er nog mee kunnen leven. Ik zit midden in het onderwijs en zie echter het tegendeel gebeuren. Meer elektronische middelen leiden in de meeste gevallen tot meer werk voor de docenten. Politiek wordt er steeds meer berichtgeving gevordert, die toch zo makkelijk is omdat alle gegevens ja elektronisch voorhanden zijn. Dat funktioneerd echter niet, aangezien de software niet in staat is het individuele kind te zien en zijn individuele aanpak te bestemmen. Slechts dat wat de ontwikkelaars, ver van het kind hebben bedacht kan worden aangeboden. De leerkracht die zijn werk dus goed wil doen, en dat is de grote meerderheid, is dus gedwongen om naast de elektronika ook een persoonlijke aanpak te plannen en om te zetten. voor het verstrekken van gegevens van leerlingen aan uitgevers en/of ontwikkelaars bestaat dus vanuit het onderwijs gezien geen andere noodzaak als een aktieve bijdrage aan de omzet van de uitgevers te kunnen leveren. De vordering van de wet, waarin het noodzakelijk moet zijn die gegevens te verzamelen, vervalt m.i. dus.

  5. De onderwijsovereenkomst is volgens mij van een andere orde dan de civiele overeenkomst die in de Wbp wordt bedoeld. De school heeft een wettelijke taak voor het geven van onderwijs. Dat heeft gevolgen voor de vereiste zorgvuldigheid en daarmee voor de manier waarop de Informed Consent moet worden gevraagd. Die instemming is tweeledig, enerzijds voor het gegevensgebruik, anderzijds voor het delen van het risico verbonden aan elektronische communicatie. Feitelijk moet dus twee keer instemming worden verleend. Over de vrijheid daartoe zal ik het maar niet hebben. Een ouder mag al blij zijn als zijn kind ergens terecht kan, zowel qua school als niveau.

  6. De eerste tool waar ik mee in aanraking ben gekomen die structureel data mined met als doel de voortgangsanalyse van een leerling EN van een groep leerlingen is de khan academy. Zie https://www.khanacademy.org/ En ik vind de methode geweldig! Daarnaast ben ik ook ZEER huiverig voor Big Brother en het meekijken door derden. Vooral wat die derden daadwerkelijk doen met de data. Bij Khan Academy ben ik eigenlijk niet zo bang dat de gegevens commercieel ingezet gaan worden. Khan Academy is immers een instelling die zich tot doel stelt om educatie mogelijk te maken voor iedereen die dat op een ‘normale’ manier niet kan volgen. Het komt er dus in feite op neer wat voor vertrouwen je hebt in de instantie die deze data ter beschikking heeft. De (commerciele) content providers in het onderwijs hebben meermalen bewezen dat ze er alles aan doen om zo veel mogelijk geld te verdienen aan het onderwijs.

    Hoe kunnen we er dan voor zorgen dat deze data niet misbruikt wordt? Ik geloof niet dat in dit geval het anonymiseren van data voldoende garantie geeft. Immers een leerling van een klas van een bepaalde school is redelijk identificeerbaar uit een reeks van vorderingen (er zijn dan maximaal 20-30 verschillende leerlingen waar een identioteit aan gekoppeld kan worden)

    Toch is de data wel degelijk zeer nuttig. Er kan door de school/docent per leerling een zeer duidelijke voortgang gegenereerd worden. En dan hebben we naar mijn mening ook precies de groep voor wie deze data beschikbaar zou moeten zijn: de docent/school! En niet de uitgevers.

  7. Lastig punt vind ik: ik kan het huidig management van de uitgeverijen misschien wel vertrouwen, maar kan ik die van de toekomst ook vertrouwen? Die krijgen immers ook die databases met gegevens over mijn kinderen onder zich. En gegevens verwijderen kan niet zonder hun medewerking.

