De afgelopen week ontstond er de nodige reuring omtrent ogenschijnlijke privacyschending op basisscholen. RTL Nieuws berichtte dat privégegevens van leerlingen zouden worden doorgespeeld aan uitgevers. Ik wil dit incident in een wat breder perspectief plaatsen.
Mede naar aanleiding van mijn bezoek aan de Online Educa Berlijn -ik ‘mag’ deze week weer- heb ik me regelmatig kritisch uitgelaten over de wijze waarop ‘databaronnen’ als Pearson en Knewton omgaan met ‘big data’ van lerenden. Zij verzamelen, bezitten en analyseren veel data van lerenden (zoals loggegevens en cijfers), en gebruiken deze data om bijvoorbeeld aanbevelingen te doen over te bestuderen leermaterialen en andere diensten (uiteraard van de ‘learning service provider’ zelf).
Het gebruik van data voor adaptief leren biedt uiteraard mogelijkheden voor meer effectief en efficiënt onderwijs, maar het kan uiteraard ook verkeerd uitpakken. In de eerste plaats is het de vraag of je deze data commercieel zou moeten gebruiken. Ik houd graag commercie zo veel mogelijk uit ons onderwijs, vooral het onderwijs van zeer jonge kinderen. Op de tweede plaats vraag ik me af of we al ‘slim’ genoeg zijn om deze data op een goede manier te interpreteren. Verkeerde interpretaties kunnen tot “kafkaëske” situaties leiden.
Ik deel ook de mening van Victor Mayer-Schönberger dat je het risico loopt je leven lang geconfronteerd te worden met oude fouten (terwijl het maken van fouten belangrijk is voor leren), en dat toekomstig gedrag ook beïnvloed kan worden door big data (self-fulfilling prophecy). Mayer-Schönberger verzorgt overigens komend jaar in ons land een presentatie tijdens de Next Learning.
Verleden jaar schreef ik bijvoorbeeld naar aanleiding van de Online Educa Berlijn:
Voordat learning analytics op meso- of macroniveau grootschalig wordt toegepast, zal eerst onderzoek uitgevoerd moeten worden naar resultaten en effecten van pilots. Verder zullen er waarborgen moeten komen op het gebied van dataprotectie en privacybescherming. Uiteindelijk zou de lerende moeten kunnen beslissen wat er met de data gebeurd na afronding van een opleiding.
Ik ben voorstander van ‘learning analytics op microniveau’, maar ben dus vooralsnog terughoudend in het grootschalig toepassen van learning analytics op organisatieniveau of op organisatie-overstijgend niveau.
En toen was er deze week de ophef over Basispoort. Dit is een ‘pre-competitieve stichting’ van zeven commerciële partijen die single sign on realiseert zodat leerlingen en leerkrachten van basisscholen gemakkelijker toegang kunnen krijgen tot het online educatief materiaal van de commerciële partijen. Via deze stichting zouden veel leerlinggegevens in handen komen van commerciële dienstverleners.
Naar aanleiding van de ophef stelt Basispoort dat op hun privacypagina te lezen is welke leerling-gegevens met welk doel door hen worden opgeslagen. Op deze pagina lees ik dat de gegevens worden versleuteld, en dat er door Basispoort bijvoorbeeld geen leer- of toetsresultaten worden opgeslagen of uitgewisseld. Je moet echter naar de gebruikersovereenkomst om bij Artikel 10 te lezen dat de volgende leerling-gegevens worden verwerkt:
Basispoort ID (aangemaakt door Basispoort), voornaam, achternaam, tussenvoegsel, geboortedatum, leerlingkey, groepskey, groepsnaam, jaargroep, geslacht en BRIN;
Deze informatie staat haaks op de berichtgeving van RTL Nieuws, waarin wordt aangegeven dat uitgevers via Basispoort wel degelijk persoonsgegevens van kinderen aan leerprestaties koppelen. Als dat inderdaad het geval is, dan gelden wat mij betreft de hierboven genoemde bezwaren tegen ‘big data’.
