Belgische school laat leerlingen hun lunch afrekenen met scan van handpalm

| AE 11457 | Privacy | 10 reacties

Op de Sint-Bavohumaniora in Gent kunnen leerlingen binnenkort broodjes en drankjes afrekenen via een scan van hun handpalm. Dat meldde Tweakers onlangs. De biometrische technologie zou praktischer zijn dan de huidige badges en maaltijdbonnetjes, die regelmatig vergeten worden of kwijtraken. Maar het riep vragen op bij vele lezers, omdat het gebruik van biometrische persoonsgegevens toch heel streng gereguleerd was onder de AVG. Recent mocht Manfield gen vingerafdrukken inzetten tegen kassafraude, dus hoezo mag een school dit zomaar doen voor iets triviaals als een lunch afrekenen? Dus ja, hoezo mag dat dan?

Allereerst: die Manfielduitspraak was vooral gebaseerd op het feit dat er niet nagedacht leek te zijn over impact en alternatieven. Hadden ze dat wel gedaan, dan was het volgens mij zonder twijfel legaal geweest om dit systeem in te voeren. Maar er is geen twijfel dat een handpalmafdruk een biometrisch persoonsgegeven is, gezien de definitie van die categorie uit de AVG. Daarmee kom je meteen in de extra strenge bescherming voor bijzondere persoonsgegevens terecht.

Hoofdregel is dat je bijzondere persoonsgegevens niet mag verwerken, tenzij in de AVG of je lokale wetgeving staat van wel. Een van de genoemde uitzonderingsgronden is de uitdrukkelijke toestemming. In Nederland hebben we daarnaast nog de noodzaak voor identificatie of authenticatie, waar dus een werkgever zich op zou kunnen beroepen als hij zijn privacy impact assessment rond heeft.

Een werkgever moet wel, want die kan geen toestemming vragen vanwege de afhankelijkheidsrelatie (en het feit dat het hier om iets verplichts ging). Maar afrekenen met een handpalm voelt voor mij vrijwilliger dan een vinger om in te loggen bij de kassa, er zijn immers gewoon alternatieven beschikbaar. Dus ik zou zelf geen probleem zien met dit als school (of werkgever, in de kantine dus) invoeren als vrijwillige extra afrekenoptie. Natuurlijk wel even extra goed de security checken van het biometrisch betalingsauthenticatiesysteem.

Ik keek nog even snel in de Belgische Uitvoeringswet bij de AVG (de Kaderwet) en het zal ongetwijfeld aan mij liggen maar ik zie daar dus geen analogie aan onze noodzaak voor identificatie en authenticatie. Sterker nog, ik zie in artikel 34 een veel stérker verbod: geen verwerking van biometrie tenzij dit wettelijk is geregeld, noodzakelijk is voor vitaal belang of het gegeven kennelijk openbaar is gemaakt. Daar mist dus de uitdrukkelijke toestemming als grondslag. Dat mag (artikel 23 AVG) maar het voelt als een rare uitkomst, vooral omdat de Gegevensbeschermingsautoriteit zegt dat het “natuurlijk zo [is] dat toestemming een basis is”. Waar dan weer gek aan is dat er geen ‘uitdrukkelijk’ bij staat, een vakterm die ik toch wel verwacht had in een publicatie van de toezichthouder.

Afijn. Ervan uitgaande (ik moet altijd de spelling daarvan nazoeken) dat uitdrukkelijke toestemming in België inderdaad een grondslag is, én er goed over de beveiliging is nagedacht, lijkt me dit dus prima legaal. Als je alléén nog kunt afrekenen met je hand bij die kantine, dan zou ik het niet meer vrijwillig vinden. Natuurlijk kun je dan zeggen, “neem een zakske bokes mee” maar dat voelt voor mij geen reëel alternatief voor een lunch op school die je al jaren gewend bent.

Arnoud

Ministers gevraagd of filmpjes van leraren in strijd met AVG zijn

| AE 11165 | Privacy | 16 reacties

De VVD heeft minister Van Engelshoven van Onderwijs en minister Dekker voor Rechtsbescherming gevraagd of filmpjes van leraren die door leerlingen worden gemaakt en op internet geplaatst in strijd met de Algemene verordening gegevensbescherming (AVG) zijn. Dat las ik bij Security.nl vorige week. De vragen zijn naar aanleiding van diverse filmpjes van leraren die op internet verschenen en leidden tot schorsing en ophef. De minister gaat niet over interpretatie van de AVG dus de vragen zijn juridisch niet zinnig, maar wel een aardige aanleiding voor de vraag: mag dat, je leraar filmen en dat op internet zetten?

