Veel ouders, docenten, leerlingen en studenten maken zich zorgen over persoonsgegevens die worden verzameld bij digitaal thuisonderwijs tijdens de coronacrisis.
Dit blijkt uit de grote hoeveelheid signalen die de Autoriteit Persoonsgegevens (AP) hierover ontvangt. De AP deelt deze zorgen en gaat daarom bij onderwijsinstellingen na of zij de privacy wel goed op orde hebben.
Ouders en studenten vragen zich bijvoorbeeld af of de systemen die scholen gebruiken om te videobellen wel veilig zijn, of gegevens niet in verkeerde handen kunnen vallen en wat er precies met al die gegevens gebeurt.
Thuisonderwijs tijdens corona
Nederland heeft ongeveer 2 miljoen leerlingen en studenten. Een groot deel van hen krijgt op dit moment thuis les via beeldbellen. Of maakt thuis tentamens of toetsen onder toezicht van een webcam.
Onderwijsinstellingen hebben hiervoor onder grote druk technische maatregelen moeten nemen. Zodat leerlingen en studenten ook tijdens de coronacrisis goed onderwijs krijgen.
Wat zeggen de gegevens?
Er is veel informatie te halen uit de beelden die bij beeldbellen en proctoring (digitaal surveilleren) worden verzonden naar onderwijsinstellingen of medestudenten.
Allereerst over hoe leerlingen of studenten presteren, hoe zij zich gedragen en hoe het is gesteld met hun concentratie. Maar bijvoorbeeld ook over religieuze uitingen of wat gezinsleden doen die in de achtergrond zichtbaar zijn.
In tegenstelling tot in de normale lespraktijk, kunnen deze observaties nu makkelijk worden opgeslagen en verspreid.
Let op bij digitaal surveilleren
Sommige onderwijsinstellingen maken gebruik van proctoring. Hierbij monitoren zij online leerlingen of studenten tijdens een toets of tentamen.
De leerlingen of studenten moeten bijvoorbeeld foto’s maken van de ruimte waar zij zijn.
Verder kijkt de onderwijsinstelling mee op hun scherm, registreert deze toetsaanslagen en houdt deze via een of meerdere webcams hun gedrag in de gaten. Soms moet een leerling of student hier aparte software voor installeren.
Met een dergelijk systeem kan volgens veel en gevoelige informatie worden verzameld en verwerkt. Daarom moeten onderwijsinstellingen zich afvragen of al deze gegevens daadwerkelijk noodzakelijk zijn. En of er geen andere manier is om examenfraude te bestrijden, die minder impact heeft op leerlingen en studenten.
Onderwijsinstelling verantwoordelijk
Als onderwijsinstellingen beeldbellen en/of proctoring gebruiken, zijn zij verantwoordelijk zijn voor de verwerking van persoonsgegevens. Dat bepaalt de privacywetgeving. Daarom moeten onderwijsinstellingen hoge eisen stellen aan de leveranciers van deze systemen.
Het systeem mag niet meer gegevens verwerken dan noodzakelijk en deze gegevens mogen niet langer worden bewaard dan noodzakelijk.
Verder moeten onderwijsinstellingen hun leerlingen, studenten, docenten en de ouders van minderjarige kinderen informeren over hoe hun persoonsgegevens worden beschermd.
De AP heeft dit onderstreept richting de onderwijskoepels. Daarnaast gaat de AP bij onderwijsinstellingen na of zij voldoende werk maken van het beschermen van de privacy van hun leerlingen of studenten. Zij moeten aantonen hoe zij dit doen. Daarna bekijkt de AP of vervolgstappen nodig zijn.
Het is belangrijk deze check te doen. Leerlingen en studenten moeten er namelijk op kunnen vertrouwen dat hun onderwijsinstelling zorgvuldig met hun (gevoelige) informatie omspringt.
‘Geen ondergeschoven kind’
“Alle leerlingen moeten zonder stempel kunnen opgroeien”, zegt bestuurslid Katja Mur van de Autoriteit Persoonsgegevens. “Hun privacy is van groot belang en wordt extra beschermd in de privacywetgeving. Onveilige oplossingen kunnen risico’s opleveren voor de toekomst van leerlingen. Deze dataverwerking mag geen ondergeschoven kind van de coronacrisis worden. Wij wijzen onderwijsinstellingen er daarom op zorgvuldige keuzes te maken en ondersteunen hen hierin met een aantal tips.”