Als Basispoort echter geen leer- of toetsresultaten opslaat of uitwisselt, en als uitgevers niet in staat zijn om -al dan niet via Basispoort- persoonsgegevens te koppelen aan toetsuitslagen, dan zijn er nog steeds kritische noten te kraken.
- De pagina over privacy van Basispoort bevat, zoals hoogleraar Bart Jacobs ook aangeeft, zeer summiere informatie over welke gegevens men op welke manier opslaat, en wat men met de data doet. Leer- of toetsresultaten worden schijnbaar niet opgeslagen of uitgewisseld. Maar wat wel? Basispoort zou daar veel transparanter in moeten zijn. Je moet nu naar de gebruikersvoorwaarden om daar achter te komen.
- Basispoort is een stichting van commerciële partijen. Wat zijn hun plannen? Wie zegt dat men op termijn niet meer gegevens gaat opslaan of andere dingen gaat doen met de data? De stichting kan zelf de gebruikersvoorwaarden veranderen, en wie neemt daarna de moeite om de veranderde voorwaarden te bestuderen? Bovendien ben je tegen die tijd als school al behoorlijk afhankelijk van Basispoort.
’Big data’ zijn ‘big business’. Dat weten de commerciële partijen achter Basispoort ongetwijfeld ook. - Basispoort verzamelt informatie die m.i. niet noodzakelijk zijn voor single sign on. Waarom importeert men bijvoorbeeld de geboortedatum en het geslacht? Wat doet men met deze data?
- Binnen het hoger onderwijs wordt gebruik gemaakt van SURFconext. Daarmee kunnen betrokkenen ook via ‘één keer inloggen’ gebruik maken van meerdere online diensten. Het grote verschil is echter dat Surf ‘van het onderwijs’ is. Kennisnet heeft Kennisnet Federatie geïnitieerd waarmee ook single sign-on wordt gerealiseerd. Hierin zijn onderwijsinstellingen en leveranciers van educatieve content verenigd. Ik weet er het fijne niet van, maar ik vraag me wel af waarom de initiatiefnemers Basispoort hebben opgericht als het doel hiervan hetzelfde doel is als van Kennisnet Federatie. Enkele participanten van Basispoort zijn ook aangesloten bij Kennisnet Federatie.
- Wat zegt het feit dat Stichting Basispoort scholen heeft weten te verplichten gebruik te maken van hun service over de aandacht voor en kracht van het primair onderwijs op het gebied van strategisch ICT-beleid? Uiteraard pleit de PO-Raad nu wel voor publiek toezicht op het beheer van leerling-gegevens.
Ik vind dit incident dan ook geen storm in een glas water, maar hoop dat dit incident aanleiding is voor een meer fundamenteel en kritisch debat over ‘big data’ binnen het Nederlandse onderwijs en de rol die commerciële partijen daar bij spelen of kunnen gaan spelen. Het wordt tijd dat waarborgen ten aanzien van transparantie en bescherming van gebruikers meer in de pas gaan lopen met de mogelijkheden die ICT ons biedt om grote hoeveelheden data te verzamelen, te analyseren en te gebruiken.
Dit zou dan tevens het begin kunnen zijn om eens wat fundamenteler na te denken over ‘big data’, eigenaarschap van data en privacy in het algemeen.
Nota bene: een zo veilig mogelijke online omgeving is uiteraard ook van essentieel belang.
This content is published under the Attribution 3.0 Unported license.
Voor de geïnteresseerden mijn bijdrage over dit onderwerp op mijn blog: http://witblauw.blogspot.nl/2014/12/basispoort-privacy-rtl.html
Vanuit SCOH zitten we erg dicht op het thema privacy en informatiebeveiliging. RTL vertelt ook dingen niet.