    1. Da’s inderdaad de hamvraag bij alle gegevensverzameling. Wel een goeie, al is ’t misschien meer een ethische dan een juridische vraag. Gegeven het gedrag van veel bedrijven denk ik wel dat het ietwat naïef is om het topmanagement te vertrouwen. Tenzij je er sec op vertrouwt dat ze al ’t mogelijke doen voor winstmaximalisatie en koersstijging, ook als ’t eigenlijk niet mag. Tenslotte mag je eigenlijk gewoon alles doen, als je bereid bent de consequenties te dragen van ’t betrapt worden. Dat geldt voor bedrijven natuurlijk net zo goed, al zijn bij vooral de grotere bedrijven de consequenties soms wel wat lachwekkend (aan ’t uberpopcircus denkt)

  8. Ik denk dat het grootste probleem vooral is dat de ouders en kinderen niet weten wat er precies wordt doorgestuurd. Als de software b.v. ook de foto’s uit het foto-album op het apparaat gaat uploaden en het kind maakt “foute” foto’s, dan komen die dus bij de software-maker terecht en waarschijnlijk ook bij de leraar. De software kan ook b.v. alle sociale-media-accounts op het apparaat gaan monitoren om te zien of het kind geen gekke dingen uitspookt. Maar het kan erger… Wie zegt dat de verbinding van de software met de fabrikant eigenlijk wel beveiligd is? Wat als al die data gewoon zonder enige encryptie worden doorgestuurd en wachtwoorden in plain-text op de server worden opgeslagen? Deze software kon wel eens enorm onveilig zijn in gebruik door de vele beveiligingslekken. Gezond verstand zegt mij dat het in het algemeen wel goed zal gaan en ik mijn alu-hoedje niet hoef op te zetten. Maar ik plaats grote twijfels aan software op apparaten van kinderen die gegevens doorspelen naar de software-fabrikant en hun school. Ik zou dan duidelijk willen weten wat er precies wordt overgestuurd en hoe veilig dit gebeurt.

  9. Indien de accountgegevens niet tot een persoon herleidbaar zijn is er toch geen sprake van persoonpersoonsgegevens? Alle gestelde doelen zijn nog steeds realiseerbaar, behalve de verhulde marketingdoelen van de uitgever. Een win-win dus.

    1. Tja, zonder NAW gegevens zullen de gegevens minder makkelijk herleidbaar zijn. Maar als de gegevens gekoppeld zijn aan een bepaalde klas dan verwijzen de gegevens al naar een klein groepje van 25 kinderen. Met wat verdere aanwiijzingen is het nog nauwkeuriger te bepalen welk kind bij welke gegevens hoort. Simpele zaken zoals schrijfstijl en het patroon in de spelfouten zijn naast de scores van diverse spelletjes best te herleiden naar een bepaalde persoon. De WBP is er deels om burgers te beschermen tegen doelgerichte marketing-campagnes waar ze niet om hebben gevraagd. Het feit alleen al dat de gegevens herleid kunnen worden tot een bepaalde school of klas zorgt dan al voor een conflict met het doel van de WBP. Erger, als die gegevens worden verzameld om scores bij te houden van scholen en klassen dan zou je kind later in de problemen kunnen komen bij het vinden van een baan omdat de school extra slecht heeft gescoord. Een beetje zoals enkele InHolland-diploma’s “spontaan” minder waard werden nadat bleek dat er bij examens was gefraudeerd.

    2. De accountgegevens zijn desondanks makkelijk tot personen herleidbaar. Kwestie van een beetje creatief data-minen: – Welke gebruikers hebben zelfde IP? -> Zelfde school. Broertje/zusje. – Welke gebruikers loggen ongeveer tegelijkertijd in? -> Leerlingen in zelfde klas. – Welke gebruikers werken aan zelfde opdracht? – Welke gebruikers werken samen in een project- of groepsopdracht? Zodra een leerling meerdere malen hetzelfde account gebruikt wordt de identiteit al snel te achterhalen. De enige manier om dit te voorkomen is de software op computers van de school te draaien en de data op de school op te slaan. Of de leerling moet voor iedere opdracht een nieuwe id gebruiken, met als nadeel dat de vorderingen van de leerling niet meer te volgen zijn.

  10. Eigenlijk is de manier van opslag niet handig geregeld. Wat als we de boel omdraaien? Een school heeft een eigen leeromgeving en kan daar apps en software aan koppelen. De gegevens uit die software wordt opgeslagen in je leeromgeving. De leeromgeving staat op een host die alleen service levert en de data is van de school.

    In mijn ogen zijn dan een hoop problemen rond data snel opgelost. Klein probleem. Wie gaat dat maken?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.