Schoolfoto’s en de AVG. Dat is een repeterende frustratie voor scholen, ouders en leerlingen.
Hele klassen staan sinds 25 mei 2018 net als criminelen vanwege de nieuwe Algemene Verordening Gegevensbescherming (AVG) met een zwarte balk voor hun gezicht op een klassenfoto.
Hoe pakken ze dat in de rest van Europa aan?
De Algemene Verordening Gegevensbescherming (AVG) is een Europese privacywet. De privacyregels worden geacht in de hele EU vrijwel gelijk te zijn.
De nationale Autoriteiten Persoonsgegevens werken nauw samen. Dan zou je toch ook eenduidige uitleg van de regels mogen verwachten.
Helemaal als er in één land meerdere toezichthouders zijn, zoals in Duitsland.
De Duitsers hebben een nationale Autoriteit Persoonsgegevens en daarnaast ook nog een toezichthouder per bondstaat. In totaal telt Duitsland zo 18 toezichthouders.
De schoolfotokwestie leeft ook in Duitsland.
Bij veel Duitse scholen wordt net als in Nederland een keer per jaar een externe professionele schoolfotograaf gevraagd om klassenfoto’s en leerlingenfoto’s te maken.
Waarmee moeten scholen sinds de invoering van de AVG rekening houden bij het inhuren van een externe fotograaf?
In het kader van de AVG is het van belang om te weten of de school opdrachtgever is of alleen toestemming geeft voor het maken van schoolfoto’s.
In de meeste gevallen geeft de school alleen toestemming. En dat maakt een wezenlijk verschil voor de AVG.
Als de school alleen toestemming geeft, is er geen contractuele relatie tussen de school en de fotograaf.
In dat geval betreft het alleen een overeenkomst van de fotograaf met leerlingen en ouders en staat de school er qua AVG volkomen buiten.
Maar als de school wel zelf rechtstreeks aan de fotograaf opdracht geeft voor het maken van de klassenfoto’s ligt de zaak anders. In dat geval moet er volgens de AVG door de school een verwerkingsovereenkomst afgesloten worden met de fotograaf.
Het Unabhängige Landeszentrum für Datenschutz, ULD (de toezichthoudende autoriteit voor gegevensbescherming in de Duitse deelstaat Sleeswijk-Holstein) gaat bij schoolfoto’s van het eerste scenario uit. Het is een zaak tussen de ouders en /of leerlingen en de fotograaf. Een verwerkingsovereenkomst is volgens de ULD niet nodig.
Zelfs als de school de fotografielijsten, adressen enz. van tevoren opstuurt, is er volgens de ULD nog geen verwerkingsovereenkomst nodig.
Deze visie lijkt logisch, want de focus van de gegevensverwerking van de fotograaf ligt niet op de verwerking van de gegevens, maar op de onafhankelijke creatie en verwerking van de foto’s, die hij onder zijn eigen verantwoordelijkheid maakt.
De onafhankelijke selectie van beelden en de artistieke vrijheid van de fotograaf duiden er ook op dat er geen sprake is van de verwerking van een opdracht van de school, meent de ULD van Sleeswijk-Holstein.
Voor de overdracht van de klassenlijsten en andere gegevens aan de fotograaf is bovendien altijd de voorafgaande toestemming van de ouder of voogd vereist.
Toezichthouder in Beieren vindt dat de school wel opdrachtgever is
De Beierse staatscommissaris voor gegevensbescherming, de autoriteit die verantwoordelijk is voor de publieke sector in de Duitse deelstaat Beieren, is een heel andere mening toegedaan. Er moet volgens de Beierse toezichthouder wel van worden uitgegaan dat de foto‘s in opdracht van de school worden gemaakt.
De school is volgens de Beierse Autoriteit Persoonsgegevens de verantwoordelijke persoon in de bovenstaande constellatie en moet een schriftelijk contract afsluiten met de fotograaf dat voldoet aan de eisen van Art. 28 (3) AVG.
