Deze week berichtte RTL Nieuws dat gegevens van leerlingen in grote hoeveelheden door basisscholen worden verstrekt aan educatieve uitgevers. Dit gebeurt via het softwarepakket Basispoort waar leerlingen toegang toe hebben. Via Basispoort bieden de uitgeverijen diverse digitale leermiddelen aan en verwerken hierbij de leerling data. De uitgevers vinden dat zij dit mogen doen, omdat zij hiervoor een gerechtvaardigd belang hebben. Klopt die gedachte?
Basispoort en leerlingdata
Vrijwel alle basisscholen verstrekken persoonsgegevens – leerlingdata – via Basispoort en de uitgevers koppelen deze gegevens aan de prestaties die leerlingen behalen binnen de leeromgeving, aldus RTL Nieuws. De Groep Educatieve Uitgeverijen (“GEU”), meldde in een persbericht namens de uitgevers dat Basispoort geen leerresultaten ontvangt en deze ook niet doorgeeft aan derden.
De educatieve uitgeverijen zélf verwerken de persoonsgegevens van de leerlingen, zo volgt uit het persbericht van de GEU. Volgens de GEU blijven de leerresultaten van de leerlingen binnen het domein van de school. De centrale vraag is hier dan ook of de uitgevers van de digitale leermiddelen de leerlingdata mogen verwerken. De GEU vindt dat dit mag.
Uitgevers: ‘Toestemming geen goede reden’
Wie persoonsgegevens verwerkt, moet daarvoor een wettelijke grondslag hebben. Een veelgebruikte grondslag is het verkrijgen van toestemming van degene waarop de persoonsgegevens betrekking hebben – hier: de leerling. Maar volgens de Wet Bescherming Persoonsgegevens (Wbp) kunnen kinderen onder de 16 geen toestemming geven. Dat moeten de wettelijk vertegenwoordigers doen, zoals de ouders. In het geval van de digitale leermiddelen via Basispoort ontbreekt die toestemming van de ouders. De GEU geeft hiervoor de volgende verklaring:
Een leerling die door de school wordt verplicht om van bepaald digitaal lesmateriaal gebruik te maken, kan niet worden geacht in vrijheid zijn toestemming te hebben gegeven. Als een ouder of leerling geen toestemming geeft, kan hij immers geen gebruik maken van het lesmateriaal dat door de school wordt gebruikt. Toestemming is om die reden geen goede grondslag voor de gegevensverwerking.
De GEU redeneert dat de scholen het digitale lesmateriaal verplichten en daarom kan er geen vrije toestemming worden gegeven zoals de wet dat voorschrijft. Een ICT-coördinator van zes scholen schetst een ander beeld. Volgens hem moesten de scholen akkoord gaan met de voorwaarden. Deden zij dat niet, dan zou hen de toegang tot Basispoort – en daarmee de leermiddelen – worden ontzegd. De keuze voor de leermiddelen zou daarmee zijn ‘afgedwongen’.
Wie er ook gelijk heeft, ik maak uit de berichten op dat er voor de leerlingen in het geheel geen privacyvriendelijk alternatief bestaat. Lees: digitale leermiddelen die geen leerlingdata verwerken. Waarom is het noodzakelijk om persoonsgegevens van kinderen te verwerken bij een digitaal reken- of taalprogramma? Hierop bestaat nog geen duidelijk antwoord.
Uitgevers: ‘uitgevers hebben gerechtvaardigd belang’
Omdat toestemming als grondslag niet kan volgens de uitgevers, baseren zij zich op een andere wettelijke grondslag: het “gerechtvaardigd belang”. De verwerking van de leerlingdata is dan toelaatbaar indien dit noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de uitgevers (of leerkrachten), tenzij het belang of de fundamentele rechten en vrijheden van de leerling voorgaan. De GEU vindt dat dit een geschikte grondslag is:
Wanneer een digitaal leermiddel inzage geeft – ten behoeve van onderwijsdoeleinden – aan de leerkracht wat een leerling gedaan heeft en wat het resultaat daarvan is, is er sprake van een gerechtvaardigd belang. Het gaat hier om situaties waarin leerlingen (in de klas) zelfstandig oefeningen doen binnen het leermiddel waarin de leerkracht later inzage moet hebben. Educatieve uitgeverijen hebben daarmee een grondslag om persoonsgegevens te verwerken. Het is voor een leerkracht immers van belang om te kunnen zien wie welke opgaven heeft gemaakt en of een leerling het lesmateriaal onder de knie heeft.
Snappet had geen gerechtvaardigd belang
De verklaring van de GEU is opvallend. In september van dit jaar oordeelde de Nederlandse privacywaakhond, het CBP, dat het bedrijf Snappet geen beroep kon doen op deze grondslag. Snappet verwerkte onder meer de leerresultaten van kinderen die waren verkregen via apps op tables. Het CBP gaf aan dat:
[zes] verwerkingen [van Snappet] niet evident noodzakelijk zijn om onderwijs te kunnen geven met behulp van de tablets en omdat het om gevoelige gegevens gaat. De verwerkingen voldoen niet aan het proportionaliteitsvereiste. De verwerkingen voldoen ook niet aan het subsidiariteitsvereiste en door het ontbreken van andere waarborgen (zoals transparantie), maken de gegevensverwerkingen voor deze doeleinden (…) in verhouding een te grote inbreuk op de persoonlijke levenssfeer van de kinderen.
Het belang van Snappet weegt daarom niet op tegen het recht van de kinderen op eerbiediging van hun persoonlijke levenssfeer, aldus het CBP. De verklaring van de uitgevers benadrukt de belangen van de uitgevers en de leerkrachten, maar verduidelijkt niet hoe de belangen van de leerlingen – als zelfstandig gewicht in de schaal – zich verhouden tot de andere belangen.
Grondslag gegevensverwerking vooralsnog twijfelachtig
Is de verklaring van de GEU overtuigend? Dat valt te bezien. Vooralsnog is het twijfelachtig of het CBP de uitleg in het persbericht zonder nadere toelichting zal accepteren, gelet op de overwegingen uit het Snappet-rapport. Onderzoeksbureau PwC uitte zich daarnaast kritisch over de gang van zaken binnen de keten van digitale leermiddelen.
Als de uitgevers het advies van de Artikel 29 Werkgroep (een orgaan bestaande uit Europese privacytoezichthouders) hebben opgevolgd, dan bestaat er een uitgebreid document waarin de belangenafweging in een balancing test uiteen wordt gezet. Dat document biedt mogelijk meer duidelijkheid over de grondslag waarop de uitgevers een beroep doen.
Hoe nu verder?
Innovatie met digitale leermiddelen en privacy kunnen prima samengaan, mits de gewenste doelen en middelen (juridisch) goed geregeld zijn. De bal ligt nu bij de staatssecretaris. Mogelijk laat hij zich inspireren door het Witte Huis. Volgens de regering van Obama mogen digitale innovaties binnen het klaslokaal niet leiden tot privacy-inbreuken. Scholen doen er daarom goed aan om in kaart te laten brengen welke gegevens zij verwerken van de leerlingen, met wie deze gegevens gedeeld worden en of de verwerkingen wettelijk zijn toegestaan.