Autoriteit Persoonsgegevens waarschuwt voor privacyrisico’s in het onderwijs

Gistermiddag werd ik geattendeerd op het bericht dat de Autoriteit Persoonsgegevens (AP) trends en risico’s voor de bescherming van persoonsgegevens in het onderwijs in kaart heeft gebracht. Zij signaleren drie trends en risico’s, en doen aanbevelingen.

De trends en risico’s zijn:

1. Monitoring van leerlingen en studenten

Dankzij het gebruik van (adaptieve) leertechnologie en learning analytics beschikken onderwijsinstellingen over steeds meer gegevens, onder meer over het gedrag en de ontwikkeling van lerenden. Deze gegevens kunnen ook verkeerd worden geïnterpreteerd of misbruikt worden. Verder bestaat het risico op datalekken. Beveiliging verdient daarom extra aandacht.  “De AP ontvangt regelmatig klachten over de inzet van nieuwe digitale
toepassingen waarbij niet duidelijk is wat er precies met persoonsgegevens van leerlingen of studenten gebeurt.”

2. Afhankelijkheid van grote leveranciers

Leertechnologieën, zoals leerlingvolgsystemen, en digitale leermiddelen worden geleverd door grote (internationale) leveranciers, die een grote machtspositie hebben (er is weinig concurrentie en je stapt als instelling niet makkelijk over). Deze leveranciers zijn ook niet heel transparant over hoe zij met data omgaan. Kleine onderwijsinstellingen hebben vaak onvoldoende kennis op dit terrein. Dit maakt het lastig “om de juiste waarborgen voor gegevensbescherming te bepalen en indien nodig af te dwingen bij de leverancier.

3. Meer uitwisseling van gegevens in samenwerkingsverbanden

Onderwijsinstellingen verstrekken steeds vaker data van lerenden aan samenwerkingsverbanden en data en informatieknooppunten waar verschillende betrokkenen bij aangesloten zijn. Lerenden en ouders moeten inzicht hebben aan wie persoonsgegevens worden gegeven en dat alleen noodzakelijke data worden verstrekt, waarbij het belang van de lerende altijd voorop staat.

Mijn opmerking

Dit zijn terechte risico’s. Maar het zijn wel hedendaagse risico’s. Als de AP echt aandacht had besteed aan trends, dan had men wat verder vooruit gekeken. Ik denk bijvoorbeeld aan de risico’s van artificiële intelligentie in combinatie met learning analytics.

Op basis van deze trends en risico’s doet de AP ook aanbevelingen. Deze hebben te maken met

  • bewustwording en deskundigheidsbevordering (digitale geletterdheid) van alle betrokkenen,
  • het actueel houden van de AVG-documentatie en verantwoordingsplicht,
  • governance en versterking van de positie van de functionaris gegevensbescherming,
  • het proactief in kaart brengen van risico’s van grote digitaliseringsthema’s (o.a. ethische waarden),
  • verbetering van de positie van het onderwijs tegenover grote leveranciers (o.a. gezamenlijk eisen stellen, gezamenlijke risicoanalyses uitvoeren),
  • samenwerking, onder meer op het gebied van kennisuitwisseling.

De AP heeft in haar notitie over dit onderwerp ook een zelfreflectie vanuit de sector opgenomen. Daaruit blijkt onder meer dat privacy en security belangrijke thema’s zijn, maar dat “kennis en het bewustzijn van en de betrokkenheid bij het gegevensbeschermingsbeleid in de directie en managementlagen van veel onderwijsinstellingen” niet op orde zijn.

Mijn opmerking

Het valt mij op dat de AP nogal ‘soft’ is als het gaat om de positie van het onderwijs ten opzichte van grote leveranciers. Je kunt je m.i. afvragen of marktwerking op het gebied van bijvoorbeeld studentinformatiesystemen wel goed werkt. Deze markt is beperkt van omvang, er is een kleine groep aanbieders en het is een sisyfusarbeid om over te stappen naar een ander systeem. Daardoor kunnen leveranciers van deze systemen bijvoorbeeld zeer hoge tarieven rekenen voor consultancy.

Een centrale en publiek gefinancierde organisatie zou een dergelijk systeem voor het onderwijs ook kunnen ontwikkelen en beheren. Afspraken over gegevensverwerking kunnen dan prima worden geborgd.

This content is published under the Attribution 3.0 Unported license.

Delen

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

* Checkbox GDPR is verplicht

*

Ik ga akkoord