Bovendien moet de school zich ervan vergewissen dat de gekozen fotograaf ervoor kan zorgen dat de verwerking van de persoonsgegevens van de leerlingen alleen in overeenstemming met de AGV wordt uitgevoerd.
Juridisch betekent dit dat de voor de verwerking verantwoordelijke alleen mag werken met verwerkers die voldoende garanties bieden dat passende technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de verwerking wordt uitgevoerd in overeenstemming met de eisen van deze verordening en dat de rechten van de betrokkene worden beschermd.
Twee toezichthouders, twee verschillende meningen
De toezichthouders in Sleeswijk-Holstein in Noord-Duitsland en Beieren in Zuid-Duitsland geven kortom ieder een andere uitleg aan de AVG. En dat is verwarrend voor buitenstaanders als scholen, ouders, leerlingen en fotografen. Die willen eenduidige uitleg van regels.
Voor beide intrepretaties valt iets te zeggen. Die van Sleeswijk-Holstein zal bij de meeste mensen de voorkeur hebben. Maar als de Beierse uitleg de definitieve uitleg is valt daar ook mee te leven. Dan is er tenminste duidelijkheid.
Wat vindt de Nederlandse Autoriteit Persoonsgegevens?
De Nederlandse Autoriteit Persoonsgegevens lijkt op de lijn van de Beierse toezichthouder te zitten. De Nederlandse AP raadt scholen aan om aan het begin van het schooljaar bij alle ouders en leerlingen vanaf 16 jaar te vragen waarvoor zij toestemming geven: wel of niet op klassenfoto’s, wel of niet op beelden op de website, wel of niet met naam in de krant als je geslaagd bent, etc.
Kortom: er is verdeeldheid in Europa tussen de verschillende toezichthouders. Het is zaak dat de Europese toezichthouders de rijen sluiten.
Welke leerlingen mogen gefotografeerd worden?
Terug naar de foto’s en de leerlingen. Welke leerlingen mogen überhaupt gefotografeerd worden?
Hier is het heel eenvoudig en iedereen is het daarmee eens: alleen leerlingen die (of hun wettelijke voogd) toestemming hebben gegeven aan de school om de foto’s te maken, mogen gefotografeerd worden.
Art. 7 AVG regelt de voorwaarden voor toestemming. De belangrijkste kenmerken zijn dat de toestemming moet worden gevraagd en dat die vrijwillig moet zijn gegeven. Met andere woorden, het moet duidelijk zijn voor welk specifiek doel de foto’s worden genomen, in welke vorm en hoe lang ze worden opgeslagen, wie er toegang toe heeft en aan wie ze mogen worden doorgegeven.
Ook mag een verwijzing naar de regel dat de toestemming te allen tijde kan worden ingetrokken, niet ontbreken.
Onherkenbaar maken niet nodig als één leerling toestemming intrekt
Maar wat gebeurt er dan als achteraf één van de leerlingen op de klassenfoto zijn toestemming intrekt? Moeten alle foto’s dan worden vernietigd? Moeten er gezichten worden zwart gemaakt?
Nee! Dat is niet nodig.
De herroeping heeft geen invloed op de foto’s die vóór de herroeping zijn gemaakt, maar is alleen van kracht voor de toekomst.
De meerderheid van de gefotografeerde leerlingen is waarschijnlijk minderjarig, dus hun ouders of voogden moeten hun toestemming geven.
Voor jongeren ouder dan 14 jaar moeten ook de jongeren zelf toestemming geven.
Een middelbare school in de Drentse provinciehoofdstad Assen heeft in verband met de Algemene Verordening Gegevensbescherming (AVG) leerlingen verboden om een WhatsApp-groep aan te maken met en voor klasgenoten.
Volgens de Autoriteit Persoonsgegevens, die toeziet op naleving van de privacywet, is dat niet nodig.
De school denkt de privacy van de leerlingen te moeten beschermen.
“Dat kunnen we niet plaatsen. Het staat niet in de wet dat het niet mag. Wat we wel zien is dat scholen heel voorzichtig zijn geworden. En daardoor soms misschien té rigoureus in wat ze allemaal verbieden of tegenhouden. Een appgroep kan juist heel functioneel zijn en bijdragen aan goed onderwijs.”
