Mag je als docent nog digitale tools gebruiken als de AVG van toepassing wordt?

Met ingang van 25 mei 2018 wordt de Algemene Verordening Gegevensverwerking (AVG) van toepassing. Vanochtend vroeg Amber Walraven (@amberwalraven) op twitter zich af of docenten nog verschillende digitale tools mogen gebruiken. In deze blogpost ga ik uitgebreider in op dit onderwerp.

De AVG (in het Engels: GDPR) is bedoeld om de privacy van burgers beter te beschermen. Deze wet is in heel Europa van kracht Eigenlijk al bijna twee jaar, al hebben organisaties twee jaar de tijd zich hier op voor te bereiden. Organisaties, zoals onderwijsinstellingen, moeten strenge maatregelen treffen om persoonsgegevens te beschermen. Persoonsgegevens zijn gegevens die iets zeggen over een persoon. Onder meer een naam, een mailadres maar ook meestal een studentnummer. Overtredingen worden zwaar bestraft. Organisaties moeten zich verantwoorden hoe men omgaat met persoonsgegevens.

Voorbeelden:

  • Organisaties moeten met leveranciers van o.a. digitale leeromgevingen een zogenaamde verwerkersovereenkomst afsluiten als data van lerenden op de servers van de leverancier worden opgeslagen en verwerkt. Instellingen lopen er nu tegenaan dat een aantal Amerikaanse leveranciers op dit moment geen verwerkersovereenkomst willen afsluiten. Turn It In is een bekend voorbeeld. Als deze leveranciers voor 25 mei a.s. geen verwerversovereenkomst hebben afgesloten met onderwijsinstellingen, dan mag je deze applicaties niet meer gebruiken. Het is te verwachten dat dit in veel gevallen op het laatste moment nog goed komt. Dit zal echter niet altijd het geval zijn.
  • Bij de Open Universiteit en bij Zuyd heb ik de afgelopen maanden documenten opgesteld over welke data we binnen de leeromgevingen opslaan, met welk doel en wie daar toegang toe heeft. Deze documenten worden beschikbaar gesteld aan studenten. De OU en Zuyd verantwoorden zich daarmee over wat en waarom zij bepaalde data opslaan.

Maar hoe zit het dan met het enorme scala aan applicaties die je als docent/leerkracht in je onderwijs wilt gebruiken? Denk aan Kahoot, Mentimeter, Padlet of Nearpod? Jij gebruikt vaak als individu die toepassingen in je onderwijs. Daardoor is jouw organisatie aansprakelijk. Jouw onderwijsinstelling wordt beboet als jij als docent niet aan deze verordening voldoet. Uiteraard zal jouw werkgever jou hierop aanspreken.

Voor deze applicaties geldt

  1. dat je ook een getekende verwerkersovereenkomst nodig hebt;
  2. dat er een alternatief voor lerenden moet zijn of dat lerenden zonder gevolgen ‘nee’ moeten kunnen zeggen tegen het gebruik;
  3. of dat je applicaties gebruikt waarin geen persoonsgegevens worden verwerkt.

De eerste optie kent een aantal issues:

  • De individuele docent wil een applicatie gebruiken, niet de instelling. Je moet dus medewerking vragen van jouw instelling. Die zullen daar niet op staan te wachten als het om tientallen applicaties gaat.
  • Kleine aanbieders van applicaties hebben niet de mogelijkheid om elke verwerkersovereenkomst juridisch te laten checken. De juridische kosten wegen niet op tegen de financiële baten (beperkte licentiekosten). Ik ken al voorbeelden van applicaties die om deze reden niet meer worden gebruikt.
  • Aanbieders van applicaties schrikken enorm terug van de claims die in de verwerkersovereenkomsten staan, en zijn daarom niet bereid deze te ondertekenen.
  • Aanbieders van applicaties ontwikkelen zelf eigen verwerkersovereenkomsten. Google is hier een voorbeeld van. Je moet ook klant zijn van Google, en niet alleen een ‘gratis’ account hebben. De verwerkersovereenkomsten van leveranciers moeten weer juridisch worden getoetst door onderwijsinstellingen. Deze gaan niet zonder meer akkoord met deze verwerkersovereenkomsten omdat ze mogelijk niet ‘AVG-proof’ zijn.

