Onderwijsinstellingen moeten duidelijke afspraken maken met socialemediabedrijven over wat er met gegevens van studenten en docenten gebeurt. Dat las ik bij Nu.nl. Het volgt uit een advies van de Autoriteit Persoonsgegevens aan een onderwijsinstelling die een bepaald socialemediaplatform wilde inzetten. Wat betekent dit voor de praktijk?
De school (die verder anoniem wordt gehouden) maakte zich zorgen over het mogen gebruiken van een socialemediadienst voor marketingdoeleinden. Men wilde hiermee “met inzet van betaalde en organische content potentiele studiekiezers helpen in het maken van een goede studiekeuze“. Dat raakt aan persoonsgegevens – personeel en studenten die in beeld komen, of marketingmedewerkers die de dienst bedienen. Maar ook van toekomstige leerlingen, die via de content interacteren met de school.
Velen roepen al jaren dat dit juridisch best spannend is, het zal dan ook niet verbazen dat de school een DPIA liet uitvoeren om de risico’s in kaart te brengen. De DPIA focust op het verlies van grip op persoonsgegevens, omdat de dienst kan besluiten daar zelf andere dingen mee te doen. Ook waren er vragen over de gekozen route van toestemming als grondslag, en ontbraken afspraken over het overbrengen van persoonsgegevens naar landen buiten de EU.
Zo te lezen heeft de school fors werk verricht. Het proces van toestemming is voor de verandering solide ingericht, inclusief actieve focus op het wegnemen van indirecte druk om toestemming te geven (wat immers een probleem is bij werknemers, maar ook bij studenten). En er is goed nagedacht over hergebruik door de socialemediadienst.
Het advies van de AP blijft echter een beetje steken in algemeenheden en tips. Dit heeft denk ik te maken met dat niet zij maar een niet nader te noemen andere toezichthouder bevoegd is (gokje: Ierland), en dat de AP dan niet voor haar beurt kan spreken. Ik vat de tips even samen:
- Je moet zelf bedenken of je gezamenlijke verwerkingsverantwoordelijke bent. Een hint is dat het niet uitmaakt dat je grip op de gegevens verliest. Als de socialemediadienst een verwerking doet die jouw doelen ten goede komt, wijst dat ook op gezamenlijkheid.
- Als je gezamenlijk bent, maak dan goede afspraken.
- Je moet dit per verwerking doen, op lager detailniveau dan “wij uploaden de video en de dienst zorgt algoritmisch dat studenten-in-spe deze zien”.
- Maak afspraken over bewaartermijnen door de socialemediadienst. Niet alleen de video maar ook de comments dus.
- Als de dienst in een derde land zit, dan zou je met SCC’s kunnen werken (de Schrems-schaamlap). Maar ga dan wel zelf na of je die kunt afdwingen in het derde land (“small Dutch school sues tech giant, film at 11”).
- Je toestemmingsformulier moet je afstemmen op de specifieke verwerkingen (zie punt 3), oftewel dat moet er allemaal in staan.
- Heel goed dat je mitigerende maatregelen tegen de dreiging van dwang hebt genomen, maar ga tóch nog een keertje goed na of mensen geen dwang ervaren.
Arnoud
In het kader van IHOA: https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/praktisch-avg/data-protection-impact-assessment-dpia DPIA = Data protection impact assessment
Nou het scheelt dat de AP zelf medewerkers aan het werven is via advertentirs op Reddit, dat kán alleen maar betekenen dat ze de analyse voor Reddit heel grondig hebben gedaan en geconcludeerd dat dat kanaal compliant is, toch? De AP doet immers altijd perfect haar huiswerk. Misschien die afspraken even Wobben om een goed voorbeeld te hebben…