Een organisatie die tablets met onderwijs-apps verhuurt aan scholen, heeft de privacywetgeving geschonden, las ik bij Tweakers. Men gebruikte namelijk persoonsgegevens van scholieren voor onder meer het vergelijken met alle andere kinderen die de Snappet-tablets gebruiken. En dat mag niet: het is de school en niet de tabletverhuurder die bepaalt wat er met dergelijke persoonsgegevens gebeurt. Als ‘bewerker’ zoals je dan juridisch heet, mag je niets met de langskomende persoonsgegevens behalve datgene wat je klant – de verantwoordelijke – zegt.
Snappet verhuurt tablets aan basisscholen, en daarbij speciale onderwijs-apps opneemt. Via die apps worden allerlei persoonlijke gegevens over de kinderen verzameld die de apps gebruiken, en Snappet gaat daar zelf mee aan de slag. Uit het besluit blijkt dat men dit onder meer doet voor het maken van overzichten, het adviseren van scholen en het analyseren en classificeren van gegevens over alle tabletgebruikers heen.
Wanneer je je klanten tools geeft waarmee zij persoonsgegevens van hún klanten (klantjes) verwerken, dan ben jij een bewerker. Een bewerker is een partij die in opdracht persoonsgegevens verwerkt voor de doelen die de verantwoordelijke (de klant dus) vaststelt.
Dit doet wat gek aan in een ICT context, want het is toch Snappet die de apparatuur levert en bepaalt wat de software doet? Maar formeel klopt het: de school kiest voor de tablet en apps en bepaalt daarmee wat er mag gebeuren. Dat zij dat bepaalt als “whatever de software doet” zonder nader onderzoek, maakt daarbij niet uit.
Als bewerker mag je dus niet zelf met gegevens aan de slag, het zijn niet jouw doelen en jouw gegevens. Afblijven; je beheert ze voor je klanten maar je mag alleen doen wat je klant expliciet heeft goedgekeurd en dan ook nog eens uitsluitend ten behoeve van die klant.
Doe je meer dan dat, dan ben je ineens zelfstandig verantwoordelijke en dan moet je zélf toestemming hebben gekregen (of een andere grond uit de privacywet hebben) om aan de slag te mogen met die gegevens. En dat had Snappet niet.
In theorie is dit op te lossen: de school kan aan ouders toestemming vragen voor het beoogde gebruik door Snappet, en dan vervolgens Snappet melden dat het in orde is. Maar dan moet je als school wel diepgaand nagaan wat die apps allemaal doen en waarom, en volgens mij ontbreekt het in de praktijk vaak aan de daarvoor benodigde kennis. Wat ergens wel zorgelijk is – als we alles via apps gaan doen, moeten we dan niet eerst allemaal snappen wat apps doen?
Arnoud