‘Mijn ouders krijgen een pushmelding van al mijn nieuwe cijfers’

| AE 10408 | Privacy | 35 reacties

Ouders kunnen het schoolgedrag van hun kind bijna real-time volgen via allerlei leerlingvolgsystemen als Magister of SOMtoday. Dat meldde de NOS onlangs. De leerlingvolgsystemen op middelbare scholen zijn bedoeld om ouders te informeren, maar het grijpt natuurlijk wel diep in op de privacy van de leerling die geen onvoldoende of spijbeluurtje meer kan verstoppen. Bovendien werkt het systeem ook zo voor zestienplussers en meerderjarige leerlingen, waardoor het wettelijk ook nog eens dubieus wordt.

Het basisidee is natuurlijk niet verkeerd. Het is handig dat leerlingprestaties worden bijgehouden, en omdat ouders graag willen weten hoe hun kind het doet, is het logisch om hen daar toegang toe te geven. Vroeger was dat wat ingewikkelder, bij rapporten lukte dat natuurlijk wel maar cijfers had je alleen op papier en om nou elke keer brieven te sturen, dat werkt niet.

Het gemak waarmee de informatie nu gedeeld wordt, leidt wel tot een andere manier van doen. Je signaleert als ouder veel eerder problemen, of dat nu een onvoldoende is of het feit dat je kind een les gemist heeft. Daardoor krijg je als kind veel meer controle over je heen, wat juist op de middelbareschoolleeftijd erg vervelend kan voelen.

Mag het? Dat is natuurlijk de grote vraag. Algemeen geldt dat ouders bij de opvoeding veel van hun kind mogen weten, maar wel rekening moeten houden met de privacy. Het dagboek lezen van je zeventienjarige dochter kan echt niet zomaar door de beugel, maar bij een zesjarige meekijken op de iPad is natuurlijk zeer gewenst. Bij schoolcijfers en afwezigheid geldt eigenlijk hetzelfde: is het relevant dat je dit weet en levert het geen onevenredige privacyschending op voor je kind?

Als we het onder de privacywet of AVG gaan bekijken, dan kom je eigenlijk vrijwel meteen bij dezelfde discussie uit. Wanneer een kind nog geen zestien is, geven de ouders toestemming voor verwerking van zijn persoonsgegevens. (We nemen maar even aan dat die hier netjes na afdoende uitleg specifiek is gevraagd en vrijwillig is gegeven. Niet lachen daar achterin.) Maar ook dan geldt dat de school niet meer mag doen dan redelijkerwijs nodig is voor het doel van de toestemming.

Wordt het kind zestien, dan moet het zelf die toestemming geven (artikel 5 Wbp en artikel 5 Uitvoeringswet AVG). En omdat toestemming vrijwillig gegeven moet worden, mag er dus vanuit de school noch vanuit de ouders druk worden uitgeoefend om dit te doen. Het lijkt erop dat er geen school is die dit doet. Sterker nog, in het NOS artikel is te lezen dat ook bij mensen van achttien (dus geen kind meer) deze gegevens naar hun ouders worden gestuurd. En dat kan natuurlijk écht niet door de beugel.

Wel vraag ik me nog af of je niet kunt zeggen, de verstrekking van deze informatie is gewoon nodig voor het onderwijs, een goede orde op school et cetera. Dan kom je AVG-technisch uit bij de grondslag “uitvoering overeenkomst”, alleen is voortgezet onderwijs volgens mij geen privaatrechtelijke overeenkomst. En dan houd je dus over het eigen legitiem belang van de school en/of de ouders, oftewel we kúnnen niet anders dan dit aan je ouders geven, en we menen dat dat belangrijker is dan jouw privacy. Ik denk niet dat dat snel standhoudt.

Update met dank aan Job Vos: wettelijk is vastgelegd (artikel 23b Wet voortgezet onderwijs) dat “Het bevoegd gezag rapporteert over de vorderingen van de leerlingen aan hun ouders, voogden of verzorgers, dan wel aan de leerlingen zelf indien zij meerderjarig en handelingsbekwaam zijn.” De grondslag is daarmee de wettelijke plicht, de school móet het melden. Hooguit kun je je dan nog afvragen of dat moet per pushbericht direct bij elk cijfer, of dat ook periodiek of bij zorgelijke ontwikkelingen pas gemeld wordt. Vandaar de streep door toestemming nodig.

Arnoud

Mag mijn school me verplichten een video van mezelf online te zetten?

| AE 9882 | Privacy | 16 reacties

Via Reddit:

Voor een vak op school (HBO) moet ik als onderdeel van het lesprogramma een video van mezelf maken en deze in het online programma van school zetten. Echter is deze video dan te zien voor elke leerling die dit vak volgt (meer dan 200) en dus ook te kopiëren. De bedoeling is dat 1 mede-student de video moet bekijken en beoordelen, en de lerares moet zien dat je dit hebt gedaan zodat zij het kan afvinken. Ik ben niet zo gek op het idee om van mezelf een video online te zetten. Kan ik dit weigeren, ivm privacy redenen bijvoorbeeld? Zou ik dan ook het maken van heel de video kunnen weigeren? Ik doe dit namelijk liever niet. Aangezien /r/thenetherlands zo veel van digitale privacy etc houdt zou ik graag weten of iemand hier een antwoord op heeft. Bedankt!

Wat is dat toch met rare praktijken op scholen. En nee, dit kan natuurlijk niet zomaar.

Het is op zich denk ik wel legitiem dat bepaalde vakken een uitwerking eisen in de vorm van video. Denk aan trainen hoe je overkomt voor de camera, het oefenen van dansen of sportbewegingen, of gewoon registratie van hoe je presenteert zodat je concrete visuele feedback kunt krijgen.

Dat je die uitwerking moet delen met medestudenten zie ik ook nog wel. Peer feedback en leren van hoe je medestudenten het doen lijkt me een standaard manier van werken bij hogescholen. Maar op het moment dat het op internet gezet moet, dan kunnen dus ook mensen meekijken die gewoon niets te maken hebben met je studievoortgang en -prestaties.

In de Reddit-draad lees ik dan discussie of dit wel een legitiem argument is, omdat het riekt naar een smoes om onder je huiswerk uit te komen. Dat probleem zie ik dus niet, omdat er geen reden is voor de school om een internetpublicatie te eisen. En dan kom je bij het simpele fundamentele punt dat het hier om persoonsgegevens gaat, en dús niet mag zonder grondslag, zonder goede reden.

Arnoud

Ik moet van mijn school andermans telefoon doorsnuffelen!

| AE 9874 | Security | 27 reacties

Een lezer vroeg me:

Voor mijn opleiding moet ik een vak volgen over forensische ICT. De opdracht is nu om een telefoon te doorzoeken, en de docent meldde trots dat hij deze op Marktplaats heeft gekocht, om de klus interessanter te maken. Het zijn dus echte telefoons met echte data. Ik voel me daar niet comfortabel bij, mag ik dit wel?

Wat een rare opdracht, en niet eens vanwege de juridische kant. Hoe kun je nu studenten beoordelen die allemaal zó verschillende input krijgen? Je zult net de telefoon van de directeur van Bits of Freedom krijgen en je buurman die van Samantha van der Plas, hoe kun je dat ooit met elkaar vergelijken?

Juridisch gezien denk ik niet dat dit door de beugel kan. Natuurlijk wordt de school eigenaar van die telefoon wanneer een docent die koopt, en het is toegestaan je eigendom te doorzoeken of er andere schoolactiviteiten mee te ondernemen. Maar dat recht houdt op wanneer andermans persoonsgegevens in het gedrang komen.

(Als privépersoon-koper kun je iets sneller klaar zijn. Volgens de wet behoor je eigenaar te worden van het hele toestel, zonder enige last of beperking (art. 7:15 lid 1 BW). Als er toch nog data van iemand op blijkt te staan, dan is dat dus een beperking die er niet hoort te zijn. Daar kun je de verkoper dus op aanspreken, hij moet deze tekortkoming in de koopovereenkomst herstellen. Heel formeel moet het toestel dus terug, waarna de verkoper het wist en het opnieuw aan je geeft. Praktisch gezien zou ik geen bezwaar zien tegen even namens de verkoper die data wissen, dat is effectief hetzelfde en scheelt een hoop rompslomp.)

