Rekening houden met de bescherming van persoonsgegevens bij online leren
Gebruik uitsluitend tools van partijen waarmee jouw stichting of school een verwerkersovereenkomst heeft afgesloten. Dit is de belangrijkste boodschap van deze post, want weten jullie wat jullie verwerkers met de verzamelde gegevens doen, wanneer ze verwijderd worden én of ze doorverkocht mogen worden? Dit lijkt bij enkele platforms nog niet helder te zijn. Zorg dat jullie als bestuur, school, directie én leerkracht altijd een antwoord klaar hebben over de gegevensverwerking van jouw leerlingen.
Als school mag je vanuit de AVG gebruik maken van middelen die noodzakelijk zijn om het onderwijs vorm te kunnen geven. Het is dan wel vereist dat je afspraken maakt over hoe omgegaan wordt met de verzamelde gegevens. Hierover hebben partijen die betrokken zijn bij het onderwijs afspraken gemaakt, die te lezen zijn op privacyconventant.nl. Ook hebben deze partijen een model verwerkersovereenkomst gemaakt die zij gebruiken. Zo ben je verzekerd van heldere en goede afspraken. Hiermee heb jij altijd een goed antwoord op vragen en zorgen rondom de gegevensverwerking van jouw leerlingen.
Wat niet?
In een eerdere post over tools voor onderwijs op afstand benoem ik bewust geen partijen als: Zoom, House Party, Discord en andere videodiensten. Met deze partijen heeft de school geen afspraken gemaakt over wat er met de data gebeurt die in de videocall verzameld worden. Een gezicht van een leerling is in al een persoonsgegeven en daarnaast verzamelt Zoom nog meer gegevens over de activiteit van de gebruikers. Wat Zoom met deze gegevens doet wordt nu goed onderzocht. Daniël Verlaan van RTL Nieuws én andere bronnen zoals Bright (link) hebben geconstateerd dat Zoom gegevens vanuit de videocalls doorverkoopt aan andere partijen zoals Facebook.
Wat wel?
Zorg dat je met jouw verwerkers afspraken maakt. Voor videobellen sluit je met Microsoft of Google als school of stichting een verwerkersovereenkomst af. Hierin maak je afspraken over onder andere:
- Welke gegevens verzameld worden,
- Wat het doel is van de verzameling van deze gegevens en wat de verwerker er mee doet,
- Welke beveiligingsmaatregelen getroffen worden door de verwerker,
- Wie eventueel nog meer de gegevens verwerken,
- Wanneer de gegevens weer verwijderd worden.
Daarbij wordt bij Microsoft Teams of Google Meet gebruik gemaakt van een inlogprocedure van de school. Vaak wordt deze gecombineerd met Microsoft Teams of Google Classroom. Deze gereguleerde toegang biedt een extra beveiligingslaag voor de kinderen. Tegelijkertijd werkt bijvoorbeeld Meet voor leerlingen prima samen met de Classroom en blijf je binnen één systeem, wat voordelen kan hebben als het gaat om de technische werking en de 'look-and-feel' van de omgeving.
Conclusie
Gebruik uitsluitend tools van partijen waarmee jouw stichting of school een verwerkersovereenkomst heeft afgesloten. Weet je niet zeker met welke partijen jouw bestuur een overeenkomst heeft afgesloten? Je kunt dit altijd navragen en inzien bij de privacy officer of de functionaris gegevensbescherming van jouw bestuur. Laat je eventueel ook ondersteunen door partijen met veel expertise op het gebied van privacy en gegevensverwerking. Een partij waar ik veel mee samenwerk is Privacy op School. Het is echt aan te raden om je door een expert bij te laten staan.
Meer weten over welke gegevens verzameld worden door verschillende applicaties? De Autoriteit Persoonsgegevens heeft alle applicaties en hun gegevensverwerking uitgezocht en in een duidelijk schemaatje gezet. Check daarvoor deze website.