De tweede optie kent ook issues:

  • Niet-volwassenen Personen onder de 16 jaar mogen geen toestemming geven.
  • Er is vaak geen alternatief.
  • Het gebruik wordt minder zinvol als niet alle lerenden de applicatie gebruiken.

Optie drie leidt ertoe dat je geen applicaties kunt gebruiken waarbij lerenden een account moeten hebben of persé de eigen naam en/of mailadres moeten invullen. Je kunt wel werken met pseudoniemen.

De Autoriteit Persoonsgegevens -die in ons land zorgt voor naleving van de AVG- is positief over het gebruik van pseudoniemen (zie hun advies om leerlingen met een pseudoniem toegang te geven tot digitale leermiddelen en digitale toetsen). Zorg er in ieder geval voor dat het pseudoniem niet herleid kan worden naar het individu.

Gelukkig zijn er voldoende toepassingen die je nog wel kunt gebruiken omdat geen persoonsgegevens worden verwerkt of omdat je pseudoniemen kunt gebruiken. Tijdens workshops presenteer ik de laatste tijd technologieën waarbij dit het geval is.

  • Mentimeter. Lerenden vullen alleen een code in om een presentatie te kunnen gebruiken. Dit is echter geen persoonsgegeven.
  • Socrativ. Ook hierbij vullen lerenden alleen de code van een ruimte in (is geen persoonsgegeven).
  • Google Forms. Mits je geen naam vraagt. Als jouw instelling klant is Google dan beschik je over een verwerkersovereenkomst die voldoet aan de AVG (volgens Google). Dan kun je dus ook naar namen vragen.
  • Padlet. Lerenden kunnen ook anoniem berichten plaatsen.
  • Tricider: Lerenden kunnen ook anoniem berichten plaatsen.
  • TodaysMeet: Lerenden kunnen met een pseudoniem anoniem berichten plaatsen.
  • Nearpod: Lerenden kunnen met een code en een pseudoniem toegang krijgen.

Er zijn meer applicaties die lerenden zonder persoonsgegevens kunnen gebruiken.

Docenten zullen niet alleen vanuit didactisch oogpunt applicaties selecteren en gebruiken. Zij zullen ook kritischer moeten zijn op het gebruik van persoonsgegevens. Kleinschalige applicaties die persoonsgegevens -dus ook alleen een mailadres- verwerken, kunnen alleen maar nog worden gebruikt als er een getekende verwerkersovereenkomst ligt. Wat dat betreft wordt de autonomie van docenten ingeperkt. Gelukkig zijn er nog zat toepassingen die wel kunnen worden gebruikt!

Dit betekent inderdaad meer ‘gedoe’ voor onderwijsinstellingen en hun medewerkers. Voor bescherming van privacy van gegevens van lerenden moet je wat mij betreft echter wat over hebben.

Zie ook: Hoe kun je als docent meer bewust worden van (digitale) informatiebeveiliging en privacy?

Update 3 maart 2018: zie ook Reacties op twee vragen bij het gebruik van digitale tools door docenten als de AVG van toepassing wordt

Update 6 maart 2018: ik heb deze bijdrage geplaatst in de Linked-In groep over privacy en security en gevraagd of juristen feedback willen geven. Eén reactie luidde: “Let er wel op dat slechts pseudonomisering geen optie is. Een pseudoniem is per definitie een gegeven dat te herleiden is tot de persoon.” In het bovenstaande is het pseudoniem niet herleidbaar tot de persoon. De tweede reactie was: “Een studentnummer is niet altijd en voor iedereen een persoonsgegeven. Alleen voor diegenen die ook over andere gegevens beschikken waardoor een individu te herleiden valt.
2. ‘Niet-volwassenen mogen geen toestemming geven.’. De AVG noemt personen onder de 16 jaar, niet het criterium van volwassenen als zijnde personen van minimaal 18 jaar.” Ik heb de tekst hierop aangepast.

