Privacy-uitdagingen voor het onderwijs (volgens de Autoriteit Persoonsgegevens)

De Autoriteit Persoonsgegevens (AP) heeft in een recent rapport de belangrijkste trends en ontwikkelingen op het gebied van privacy in de Nederlandse onderwijssector geanalyseerd, met een focus op de periode 2021-2022 en deels begin 2023. Dit rapport belicht vorderingen en uitdagingen in het naleven van de Algemene verordening gegevensbescherming (AVG) binnen het onderwijs.

Privacy
Foto: Christoph Meinersmann, Pixabay

Een eerste trend is dat onderwijsinstellingen geconfronteerd worden met maatschappelijke uitdagingen, zoals het psychisch welzijn van lerenden, veiligheid en kansengelijkheid. Deze thema’s vereisen vaak de verwerking van persoonsgegevens, waarbij onderwijsinstellingen volgens de AP worstelen met de vraag of er een wettelijke grondslag is voor dergelijke verwerkingen, vooral als het om gevoelige gegevens gaat.

Een tweede belangrijke trend is de opkomst van algoritmes en AI in het onderwijs. Deze technologieën bieden volgens het rapport kansen voor het onderwijs, maar brengen ook risico’s met zich mee, zoals vooringenomenheid (bias), verlies van controle over persoonsgegevens en ethische vraagstukken over de autonomie van docenten en lerenden. De AP benadrukt het belang van beleidsstrategieën en beheersingsprocessen voor algoritmes en AI in onderwijsinstellingen. Het vergroten van kennis op het gebied van AI wordt ook onderstreept.

Een derde trend is de uitdaging van schaduw-ICT, waarbij onderwijsinstellingen moeite hebben om overzicht te houden op alle gegevensverwerkingen. De autonome positie van docenten en het gebruik van diverse apps en software vergroten deze uitdaging, met risico’s voor de privacy van betrokkenen.

Op de vierde en laatste plaats signaleert de AP onduidelijkheid rondom het gebruik van onderzoeksgegevens, met name de anonimisering ervan en het hergebruik van gegevens voor nieuw onderzoek. Samenwerkingen op nationaal en internationaal niveau brengen extra complexiteit met zich mee in het vaststellen van verantwoordelijkheden onder de AVG.

In het tweede hoofdstuk belicht de AP de ontwikkelingen over de periode 2021-2022. Sinds recente cyberaanvallen is de focus op informatiebeveiliging en privacy binnen het onderwijs volgens de AP sterk is toegenomen. In mei 2021 adviseerde de AP de ministers van Onderwijs, Cultuur en Wetenschap (OCW) om een coördinerende rol op zich te nemen voor gegevensbescherming binnen het onderwijs, en om data protection impact assessments (DPIA’s) uit te voeren op veelgebruikte digitale middelen. De ministers van OCW kondigden in juli 2022 aan in te zetten op de verhoging van digitale veiligheid in onderwijs en onderzoek.

In SURF-verband wordt het toetsingskader privacy doorontwikkeld voor hoger onderwijs en mbo, om instellingen te helpen hun volwassenheidsniveau op het gebied van gegevensbescherming te bepalen. Er is geen verplichting om aan een bepaald niveau te voldoen, maar het mbo overweegt een ambitieniveau in te stellen.

Er worden eveneens zorgen geuit of kleinere onderwijsinstellingen en besturen de middelen hebben om aan deze normenkaders te voldoen. Samenwerkingsorganisaties zoals SURF/SIVON helpen bij de praktische toepassing van kennis, maar het blijft een uitdaging, schrijft de AP.

Er is verder sprake van een toename in samenwerking om AVG-compliance gezamenlijk te organiseren, waarbij gemeenschappelijke diensten ontwikkeld worden om de lasten voor kleine onderwijsinstellingen te verminderen. Dit omvat ondersteuning bij het toetsen van verwerkersovereenkomsten, het uitvoeren van DPIA’s op softwareapplicaties en de ontwikkeling van een Computer Emergency Response Team (CERT). Ook worden er in het rapport zorgen geuit over de macht van grote (inter)nationale leveranciers in het gedigitaliseerde onderwijs en het vaststellen van adequate waarborgen voor gegevensbescherming. Ondanks de uitdagingen wordt er volgens de AP vooruitgang geboekt in het stellen van AVG-randvoorwaarden en eisen aan grote leveranciers.

Hoofdstuk 3 bevat een beschrijving hoe het onderwijs zichzelf op dit terrein beoordeelt.  De AP constateert dat de onderwijssector in het algemeen positief staat tegenover de naleving van de AVG, maar dat er uitdagingen zijn zoals beperkingen in tijd, geld en capaciteit. Uit zelfevaluaties blijkt dat grote onderwijsinstellingen over het algemeen verder zijn in hun privacy-compliance dan kleinere instellingen. Er is vooruitgang in leiderschap, risicobeoordelingen en transparantie, maar de uitvoering van beleid en zelfmonitoring blijven uitdagingen. Op het gebied van leiderschap en toezicht blijken lagere managementlagen bijvoorbeeld soms nog onvoldoende betrokken te zijn. Het vertalen van beleid naar de praktijk, inclusief risicomanagement, is volgens AP een stap die veel instellingen nog moeten maken. Autonomie van docenten en de diversiteit aan software en onderzoeksprojecten maken het behouden van overzicht over alle verwerkingen van persoonsgegevens ‘uitdagend’. De AP merkt ook op dat scholing en training aan onderwijspersoneel belangrijk zijn voor bewustwording. De AP benadrukt de noodzaak van verbetering, vooral bij kleinere instellingen.

De AP concludeert dat de basis AVG-compliance verbetert, maar nog steeds verbetering nodig heeft. De AP benadrukt het belang van awareness, beleid voor de werkvloer, en dataminimalisatie. Ook merkt de AP op dat het onderwijs de ideale plek is om kennis over veilig omgaan met digitale technologie over te dragen.

De AP beschrijft ook wat men heeft gedaan op het gebied van toezicht. De toekomstige focus van de AP binnen de sector omvat onder andere aandacht voor de inzet van algoritmes en AI, het ontwikkelen van nadere ‘guidance’ over de verwerking van persoonsgegevens voor onderzoek, en het volgen van cross-sectorale gegevensdeling. De AP ziet echter uitdagingen in het toezicht houden op online bescherming van lerenden door beperkte middelen en capaciteit.

De AP vindt het positief dat de onderwijssector zich de afgelopen jaren sterk heeft ingezet om de naleving van de privacywetgeving te verhogen met zelfregulering. En dat er steeds meer samenwerking is. Over het algemeen is de onderwijssector dan ook van goede wil om te voldoen aan de privacywetgeving. Dat neemt echter niet weg dat de AP ziet dat er nog steeds verbeteringen nodig zijn om de basis op orde te krijgen.

Ik herken veel van wat de AP schrijft. Daarbij moet je m.i. ook een onderscheid maken tussen problemen nu en problemen in de toekomst. AI (inclusief algoritmes) zal in toenemende mate een issue worden als je nu niet investeert in taalmodellen die voldoen aan de AVG, in regels en deskundigheidsbevordering. Schaduw-IT is nu al een probleem. Het gebruik van WhatsApp om te communiceren met lerenden is bijvoorbeeld breed verspreid. Onderwijsinstellingen hebben daar weinig grip op, en autonome medewerkers kiezen ervoor omdat het zo’n effectief communicatiemiddel is. Verder moet je m.i. ook oog hebben proportionaliteit.  Niet alle data zijn even privacygevoelig.

This content is published under the Attribution 3.0 Unported license.

Delen

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *