Door Wilfred Rubens

Met ingang van 25 mei 2018 wordt de Algemene Verordening Gegevensverwerking (AVG) van toepassing. Vanochtend vroeg Amber Walraven (@amberwalraven) op twitter zich af of docenten nog verschillende digitale tools mogen gebruiken. In deze blogpost ga ik uitgebreider in op dit onderwerp.

De AVG (in het Engels: GDPR) is bedoeld om de privacy van burgers beter te beschermen. Deze wet is in heel Europa van kracht Eigenlijk al bijna twee jaar, al hebben organisaties twee jaar de tijd zich hier op voor te bereiden. Organisaties, zoals onderwijsinstellingen, moeten strenge maatregelen treffen om persoonsgegevens te beschermen. Persoonsgegevens zijn gegevens die iets zeggen over een persoon. Onder meer een naam, een mailadres maar ook meestal een studentnummer. Overtredingen worden zwaar bestraft. Organisaties moeten zich verantwoorden hoe men omgaat met persoonsgegevens.

Voorbeelden:

  • Organisaties moeten met leveranciers van o.a. digitale leeromgevingen een zogenaamde verwerkersovereenkomst afsluiten als data van lerenden op de servers van de leverancier worden opgeslagen en verwerkt. Instellingen lopen er nu tegenaan dat een aantal Amerikaanse leveranciers op dit moment geen verwerkersovereenkomst willen afsluiten. Turn It In is een bekend voorbeeld. Als deze leveranciers voor 25 mei a.s. geen verwerversovereenkomst hebben afgesloten met onderwijsinstellingen, dan mag je deze applicaties niet meer gebruiken. Het is te verwachten dat dit in veel gevallen op het laatste moment nog goed komt. Dit zal echter niet altijd het geval zijn.
  • Bij de Open Universiteit en bij Zuyd heb ik de afgelopen maanden documenten opgesteld over welke data we binnen de leeromgevingen opslaan, met welk doel en wie daar toegang toe heeft. Deze documenten worden beschikbaar gesteld aan studenten. De OU en Zuyd verantwoorden zich daarmee over wat en waarom zij bepaalde data opslaan.

Maar hoe zit het dan met het enorme scala aan applicaties die je als docent/leerkracht in je onderwijs wilt gebruiken? Denk aan Kahoot, Mentimeter, Padlet of Nearpod? Jij gebruikt vaak als individu die toepassingen in je onderwijs. Daardoor is jouw organisatie aansprakelijk. Jouw onderwijsinstelling wordt beboet als jij als docent niet aan deze verordening voldoet. Uiteraard zal jouw werkgever jou hierop aanspreken.

Voor deze applicaties geldt

  1. dat je ook een getekende verwerkersovereenkomst nodig hebt;
  2. dat er een alternatief voor lerenden moet zijn of dat lerenden zonder gevolgen ‘nee’ moeten kunnen zeggen tegen het gebruik;
  3. of dat je applicaties gebruikt waarin geen persoonsgegevens worden verwerkt.

De eerste optie kent een aantal issues:

  • De individuele docent wil een applicatie gebruiken, niet de instelling. Je moet dus medewerking vragen van jouw instelling. Die zullen daar niet op staan te wachten als het om tientallen applicaties gaat.
  • Kleine aanbieders van applicaties hebben niet de mogelijkheid om elke verwerkersovereenkomst juridisch te laten checken. De juridische kosten wegen niet op tegen de financiële baten (beperkte licentiekosten). Ik ken al voorbeelden van applicaties die om deze reden niet meer worden gebruikt.
  • Aanbieders van applicaties schrikken enorm terug van de claims die in de verwerkersovereenkomsten staan, en zijn daarom niet bereid deze te ondertekenen.
  • Aanbieders van applicaties ontwikkelen zelf eigen verwerkersovereenkomsten. Google is hier een voorbeeld van. Je moet ook klant zijn van Google, en niet alleen een ‘gratis’ account hebben. De verwerkersovereenkomsten van leveranciers moeten weer juridisch worden getoetst door onderwijsinstellingen. Deze gaan niet zonder meer akkoord met deze verwerkersovereenkomsten omdat ze mogelijk niet ‘AVG-proof’ zijn.

De tweede optie kent ook issues:

  • Personen onder de 16 jaar mogen geen toestemming geven.
  • Er is vaak geen alternatief.
  • Het gebruik wordt minder zinvol als niet alle lerenden de applicatie gebruiken.

Optie drie leidt ertoe dat je geen applicaties kunt gebruiken waarbij lerenden een account moeten hebben of persé de eigen naam en/of mailadres moeten invullen. Je kunt wel werken met pseudoniemen.

De Autoriteit Persoonsgegevens -die in ons land zorgt voor naleving van de AVG- is positief over het gebruik van pseudoniemen (zie hun advies om leerlingen met een pseudoniem toegang te geven tot digitale leermiddelen en digitale toetsen). Zorg er in ieder geval voor dat het pseudoniem niet herleid kan worden naar het individu.

Gelukkig zijn er voldoende toepassingen die je nog wel kunt gebruiken omdat geen persoonsgegevens worden verwerkt of omdat je pseudoniemen kunt gebruiken. Tijdens workshops presenteer ik de laatste tijd technologieën waarbij dit het geval is.

  • Mentimeter. Lerenden vullen alleen een code in om een presentatie te kunnen gebruiken. Dit is echter geen persoonsgegeven.
  • Socrativ. Ook hierbij vullen lerenden alleen de code van een ruimte in (is geen persoonsgegeven).
  • Google Forms. Mits je geen naam vraagt. Als jouw instelling klant is Google dan beschik je over een verwerkersovereenkomst die voldoet aan de AVG (volgens Google). Dan kun je dus ook naar namen vragen.
  • Padlet. Lerenden kunnen ook anoniem berichten plaatsen.
  • Tricider: Lerenden kunnen ook anoniem berichten plaatsen.
  • TodaysMeet: Lerenden kunnen met een pseudoniem anoniem berichten plaatsen.
  • Nearpod: Lerenden kunnen met een code en een pseudoniem toegang krijgen.

Er zijn meer applicaties die lerenden zonder persoonsgegevens kunnen gebruiken.

Docenten zullen niet alleen vanuit didactisch oogpunt applicaties selecteren en gebruiken. Zij zullen ook kritischer moeten zijn op het gebruik van persoonsgegevens. Kleinschalige applicaties die persoonsgegevens -dus ook alleen een mailadres- verwerken, kunnen alleen maar nog worden gebruikt als er een getekende verwerkersovereenkomst ligt. Wat dat betreft wordt de autonomie van docenten ingeperkt. Gelukkig zijn er nog zat toepassingen die wel kunnen worden gebruikt!

Dit betekent inderdaad meer ‘gedoe’ voor onderwijsinstellingen en hun medewerkers. Voor bescherming van privacy van gegevens van lerenden moet je wat mij betreft echter wat over hebben.

Zie ook: Hoe kun je als docent meer bewust worden van (digitale) informatiebeveiliging en privacy?

Update 3 maart 2018: zie ook Reacties op twee vragen bij het gebruik van digitale tools door docenten als de AVG van toepassing wordt

Update 6 maart 2018: ik heb deze bijdrage geplaatst in de Linked-In groep over privacy en security en gevraagd of juristen feedback willen geven. Eén reactie luidde: “Let er wel op dat slechts pseudonomisering geen optie is. Een pseudoniem is per definitie een gegeven dat te herleiden is tot de persoon.” In het bovenstaande is het pseudoniem niet herleidbaar tot de persoon. De tweede reactie was: “Een studentnummer is niet altijd en voor iedereen een persoonsgegeven. Alleen voor diegenen die ook over andere gegevens beschikken waardoor een individu te herleiden valt.
2. ‘Niet-volwassenen mogen geen toestemming geven.’. De AVG noemt personen onder de 16 jaar, niet het criterium van volwassenen als zijnde personen van minimaal 18 jaar.” Ik heb de tekst hierop aangepast.

Disclaimer: ik ben geen jurist. Ik heb me de afgelopen maanden wel intensief bezig gehouden met dit onderwerp. Raadpleeg Arnoud Engelfriet: (https://blog.iusmentis.com) als je nog twijfelt.

Dit artikel verscheen ook op www.te-learning.nl

wirWilfred Rubens houdt zich als zelfstandig adviseur bezig met het versterken van leren en ontwikkelen met behulp van ICT.