Al in 2014 blogde ik over dit probleem, dat natuurlijk alleen maar groter is geworden de afgelopen jaren. En dan heb ik het niet alleen maar over opnames van lessen, maar juist over gekke situaties (‘pranks’, zeg maar pestgedrag waar je geacht wordt om te lachen) of escalaties die niet perse objectief in beeld komen. Het is logisch dat je als school daar wat mee wilt doen, of als getroffen leraar.

De AVG is nieuw, en zegt iets over beeldmateriaal, dus zal het wel een goede stok zijn om hier wat aan te doen. Een foto of video van iemand is natuurlijk een persoonsgegeven, maar dat wil echter niet zeggen dat je dus op grond van de AVG zo’n publicatie tegen kunt houden.

Allereerst zit je met het probleem dat deze leerling niet perse onder de AVG valt. De strikt huishoudelijke of privé-activiteit van verwerking is uitgesloten van de AVG. Voor jezelf en of een beperkte groep vrienden een filmopname maken zou best eens aan dat criterium kunnen voldoen. Daar staat tegenover dat een beveiligingscamera op de openbare weg hangen al buiten dat criterium viel en dus wél onder de AVG.

Ten tweede en belangrijker zit je met de vrijheid van meningsuiting, waar ook het maken van beeld onder valt. De AVG geldt maar beperkt bij journalistieke verwerkingen, zo heb je géén recht van verwijdering bij een dergelijke publicatie. Natuurlijk is een Youtube-publicatie van een schokkerig telefoonfilmpje heel wat anders dan een diepgravende documentaire van de BBC, maar dat is een kwaliteitstoets en geen juridisch relevant argument. Zolang de scholier er iets mee wil informeren of aan de kaak stellen, zit je al heel snel aan de AVG.

Daar staat dan weer tegenover dat een school gewoon huisregels kan stellen over het maken en/of publiceren van camerabeelden. Ik zou daar wel wat moeite mee hebben, omdat het vergaren van informatie een grondrecht is (deel van de vrijheid van meningsuiting) en een opleidingsinstituut die vrijheid niet zomaar even aan banden mag leggen. Maar als je het koppelt aan onaangekondigd filmen en/of tijdens de les, dan denk ik dat je zeker bij scholieren een heel eind komt.

Arnoud

‘Mijn ouders krijgen een pushmelding van al mijn nieuwe cijfers’

| AE 10408 | Privacy | 35 reacties

Ouders kunnen het schoolgedrag van hun kind bijna real-time volgen via allerlei leerlingvolgsystemen als Magister of SOMtoday. Dat meldde de NOS onlangs. De leerlingvolgsystemen op middelbare scholen zijn bedoeld om ouders te informeren, maar het grijpt natuurlijk wel diep in op de privacy van de leerling die geen onvoldoende of spijbeluurtje meer kan verstoppen. Bovendien werkt het systeem ook zo voor zestienplussers en meerderjarige leerlingen, waardoor het wettelijk ook nog eens dubieus wordt.

Het basisidee is natuurlijk niet verkeerd. Het is handig dat leerlingprestaties worden bijgehouden, en omdat ouders graag willen weten hoe hun kind het doet, is het logisch om hen daar toegang toe te geven. Vroeger was dat wat ingewikkelder, bij rapporten lukte dat natuurlijk wel maar cijfers had je alleen op papier en om nou elke keer brieven te sturen, dat werkt niet.

Het gemak waarmee de informatie nu gedeeld wordt, leidt wel tot een andere manier van doen. Je signaleert als ouder veel eerder problemen, of dat nu een onvoldoende is of het feit dat je kind een les gemist heeft. Daardoor krijg je als kind veel meer controle over je heen, wat juist op de middelbareschoolleeftijd erg vervelend kan voelen.

Mag het? Dat is natuurlijk de grote vraag. Algemeen geldt dat ouders bij de opvoeding veel van hun kind mogen weten, maar wel rekening moeten houden met de privacy. Het dagboek lezen van je zeventienjarige dochter kan echt niet zomaar door de beugel, maar bij een zesjarige meekijken op de iPad is natuurlijk zeer gewenst. Bij schoolcijfers en afwezigheid geldt eigenlijk hetzelfde: is het relevant dat je dit weet en levert het geen onevenredige privacyschending op voor je kind?

Als we het onder de privacywet of AVG gaan bekijken, dan kom je eigenlijk vrijwel meteen bij dezelfde discussie uit. Wanneer een kind nog geen zestien is, geven de ouders toestemming voor verwerking van zijn persoonsgegevens. (We nemen maar even aan dat die hier netjes na afdoende uitleg specifiek is gevraagd en vrijwillig is gegeven. Niet lachen daar achterin.) Maar ook dan geldt dat de school niet meer mag doen dan redelijkerwijs nodig is voor het doel van de toestemming.

Wordt het kind zestien, dan moet het zelf die toestemming geven (artikel 5 Wbp en artikel 5 Uitvoeringswet AVG). En omdat toestemming vrijwillig gegeven moet worden, mag er dus vanuit de school noch vanuit de ouders druk worden uitgeoefend om dit te doen. Het lijkt erop dat er geen school is die dit doet. Sterker nog, in het NOS artikel is te lezen dat ook bij mensen van achttien (dus geen kind meer) deze gegevens naar hun ouders worden gestuurd. En dat kan natuurlijk écht niet door de beugel.

Wel vraag ik me nog af of je niet kunt zeggen, de verstrekking van deze informatie is gewoon nodig voor het onderwijs, een goede orde op school et cetera. Dan kom je AVG-technisch uit bij de grondslag “uitvoering overeenkomst”, alleen is voortgezet onderwijs volgens mij geen privaatrechtelijke overeenkomst. En dan houd je dus over het eigen legitiem belang van de school en/of de ouders, oftewel we kúnnen niet anders dan dit aan je ouders geven, en we menen dat dat belangrijker is dan jouw privacy. Ik denk niet dat dat snel standhoudt.

Update met dank aan Job Vos: wettelijk is vastgelegd (artikel 23b Wet voortgezet onderwijs) dat “Het bevoegd gezag rapporteert over de vorderingen van de leerlingen aan hun ouders, voogden of verzorgers, dan wel aan de leerlingen zelf indien zij meerderjarig en handelingsbekwaam zijn.” De grondslag is daarmee de wettelijke plicht, de school móet het melden. Hooguit kun je je dan nog afvragen of dat moet per pushbericht direct bij elk cijfer, of dat ook periodiek of bij zorgelijke ontwikkelingen pas gemeld wordt. Vandaar de streep door toestemming nodig.

Arnoud

De klassenfoto valt ook gewoon onder de privacywet!

| AE 9638 | Privacy | 26 reacties

De Autoriteit Persoonsgegevens (AP), de Nederlandse privacytoezichthouder, roept scholen op zorgvuldig om te gaan met beeldmateriaal van leerlingen. Dat meldde Nu.nl dinsdag. In een persbericht legt de privacytoezichthouder uit dat klassenfoto’s (en ander beeldmateriaal waar leerlingen herkenbaar op staan) ook gewoon onder de Wet bescherming persoonsgegevens vallen, en dus in principe alleen met toestemming mogen… Lees verder

Smartphones op school: streng verboden?

| AE 9504 | Informatiemaatschappij | 69 reacties

Veel scholen worstelen met telefoons in de klas, las ik in NRC onlangs. Met onder meer diverse scholen met smartphoneverboden, en eentje die als ultieme sanctie een week de telefoon kan afpakken. Ondertussen krijg ik regelmatig mails van ouders (én leerlingen) die zo’n telefooninbeslagname willen aanvechten en hoe dat juridisch zit. Dus ja, hoe zit… Lees verder

RET weigert nieuwe leerling vanwege tweet

| AE 7984 | Ondernemingsvrijheid | 43 reacties

De RET heeft een 20-jarige Rotterdammer niet toegelaten tot de opleiding van metrobestuurder omdat hij een racistisch bericht op Twitter verstuurde, las ik bij RTV Rijnmond. Metro noemt het een ‘gaskamertweet’, wat het niveau wel aangeeft denk ik. De RET vindt deze tekst onacceptabel (joh) en heeft daarom zijn inschrijving geweigerd. U denkt nu misschien… Lees verder

Schoolcomputer says no tegen ruilverzoek inschrijving, mag dat?

| AE 7800 | Informatiemaatschappij | 85 reacties

Amsterdamse scholieren die vanwege het matchingssysteem hun schoolplek wilden ruilen, mogen dit niet. Dat meldde Nu.nl vorige week, waarop ik diverse mails kreeg van lezers of dit een verboden gevalletje “computer says no” is. Amsterdam heeft namelijk een matching-algoritme ontwikkeld dat scholieren probeert te koppelen aan hun favoriete school, maar aan de uitkomst mag niet… Lees verder