Volgens Gras is de wet niet te ingewikkeld, maar “passend bij de ingewikkelde maatschappij. Als je een goede reden hebt om persoonsgegevens aan te leveren, kan er heel veel.”
Klacht indienen
Scholen die de regels overtreden hoeven volgens Gras niet direct bang te zijn voor sancties, al is dat in tegenspraak met een uitlating die ze even later doet.
“Nogmaals: de achterliggende gedachte is beschermen”, zegt Gras. “Mocht een school iets doen dat niet de bedoeling is, dan kunnen ouders of leerlingen zelf bij de school aan de bel trekken. Kom je er niet uit, dan kan je bij ons een klacht indienen.”
Sinds de invoering van de wet is de Autoriteit Persoonsgegevens verplicht alle klachten op te pakken. “We kijken er zorgvuldig naar en doen dan een uitspraak.”
Als de dood voor hoge boete
En die laatste uitleg is nou net de reden dat veel scholen het zekere voor het onzekere nemen. Bij twijfel niet doen. Want schoolbestuurders zijn als de dood dat hun school torenhoge boetes krijgt opgelegd vanwege een overtreding. En de bestuurders zijn ook nog eens hoofdelijk aansprakelijk.
Logisch dat die bestuurders geen risico willen nemen.
Waarom bestaat er geen AVG boetelijst?
Als de Autoriteit Persoonsgegevens verplicht is om klachten te beoordelen en een uitspraak te doen wil iedereen graag weten wat er dan verwacht kan worden.
Worden er eerst waarschuwingen uitgedeeld?
Of worden er meteen boetes opgelegd?
En hoe hoog zijn die boetes dan?
Niemand die het weet.
En er is nog geen jurisprudentie.
In heel Europa nog niet.
Wie een verkeersovertreding begaat kan de hoogte van een boete meteen aflezen in een overzicht van justitie.
Waarom is er niet zo’n lijst van de Autoriteit Persoonsgegevens die op basis van de AVG aan andere organisaties oplegt om zo transparant mogelijk te zijn?
Niemand hoeft bang te zijn?
Volgens de Autoriteit Persoonsgegevens kan er dus nog steeds veel en hoeft niemand bang te zijn.
Terwijl juist de onduidelijkheid en het gebrek aan jurisprudentie wel voor angst zorgt.
Wat betreft de onduidelijkheid over het gebruik van Whatsapp op scholen lijkt er nu dus wel duidelijkheid.
De Autoriteit zegt dat het mag.
In dit geval is dat ook logisch. De Whatsapp groepen worden aangemaakt door leerlingen. Niet door de school. Die had en heeft er dus niets over te zeggen.
Hoe zit het met bedrijfsmatige Whatsapp?
Maar hoe zit het dan als de Whatsappgroep wordt aangemaakt door de school zelf?
Of door een andere organisatie?
Whatsapp maakt automatisch gebruik van de contactenlijst op je telefoon. Contacten die misschien geen toestemming hebben gegeven om hun gegevens te delen met Whatsapp.
Jammer dat RTV Noord daar niet over heeft doorgevraagd.
Toch nog onduidelijkheid. PrivacyZone zal de Autoriteit Persoonsgegevens zelf maar eens om opheldering vragen.
De Algemene Verordening Gegevensbescherming zorgt voor verwarring en irritatie. Apothekers die van wege de AVG plotseling geen medicijnen meer meegeven voor je partner. Dat is toch niet praktisch in een tijd dat er door de overheid meer mantelzorg vereist wordt?
Studenten die plots een nummer geworden zijn in schoolroosters. Voelt niet goed en is lastig. Moet dat nou zo?
RTL Nieuws zocht het uit.
De apotheker heeft gelijk. Hij mag medicijnen voor een ander alleen meegeven als daar een machtiging voor is afgegeven. Maar dat was altijd al zo. Apothekers die dat tot dusver niet deden waren dus in overtreding.
Onderwijsinstellingen die denken te voldoen aan de AVG door namen van studenten te ‘anonimiseren’ door een nummer te gebruiken slaan de plank mis. De nummers zijn te herleiden tot de namen en worden daarom als persoonsgegevens gezien door de Autoriteit Persoonsgegevens. De scholen moeten voortaan persoonlijke roosters samenstellen per student.
