Slaan we binnen het onderwijs niet door bij het toepassen van de AVG?

Als ik tijdens (online) sessies toepassingen laat zien van, bijvoorbeeld, Padlet dan wordt regelmatig de opmerking gemaakt: “Die mogen wij niet gebruiken, want deze is niet AVG-proof”. Ook op Twitter zie je regelmatig tweets langskomen waarin gevraagd wordt naar goede alternatieven voor een bepaalde applicatie omdat deze vanwege de AVG niet gebruikt zouden mogen worden. Volgens mij is de Algemene Verordening Gegevensbescherming niet de reden dat we dergelijke applicaties niet mogen gebruiken, maar komt dat door de wijze waarop wij omgaan met zaken als privacy.

Over het algemeen ben ik best blij met de AVG. Technologiebedrijven blijken zonder wet- en regelgeving niet bereid en in staat om de privacy van burgers te waarborgen. Deze wet draagt daartoe bij. Als instelling moet je kritisch kijken hoe technologiebedrijven omgaan met data, en moet je afspraken maken over de verwerking. Je moet ook naar je gebruikers verantwoorden met welk doel je data verzamelt en verwerkt. En in bepaalde gevallen moet de gebruiker daarmee instemmen.

Logisch dat we e.e.a. goed (moeten) regelen bij applicaties zoals digitale leeromgevingen of proctoringtools. Je moet daar als instelling zeer zorgvuldig in zijn, en niet alleen omdat dit wettelijk verplicht is. Privacy officers hebben hier een belangrijke taak en verantwoordelijkheid in. Wel vraag ik me af of het altijd noodzakelijk is om een eigen verwerkersovereenkomst te hanteren. Het is met name voor kleinere technologiebedrijven een behoorlijke last om al die specifieke verwerkersovereenkomsten van instellingen te laten screenen.

Verder snap ik ook dat organisaties keuzes moeten maken ten aanzien van applicaties die men kan ondersteunen en waarvoor men contracten en verwerkersovereenkomsten af wil sluiten. Ik begrijp ook dat organisaties aan medewerkers vragen om applicaties te gebruiken die ondersteund worden.

Tegelijkertijd moeten we ons realiseren dat digitale leeromgevingen en andere ondersteunde applicaties niet alle behoeften van gebruikers bevredigen. Als gebruiker kunnen we vandaag de dag beschikken over tal van applicaties die specifieke taken beter en/of gebruikersvriendelijker kunnen uitvoeren dan een digitale leeromgeving of kantoorapplicatie dat doen. Je hebt als docent bovendien behoefte aan autonomie om ook zelf te bepalen wat voor activiteiten je wilt toepassen, en op welke manier. Je kunt uiteraard verzoeken om deze applicaties in het portfolio van de instelling op te nemen. Dit is echter om tal van redenen niet altijd haalbaar (zeer veel applicaties, applicaties die snel opkomen en weer verdwijnen, etc).

Ik heb dus de indruk dat instellingen het docenten steeds vaker ontraden en verbieden om dergelijke applicaties te gebruiken. Soms zonder veel toelichting (“niet AVG-proof”), maar ook wel met een toelichting. Een mooi voorbeeld is het overzicht van tools van de TU Delft. De samenstellers maken een onderscheid tussen

  • applicaties die positief geadviseerd worden (en ondersteund worden),
  • applicaties die onder bepaalde condities worden gebruikt (maar liever niet),
  • applicaties die negatief worden geadviseerd,
  • en applicaties die nog niet zijn gescreend.

Als je echter kijkt naar invulling, dan valt op dat men erg streng is. Over Padlet schrijft men bijvoorbeeld dat de gratis/basic variant eigenlijk niet gebruikt zou moeten worden. Padlet zou overmatig veel persoonlijke data verzamelen en verwerken, “including the use of behavioural tracking and analytics”. De Pro-versie kan worden gebruikt afhankelijk van de manier waarop beveiliging en privacy is geregeld. Er moet een verwerkersovereenkomst worden getekend en privacyvriendelijke instellingen zouden standaard gebruikt moeten worden.

Als docent moet je persoonsgegevens inderdaad registeren bij Padlet. Die keuze maak jij echter zelf. En ben jij niet eigenaar van jouw data? Verder kun je als lerende Padlet gebruiken zonder te hoeven inloggen. Degene die een Padlet maakt, stelt dat in. Padlet registreert wel het IP-adres, maar o.a. alleen om Padlet in de juiste taal te presenteren. Ze registreren verder op welke pagina’s je klikt na ingelogd te zijn. Padlet is transparant in hoe men omgaat met privacy. De content die gebruikers hier normaliter plaatsen, is verder ook vrij onschuldig.

Ik vraag me dus af waar het oordeel “overmatig gebruik van data” vandaan komt. Hoe ernstig is het dat Padlet registreert op welke pagina een anonieme gebruiker klikt?

Is de AVG wel van toepassing als een docent er zelf voor kiest om persoonsgegevens te registeren en als lerenden een applicatie anoniem kunnen gebruiken  (het IP-adres uitgezonderd). Of passen we de AVG hier te streng toe?

Ik snap dat het voor een privacy officer ondoenlijk is om elke applicatie zeer genuanceerd te beschrijven. Volgens mij kun je gebruikers ook beter helpen door hen bewust te maken van risico’s en goede keuzes te maken.

Realiseer je daarbij ook dat docenten, ICT-ers en privacy officers aparte taken en verantwoordelijkheden hebben, die op gespannen voet met elkaar kunnen staan. Docenten willen hun onderwijs naar eigen inzicht organiseren, verbeteren en innoveren. Zij hebben geen behoefte aan veel ‘gedoe’. ICT-ers en privacy officers zijn daarentegen verantwoordelijk voor stabiliteit, betrouwbaarheid, veiligheid en voor het beheersen van risico’s. Het lijkt er weleens op dat ICT-ers van Mars en docenten van Venus komen!

Ga daarom het gesprek met elkaar aan over elkaars taken en verantwoordelijkheden. Bespreek behoeften aan leertechnologie, praat met elkaar over privacy en veiligheid (en bijbehorende risico’s). Wellicht beschikt de organisatie bijvoorbeeld al over een passende tool.

Stel ook algemene regels op over applicaties die zonder overeenkomst gebruikt kunnen worden, bijvoorbeeld:

  • Kunnen lerenden de applicatie anoniem of met een nepnaam gebruiken? Nee: dan is een overeenkomst en verwerkersovereenkomst nodig.
  • Leggen lerenden gevoelige informatie vast (zoals persoonsgegevens)? Ja: dan is een overeenkomst en verwerkersovereenkomst nodig.
  • Leggen lerenden informatie vast die valt onder de wettelijke bewaarplicht? Ja: dan is een overeenkomst en verwerkersovereenkomst nodig.

Durf daarbij ook eens berekenende risico’s te nemen. Dat is vaak noodzakelijk voor innovaties. Vertrouw in elkaars professionaliteit. Maak het niet groter dan het is.

Vertrouw er dus ook op dat docenten applicaties verstandig zullen gebruiken, advies vragen over applicaties die niet worden ondersteund en geen persoonsgegevens of andere gevoelige gegevens zo maar gaan verwerken, als zij goed geïnformeerd zijn over regels en risico’s.

 

 

 

 

 

This content is published under the Attribution 3.0 Unported license.

Delen

6 reacties

  1. Hoi Wilfred,

    met de titel van de blog ben ik het eens. Maar met de tekst niet. De redenatie die je opbouwt is vanuit het oogpunt van de docent.
    De privacy kijkt vooral vanuit het oogpunt van de student.
    De student moet er op aan kunnen dat de tools die hij in zijn onderwijs gebruikt voldoen aan de privacyregels (en andere regels), dit kan je als instelling alleen “garanderen” als je contract en DPA hebt voor een bepaalde dienst.

    Er zijn veel docenten die graag andere tools gebruiken, zonder daar goed te kijken naar de privacy. Op het moment dat een student hier een klacht over heeft, is de instelling (specifiek het CvB) verantwoordelijk en aansprakelijk. Daarom zijn veel instellingen heel terughoudend bij het gebruik van externe tools.

    Veel privacyteams op universiteiten zijn ontoereikend qua capaciteit om alle tools te reviewen en alles te regelen. Hoe graag we dat ook zouden willen.

  2. Dag Willem,

    Dank voor je reactie. Ik ben het niet met je eens.

    Mijn redenatie gaat uit van een ‘leerzaam’ en aantrekkelijk leerproces, niet alleen van het perspectief van een docent. Verder heb ik ook alle begrip voor diensten/medewerkers die verantwoordelijk zijn voor privacy etc

    Het gaat er m.i. echter om hoe we dat leerproces het beste kunnen faciliteren, rekening houdend met privacy. Standaard digitale leeromgevingen lopen bijna per definitie achter op krachtige, innovatieve en aantrekkelijke tools die actief verwerken etc faciliteren.

    Het gaat mij daarbij ook om tools die je anoniem kunt gebruiken. Waar studenten geen naam en mailadres (of meer) hoeven ‘achter te laten’.

    Voor dat type tools zijn instellingen te streng, vanwege het risicomijdend gedrag en beperkte capaciteit om tools te reviewen die jij noemt. Instellingen hoeven die tools niet allemaal te reviewen. Er hoeft m.i. bij uitsluitend deze tools (zoals Padlet, Mentimeter en Mural) niet van alles geregeld te worden. Bovendien zouden instellingen ten behoeve van het reviewen ook met elkaar kunnen samenwerken in SURF-verband.

    En waarom zouden studenten met een klacht ten aanzien privacy komen, als zij geen naam en mailadres hoeven achter te laten?

    Daar komt bij dat ik vrees dat een bepaalde groep docenten burgerlijk ongehoorzaam gedrag gaan vertonen, als je veel gaat verbieden en hen sterk beperkt in de keuze uit leertechnologieën.

    Groet,

    Wilfred

  3. Hoi Wilfred,

    Als iemand anoniem gebruik maakt van een tool, betekent dit nog niet dat er geen sprake is van persoonsgegevens. Een IP-adres is ook een persoonsgegeven.

    Instellingen zijn voor alle tools even streng en ik ben het met je eens dat ze risicomijdend zijn. Dit komt ook omdat er nog weinig ervaring op dit vlak is.
    Ik ben helemaal voorstander dat SURF hier een rol in neemt.

    Je staat versteld waarover studenten privacyklachten indienen. Ik help bij ons met de beantwoording van de online proctoring-vragen en soms sta je echt met je mond vol tanden over wat ze vragen.

    Die burgelijke ongehoorzaamheid van docenten kan een instelling heel veel geld kosten als ze een klacht wordt ingediend bij AP. Veel studenten vinden dit ook helemaal niet prettig, ze willen bij ons het liefste alles via Brightspace hebben en niet dat ze voor elk vak weer ergens anders naartoe moeten.
    Ik ben wel eens dat instellingen moeten zorgen dat het applicatielandschap voldoet aan de wensen en eisen van het onderwijs. Het is echter onmogelijk om elke tool die een docent wil gebruiken te reviewen en contract en DPA voor af te sluiten.

    groet,
    Willem

  4. Dag Willem,

    Ik weet dat een IP-adres officieel een persoonsgegeven is. Maar wat dat betreft ben ik rekkelijk. Een ed tech bedrijf gaat echt niet kijken waar je je ongeveer bevindt. Bovendien zie je aan een IP-adres niet exact waar iemand zich bevindt. IP-adres locators denken vaak dat ik in Groesbeek woon.

    Ik weet dat er studenten zijn die veel kunnen klagen. Maar dat betreft m.i. heel andere zaken dan een IP-adres. Verder ben ik er ook voorstander van dat lerenden het gevoel in 1 leeromgeving te werken. Veel tools kun je ook gemakkelijk integreren in, bijvoorbeeld, Brightspace.

    Het is inderdaad onmogelijk om voor elke tool een review etc te regelen. Verder moet je als docent ook weten wat je doet en de consequenties kennen, als je burgerlijk ongehoorzaam bent.

  5. Dag Wilfred,

    Ik werd getriggerd door je zin “Je hebt als docent bovendien behoefte aan autonomie om ook zelf te bepalen wat voor activiteiten je wilt toepassen, en op welke manier.” Bij ons op school is het vaak geen AVG-discussie, maar meer hoe organiseer je je ict-infrastructuur rondom de student en hoe borg je de kwaliteit van je digitale les- en leermiddelen. Nog los van de (onorganiseerbare) ondersteuningsbehoefte wanneer elke docent z’n eigen applicaties gaat gebruiken (denk AOC/ROC omvang).

    Studentenevaluaties nav Corona en de lockdown laten zien dat studenten heel erg de behoefte hebben aan één duidelijke plek. Docenten kijken vanuit hun eigen behoefte (wat werkt voor mij). En eerlijk gezegd, dat zijn niet altijd de beste/fraaiste oplossingen. En studenten raken de weg kwijt.

    Ergens houdt de vrijheid een keer op en moet je als werkgever kunnen zeggen “dit is je gereedschapskist, zo werken we. Klaar”.
    Ben het wat dat betreft ook eens met Willem van Valkenburg.

    Wil overigens niet zeggen dat je er niet van kunt afwijken, maar organiseer dan eerst samen met onderwijs en ict een pilot bijvoorbeeld.

  6. Dag Rick,

    Dit is een andere discussie. Waar het mij omgaat is dat de AVG m.i. te streng wordt geïnterpreteerd en dat dat belemmerend werkt voor verbetering en versterking van het onderwijs. Ik ben ook niet voor onbegrensde vrijheid, maar wel voor een gereedschapskist die meer bevat dan een Zwitsers zakmes. Verder ben ik groot voorstander van een dialoog hierover tussen onderwijs, ICT en privacy officer. Daar ontbreekt het vaak aan. Je krijgt te horen wat mag en kan. Maar dat is geen dialoog.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

* Checkbox GDPR is verplicht

*

Ik ga akkoord