Privacy is een belangrijk thema waar tegelijkertijd nog maar beperkt aandacht voor is binnen onderwijsinstellingen. Op de conferentie Onderwijsvernieuwing en ICT geven Job Vos en Erwin Bomas van Kennisnet er een presentatie over.
In 454 is de eed van Hippocratus ontstaan. In de eed belooft een arts dat hij de gegevens van zijn patiënt geheim houdt. Privacy is ook opgenomen in artikel 12 van de
Universele Verklaring van de rechten van de mens. In 1983 is privacy pas in de Grondwet opgenomen. En de Wet op de Bescherming Persoonsgegevens dateert pas van 2001. In de kern komt privacy neer op
'your right to be left alone and to be in control of information about you'.
Bij privacy gaat het om gegevens die herleidbaar zijn tot een natuurlijk persoon. Privacybescherming geldt voor stelselmatig verwerken van gegevens, een studentadministratie bijvoorbeeld. Er is een belangrijke rol weggelegd voor de 'betrokkene' (data-subject), en tot en met 16 ook de ouders. Daarnaast is er de 'verantwoordelijke' voor de gegevensverwerking (directeur of CvB). Ook een leverancier van digitale systeem speelt een rol. Die moet bijvoorbeeld zorgen voor een goede beveiliging, al blijft de verantwoordelijkheid bij de verantwoordelijke.
Een aantal vuistregels voor het hanteren van privacy:
- Er moet een doel zijn voor de gegevensverwerking, bijvoorbeeld het verzorgen van onderwijs.
- De verwerking van gegevens moet in overeenstemming zijn met het doel. Je mag dus geen extra gegevens verzamelen, die niet bijdragen aan het doel.
- Je mag de gegevens niet voor iets anders gebruiken. Je mag geen namenlijst doorgeven aan een bedrijf zodat die aanbiedingen kan doen aan leerlingen.
- Er moet toestemming zijn. Voor veel zaken, zoals het leveren van gegevens aan DUO levert de wet al toestemming. In andere gevallen moeten studenten/ouders toestemming geven.
- Er mogen niet meer gegevens opgeslagen worden dan nodig: data-minimalisatie.
- Er moet sprake zijn van transparantie, er is een informatieplicht
Deze maand besteedt Kennisnet extra
aandacht aan privacy en internet. Er komt ook een privacyscan, een HoeZo over Recht en internet.
Europese regelgeving
Vanuit Europa komt er een algemene verordening gegevensbescherming. Daarin wordt aandacht besteed aan de snelle technologische ontwikkelingen. Daarmee ontstaat een Europese bescherming: 'one continent, one law'.
Daarin staat onder andere dat er een 'clear affirmative action' van de betrokkene nodig is. Geen verborgen tekstjes of kleine lettertjes waar je met een vinkje toestemming voor geeft, zonder dat je daadwerkelijk weet waarvoor je eigenlijk toestemming geeft.
Het gaat er om dat de burger in control is. Hij krijgt dan ook het recht op het wissen van gegevens. Dat is wel betrekkelijk, als een student vraagt om zijn geboortedatum uit het administratiesysteem te verwijderen kan dat niet omdat de wet verplicht dat de geboortedatum moet worden geregistreerd. Als school heb je dat gegeven dus nodig. Andere gegevens moeten op verzoek dus verwijderd kunnen worden. Het verwijderen heeft ook betrekking op gegevens die aan derden zijn doorgegeven, ook op backups. Het recht van de burger kan dus veel consequenties hebben.
De regeling kent zware sancties, die kunnen oplopen tot 2% van de jaaromzet, voor bedrijven als Google of Facebook kan dat behoorlijk in de papieren lopen.
Wat betekent dat voor scholen?
Scholen registreren en verwerken 'stelselmatig' gegevens. Daarbij moet je goed nadenken wat je daar verder mee doet. Eigenlijk mag je niet zomaar (zonder teostemming) een schoolgids uitbrengen met de namen van de kinderen in de klas. Een telefoonboom is ook niet vanzelfsprekend. Een namenlijst doorgeven aan een boekenhuis voor het leveren van leermiddelen kan weer wel (immers in belang van het verzorgen van onderwijs).
Erwin Bomas gaat in op 'privacy by design'.
Hij begint met een voorbeeld. Als je een fles drank koopt moet je je legitimeren om te laten zien dat je boven de 18 bent. Het tonen van een rijbewijs geeft echter veel meer informatie dan nodig. In feite is het tonen van een rijbewijs op zich al voldoende omdat je die alleen maar kunt hebben als je 18 bent. Daarom krijg je daar tegenwoordig vaak een beschermhoesje die bepaalde gegevens afschermt, als je je legitimeert.
In het onderwijs zijn er steeds meer datagedreven processen (cloud, big data, learning analytics). Daarnaast is er sprake van meer gepersonificeerd onderwijs. tegelijkertijd wordt er meer verantwoording gevraagd van de instelling. Die dingen botsen.
Daarvoor is het Privacy by design opgezet op basis van een zevental uitgangspunten.
Erwin neemt ons mee in een casestudie waarin via een portaal aan de leerling en ouder duidelijk maakt, welke gegevens door wie worden gebruikt. Zo zie je in een overzicht dat een uitgever over bepaalde gegevens beschikt. Als de ouder het kind naar een huiswerkbegeleider stuurt, kan die via het portaal toestemming vragen om bepaalde resultaten in te zien uit het leerling volgsysteem. Het is een projectie van de regelgeving op wat een school wellicht nodig zal hebben om het naar de studenten en ouders goed te regelen.
De discussie na de presentatie laat zien, dat er nog veel uitdagingen liggen voor instellingen om zaken goed te regelen. Sambo-ict / Kennisnet staat een online
leergang over privacy in het onderwijs.