Disclaimer: ik ben geen jurist. Ik heb me de afgelopen maanden wel intensief bezig gehouden met dit onderwerp. Raadpleeg Arnoud Engelfriet als je nog twijfelt.

This content is published under the Attribution 3.0 Unported license.

Delen

12 reacties

  1. Ha Wilfred,
    Dank voor je blog! Ik heb er vandaag veel over gesproken (vooral veel gevraagd!) en ben er nog niet uit. Gaat het alleen om leerlinggegevens, of ook om gegevens van docenten. Als docent moet ik namelijk wel eea achterlaten om een Nearpod- of Socrativeaccount te maken. Leerlingen kunnen anoniem zijn, maar ik zelf niet. Ik kreeg het antwoord dat in zo’n geval OOK een overeenkomst moet worden gesloten. Dat lijkt me voor experimenterende en innoverende docenten best lastig. Want hoe kan je er dan achter komen of de app iets voor je praktijk zou kunnen zijn?

  2. Voor de scholen die mijn toolkit toepassen, maar ik gebruik van het Privacyconvenant (https://www.privacyconvenant.nl/). Dat is heel overzichtelijk voor alle partijen. Ook voor mij als kleine leverancier.

    Zeker omdat het in mijn geval gaat om learning analytics, moet er wel goed gekeken worden naar wie wat mag zien. Nu kunnen bijvoorbeeld, bij een aantal scholen, docenten alle klassen analyseren. Mogelijk moet dit straks aangepast worden naar alleen die klassen die je ook daadwerkelijk op het rooster hebt staan. Ook moet goed worden gekeken welke detailinformatie voor welke persoon zichtbaar moet zijn.

  3. Om het nog complexer te maken, AVG/GDPR en dat weer in relatie tot de USA Patriot Act. De vier meest belangrijke middelen die de Amerikaanse overheid heeft gekregen na de invoering van de Patriot Act zijn;
    1. De regels voor het afluisteren zijn sterk versoepeld;
    2. Informatie tussen verschillende overheidsinstanties mag worden uitgewisseld;
    3. Niet Amerikanen worden strenger in de gaten gehouden;

    De meest belangrijke verandering waar het meeste ophef over is ontstaan en die ook direct invloed heeft op de AVG/GDPR betreft:

    4. De National Security Letter.

    Deze speciale brief kan worden gestuurd zonder dat een gerechtelijk bevel wordt ingezet, waarbij de betreffende organisatie de overheid toegang moet geven tot vertrouwelijke gegevens van de klant. Een spreekverbod aan de betreffende organisatie zorgt ervoor dat de betreffende klanten hierover niet worden geïnformeerd. Verder geldt dit niet alleen voor Amerikaanse bedrijven, maar ook voor bedrijven die een vestiging of zelfs een server op Amerikaans grondgebied heeft staan. Hierdoor kunnen veel cloud providers niet garanderen dat data op hun servers privé blijft.

  4. Je kunt docenten niet verplichten hun persoonsgegevens bij Mentimeter achter te laten. Maar de docent kan er zelf wel voor kiezen. Je hoeft niet anoniem te zijn. Jij hebt de keuze of je persoonsgegevens bij Nearpod etc achter te laten.

  5. Is dat convenant AVG-proof. Amerikaanse leveranciers hebben vaak verklaringen waarin zij beloftes doen. Dat is echter niet altijd voldoende.

  6. Daarom moet data ook in Europa worden bewaard. A propos: de Nederlandse overheid is ook geen heilig boontje.

  7. Dat betwijfel ik. Maar wellicht denken de opstellers van het convenant daar anders over. In elk geval zie ik zo snel geen namen van (grote) Amerikaanse bedrijven tussen de deelnemers staan.

  8. Bijzonder nuttig, bedankt! Kunnen Quizlet (live) en Educaplay volgens optie 3 privacyverantwoord gebruikt worden?

  9. Ik gebruik deze twee apps niet. Heb wel begrepen dat je als lerende voor Quizlet een account nodig hebt. Dan heb je dus een verwerkersovereenkomst nodig.

  10. Voor quizlet hebben leerlingen geen account nodig. Wanneer zij zonder account oefenen, is het alleen niet mogelijk om hun voortgang bij te houden.

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *