Direct naar de inhoud Direct naar het menu Direct naar de zoekfunctie Direct naar de footer

Lesmateriaal en de AVG: antwoorden op 5 belangrijke privacyvragen voor culturele instellingen

Maak je als culturele instelling lesmateriaal voor scholen? Dan heb je te maken met de AVG. Maar waar moet je nou precies op letten? Ymkje Koster (adviseur privacy) en Roza van Cappellen (adviseur informatiebeveiliging en privacy) van Kennisnet helpen je op weg met de antwoorden op deze vijf vragen.

1. Wat zijn persoonsgegevens precies?
 

De privacywetten zijn er in het bijzonder om persoonsgegevens te beschermen, zoals een naam of adres. Maar wist je dat het nog veel meer omvat? Volgens de AVG (Algemene verordening persoonsgegevens) is een persoonsgegeven alle informatie over een identificeerbaar persoon. Met andere woorden: alle informatie die ofwel direct over iemand gaat, ofwel te herleiden is naar diegene. Dat kan dus een foto of video zijn van leerlingen die bezig zijn met je lesmateriaal. Maar bijvoorbeeld ook de volgende gegevens, wanneer je daarmee iets over een persoon kan zeggen:

  • Het ip-adres van de laptop waarmee een leerling aan een opdracht werkt op je website;
  • Het mac-adres van het apparaat (een unieke code) waar een leerling je app op installeert;
  • Het klikgedrag van een leerling op je website.

Ondanks dat bepaalde gegevens afzonderlijk niks over een persoon zeggen, kunnen ze ook in combinatie met elkaar een persoonsgegeven vormen. Ymkje: “Denk bijvoorbeeld aan de achternaam van een leraar in combinatie met het adres van de school. Los van elkaar zijn die gegevens niet tot één persoon te herleiden, maar in combinatie kun je ze gebruiken om een specifieke leraar te identificeren.”

2. Wanneer leg je persoonsgegevens vast?
 

Je doet niks met foto’s en video’s van leerlingen en het lesmateriaal staat afgeschermd achter een inlogscherm. Dan zit je toch goed? Juist de handeling van het inloggen kan weer nieuwe uitdagingen met zich meebrengen. Bijvoorbeeld wanneer je leerlingen laat inloggen met hun naam of andere herleidbare informatie.

Roza: “Stel jezelf altijd de vraag: welke data is er nou echt nodig om mijn doel te bereiken? Vaak hoef je zelf geen persoonlijke gegevens te verwerken. Vraag jezelf af of leerlingen echt op je website moeten inloggen, of dat ze de opdracht bijvoorbeeld in de digitale omgeving van hun school kunnen doen. En is het echt nodig om video’s van leerlingen op je website te zetten?” In het kader van dataminimalisatie is het belangrijk om het zoveel mogelijk zonder persoonsgegevens te doen als dit mogelijk is.

Omdat het vastleggen van persoonsgegevens zoveel verantwoordelijkheid met zich meedraagt, is het advies daarom om dit zoveel mogelijk te vermijden. Als er ook andere manieren zijn, dan heeft dit de voorkeur. “Heb je toch een applicatie waar leerlingen op moeten inloggen, geef groepjes leerlingen dan bijvoorbeeld een leuke naam. Zoals de dinosauriërs of de mummies, leerlingen weten zelf wel bij welk groepje ze horen, maar vanuit de app is dit niet naar hen te herleiden”, vertelt Roza.

Tip: wil je toch een inlogsysteem gebruiken? Sluit je dan aan bij de Entree Federatie. Deze dienst van Kennisnet biedt scholen directe beveiligde toegang tot allerlei online lesmateriaal zonder losse inlogschermen of aparte wachtwoorden. 

3. Heb je een goede basis om persoonsgegevens vast te leggen?
 

Stel: op je website heb je het klikgedrag bijgehouden van leerlingen die met je interactieve lesmateriaal werken - best handig achteraf gezien om de effectiviteit van je lesmateriaal te analyseren? Dit soort persoonsgegevens mag je alleen maar vastleggen als je al vooraf het doel daarvoor bepaalt. Volgens de AVG moet het gebruik van persoonsgegevens namelijk altijd rechtmatig, behoorlijk en transparant zijn. Dat klinkt ingewikkeld maar het komt erop neer dat je:

  • een wetmatige basis hebt voor het gebruik van de persoonsgegevens, zoals een overeenkomst, verplichting of als dat er niet is uiteindelijk toestemming.
  • bij leerlingen van jonger dan 16 jaar toestemming vraagt van de ouders. Dit regel je het beste via de leraar of school als je bijvoorbeeld beelden in de klas maakt.
  • vooraf het concrete doel bepaalt van de gegevens en niet meer gegevens verzamelt dan daarvoor absoluut noodzakelijk zijn.
  • ervoor zorgt dat de gegevens correct en beveiligd zijn, je ze niet langer bewaart dan noodzakelijk is en dat de rechten van de betrokkene altijd nageleefd worden. Bijvoorbeeld het recht op inzage, aanpassing of verwijdering.  

“Toestemming vragen lijkt de ideale oplossing om een video met leerlingen op je website te plaatsen. Maar daar zitten wel voorwaarden aan. Het moet bijvoorbeeld helemaal helder zijn voor de betrokkene (zoals een leerling) wat je precies gaat doen met de video, voor een onduidelijk doel kun je geen toestemming geven”, zegt Ymkje. Ook moet de betrokkene in vrijheid nee kunnen zeggen op je verzoek en daar mogen geen negatieve consequenties aan zitten. En als je eenmaal toestemming hebt, moet je er altijd rekening mee houden dat de betrokken dit later kan intrekken. Ymkje: “De leerling is bijvoorbeeld een paar jaar ouder en vindt het niet meer leuk dat zijn of haar video op je website staat, dan ben je verplicht die te verwijderen.”

Tip: wil je voor statistische doelen toch graag gegevens verwerken en analyseren, verwerk die dan los van elkaar zodat ze niet te herleiden zijn naar elkaar. Haal de persoonsgegevens uit je statische data en maak een nieuw anoniem bestand voor je onderzoek.

4. Wie is er verantwoordelijk voor de persoonsgegevens?
 

Je biedt een lespakket aan en een school neemt dit af - wie is er dan verantwoordelijk voor de persoonsgegevens van leerlingen die je eventueel opslaat in je app of op je website? Roza: “De school blijft eindverantwoordelijke en als instelling krijg je de status van ‘verwerker’. Dit brengt ook verantwoordelijkheden met zich mee.” Daarbij is een zogeheten verwerkersovereenkomst nodig. Dit is een overeenkomst tussen twee partijen (de school en bijvoorbeeld de applicatieleverancier) waarin ze exact vastleggen wat de verwerker met die persoonsgegevens mag doen en hoe die beveiligd moeten zijn.

Komen er nog meer partijen bij kijken, omdat je bijvoorbeeld een extern bedrijf inzet om je app te maken of de gegevens extern opslaat, dan ontstaat er een keten met ook subverwerkers. In die keten blijven dezelfde afspraken gelden, maar is het wel extra belangrijk om ervoor te zorgen dat die door elke schakel ook daadwerkelijk worden nageleefd en dat hierover goede afspraken worden gemaakt.

Tip: “Het kan voorkomen dat de gegevens die je in je app verzamelt opgeslagen worden op een server in de Verenigde Staten. Maar volgens de AVG mag dat alleen binnen de landen van de Europese Economische Ruimte (EER). Ook het hoofdkantoor van bijvoorbeeld een clouddienst die je afneemt, moet zich binnen de EER bevinden. Zorg dus dat je altijd overzicht houdt over waar de gegevens zich bevinden en wie er toegang tot heeft”, zegt Roza.

5. Hoe zorg je voor helderheid over het gebruik van persoonsgegevens?
 

Gebruik je persoonsgegevens van leerlingen op je website of via je applicatie, dan is het aan te raden om hier zo helder mogelijk over te communiceren. Een goede manier om dit vast te leggen is een privacystatement op je website plaatsen. Roza: “Hierin geef je als leverancier aan hoe je omgaat met de privacy van je gebruikers.” Het privacystatement biedt transparantie over wat de gebruiker van je applicatie mag verwachten rond privacy. Dat kan invloed hebben op de keuze die een school maakt.

Dit kan voor veel organisaties die voor het eerst lesmateriaal maken een behoorlijke uitdaging zijn. Een goede manier om dit op te vangen is om je als deelnemer of medestander aan te sluiten bij het privacyconvenant. Het convenant geeft je wat handvatten voor toepassing en concretisering van de AVG, specifiek voor de onderwijspraktijk. Het biedt modellen voor verwerkersovereenkomsten. Het convenant geeft je inzicht in waar je op moet letten en hoe je concreet om moet gaan met leerlinggegevens. Daarnaast geeft het scholen vertrouwen om te kiezen voor je lesmateriaal, wanneer je op de site van het convenant te vinden bent.

This website is automatically translated by Google Translation. Some translations might not be correct.