De school weet donders goed dat die telefoon vol zit met persoonsgegevens van een ander, dat is immers het hele doel van die opdracht. Er is geen toestemming van die mensen om daarmee te werken. (Enkel dat iemand zijn telefoon verkoopt is nog geen uitdrukkelijke specifieke toestemming voor gebruik van die persoonsgegevens.) Er is ook geen contract dat dit onderzoek rechtvaardigt.

Je komt dan uit bij de eigen dringende noodzaak: ik kan niet anders, en ik heb rekening gehouden met de privacy. De belangenafweging is dan simpel, kom nou toch. Je kunt immers prima zo’n telefoon voorzien van nepdata en dan de studenten aan de slag laten gaan. En daarmee is er dus geen legitiem eigen belang om hiermee te gaan werken. Met een beetje goede wil kun je dit zelfs het opzettelijk verzorgen van een datalek noemen, een ongeautoriseerde verwerking.

Het lastige is alleen: hoe vertel je dat die docent?

Arnoud

De klassenfoto valt ook gewoon onder de privacywet!

| AE 9638 | Privacy | 26 reacties

De Autoriteit Persoonsgegevens (AP), de Nederlandse privacytoezichthouder, roept scholen op zorgvuldig om te gaan met beeldmateriaal van leerlingen. Dat meldde Nu.nl dinsdag. In een persbericht legt de privacytoezichthouder uit dat klassenfoto’s (en ander beeldmateriaal waar leerlingen herkenbaar op staan) ook gewoon onder de Wet bescherming persoonsgegevens vallen, en dus in principe alleen met toestemming mogen… Lees verder

Smartphones op school: streng verboden?

| AE 9504 | Informatiemaatschappij | 68 reacties

Veel scholen worstelen met telefoons in de klas, las ik in NRC onlangs. Met onder meer diverse scholen met smartphoneverboden, en eentje die als ultieme sanctie een week de telefoon kan afpakken. Ondertussen krijg ik regelmatig mails van ouders (én leerlingen) die zo’n telefooninbeslagname willen aanvechten en hoe dat juridisch zit. Dus ja, hoe zit… Lees verder

RET weigert nieuwe leerling vanwege tweet

| AE 7984 | Ondernemingsvrijheid | 43 reacties

De RET heeft een 20-jarige Rotterdammer niet toegelaten tot de opleiding van metrobestuurder omdat hij een racistisch bericht op Twitter verstuurde, las ik bij RTV Rijnmond. Metro noemt het een ‘gaskamertweet’, wat het niveau wel aangeeft denk ik. De RET vindt deze tekst onacceptabel (joh) en heeft daarom zijn inschrijving geweigerd. U denkt nu misschien… Lees verder

Schoolcomputer says no tegen ruilverzoek inschrijving, mag dat?

| AE 7800 | Informatiemaatschappij | 85 reacties

Amsterdamse scholieren die vanwege het matchingssysteem hun schoolplek wilden ruilen, mogen dit niet. Dat meldde Nu.nl vorige week, waarop ik diverse mails kreeg van lezers of dit een verboden gevalletje “computer says no” is. Amsterdam heeft namelijk een matching-algoritme ontwikkeld dat scholieren probeert te koppelen aan hun favoriete school, maar aan de uitkomst mag niet… Lees verder

Schoolcomputer slaat alarm bij zoekopdracht ‘jihad’

| AE 7767 | Privacy | 21 reacties

Leerlingen die via de schoolcomputer zoeken naar of spreken over de jihad, kunnen in de toekomst een bezoekje verwachten van de vertrouwenspersoon. Dat las ik bij het AD gisteren. De krant typte een persbericht over van stichting Importunus dat software maakt die netwerkverkeer op ongewenste trefwoorden (“stomme school, ik ga naar Syrie meevechten in de… Lees verder