Mag een school-app persoonsgegevens van kinderen naar derden sturen?

| AE 7205 | Intellectuele rechten, Privacy | 15 reacties

school-kind-ipad-leren-onderwijs-privacy-appDigitaal lesmateriaal is iets totaal anders dan gewoon maar een boek op de computer: de software observeert en categoriseert al doende elk kind dat met zulk digitaal lesmateriaal werkt. Dat schreef Karin Spaink vorige week naar aanleiding van een Kamerbrief over allerlei apps en tools die persoonsgegevens van leerlingen bijhouden. Dat roept meteen een belangrijke vraag op: eh, wat krijgen we nou? Die software houdt persoonsgegevens bij van kinderen, en slaat dat centraal op onder beheer van de uitgevers van die apps of software. Hoe zit dat privacytechnisch?

Apps en webtools voor educatieve doeleinden werken vrijwel altijd met accounts, al is het maar om prestaties per leerling te kunnen registreren voor de docent. Dergelijke accounts vallen daarmee onder de Wet bescherming persoonsgegevens (Wbp) oftewel de privacywet. Deze zegt dat voor verwerking van zulke gegevens in principe toestemming nodig is, behalve in twee uitzonderingssituaties: allereerst als de verwerking nodig is voor de uitvoering van de onderwijsovereenkomst tussen ouder en school, en ten tweede als de partij die verwerkt een dringend eigen belang heeft waarvoor de privacy van het kind moet wijken.

Het bijhouden van de uitslagen van proefwerken en dergelijke, of het meten van hoe snel een kind iets leest of afmaakt, valt denk ik wel onder “nodig voor de onderwijsovereenkomst”. Je kunt immers geen onderwijs verrichten als je zulke dingen niet kunt bijhouden. Maar die “dringende noodzaak”, daar kan ik met de beste wil van de wereld geen voorbeeld van vinden.

Als de app of tool gegevens opslaat bij een derde, bijvoorbeeld de uitgever van een digitaal schoolboek of de partij die de webtool host, dan is die partij een bewerker zoals dat heet. Die handelt dan in opdracht en onder verantwoordelijkheid van de school, en dat moet schriftelijk zijn vastgelegd tussen school en bewerker. De school is en blijft aansprakelijk voor de verwerking, ook als de fout in feite niet bij de school ligt maar bij de bewerker.

Bij school-apps en webtools blijkt dit allemaal erg onduidelijk. In een rapport uit september spreekt men van “de beste bedoelingen voor het welzijn van de leerling” en gezond-verstandhandelen. Maar gezond verstand en Wbp gaan niet per se samen, zal de vaste lezer van deze blog nu opmerken.

Zo lijkt het bijvoorbeeld zo klaar als een klontje dat je een app mag inzetten waarmee leerlingen een educatief spelletje kunnen doen, en dat de docent dan de resultaten kan zien. Maar omdat de app zijn gegevens elders heenstuurt, is een bewerkersovereenkomst nodig én mag de spelaanbieder niet zelfstandig dingen doen met de gegevens die hij zo van de leerlingen verkrijgt. En zelfs als je als leraar een Facebookgroep aanmaakt, dan moet je een bewerkersovereenkomst sluiten met Facebook eigenlijk.

Je kunt ook zeggen: die aanbieder is zelf de verantwoordelijke, en staat los van de school. Net zoals de snackbar aan de overkant van de school zijn eigen klantenbestand heeft, ook al overlapt dat met het leerlingenbestand en ook al zegt de docent, ga lekker een frietje halen jongens. Of het digitale equivalent, dat de docent een account aanmaakt voor de leerlingen en ze daarmee laat werken.

Alleen, dan moet die aanbieder wel zelf een grondslag hebben, zoals toestemming, uitvoering overeenkomst of een eigen dringende noodzaak. Die toestemming is er maar zelden, omdat de aanbieders niet rechtstreeks met de ouders communiceren en de leraar of school niet aan de ouders vraagt of er toestemming is een account aan te maken voor het kind.

Zonder toestemming is het voor zo’n aanbieder lastig. Mijn Wbp-tenen krullen als ik dan in die Kamerbrief lees

[Die aanbieders] doen een beroep op een “eigen” Wbp-grondslag: hun gerechtvaardigde belang om de gegevens voor de toepassing van het leermiddel te gebruiken. Het gaat dan om gebruik uitsluitend binnen het kader van de leermiddelen; zo worden de gegevens van een leerling vernietigd wanneer deze het leermiddel niet langer gebruikt. [Dan] is aparte toestemming van de betrokken leerling of zijn of haar ouders niet noodzakelijk.

Ik snap niet hoe hier een wetstechnisch correct antwoord wordt gegeven. De frase “gerechtvaardigd belang” slaat op de uitzondering voor het dringend eigen belang. Maar die uitzondering gaat alleen op als toestemming redelijkerwijs niet te vragen is én er een afweging van belangen is geweest die zegt, ga je gang. Het enkele feit dat het nodig is die gegevens te gebruiken omdat de app anders niet werkt, betekent nog niet dat je een noodzaak hebt om die gegevens te gebruiken in de zin van de Wbp. Ga maar toestemming vragen.

Gezond verstand zegt: doe niet zo moeilijk, als die leraar dat account aanmaakt en die aanbieder zich netjes gedraagt, waarom zou je dan toestemmingsbriefjes gaan doen waar de ouders tóch geen chocola van kunnen maken? Maar de Wbp zegt: waar is je toestemming? En hoe we dáár uit gaan komen?

Arnoud

Arnoud

Foto: Schulknabe mit iPad, Flickr, CC-BY