Privacy in het onderwijs: trends en risico’s AP en ontwikkelingen in de sector

25 april 2022 | Blog

Eind 2021 heeft de Autoriteit Persoonsgegevens (‘AP’) een paper naar buiten gebracht over trends, risico’s en aanbevelingen over de bescherming van persoonsgegevens bij digitalisering in het onderwijs. In dit blog zal ik nader ingaan op een aantal van deze trends en risico’s. Verder zal ik in het verlengde hiervan aandacht besteden aan een aantal (recente) ontwikkelingen.

AP: trends en risico’s

In haar paper staat de AP allereerst stil bij de monitoring van leerlingen en studenten. In dat kader wijst de AP erop dat onderwijsinstellingen steeds meer gegevens tot hun beschikking hebben door de inzet van nieuwe toepassingen als adaptieve leermiddelen en learning analytics. Doordat deze gegevens informatie bevatten over het gedrag en de ontwikkeling van studenten, kleven hier risico’s aan wanneer deze gegevens bijvoorbeeld verkeerd worden geïnterpreteerd of misbruikt.

Ook wijst de AP op het in toenemende mate uitwisselen van gegevens van studenten in samenwerkingsverbanden en data- en informatieknooppunten, waarbij verschillende (publieke partijen) zijn aangesloten. Hierbij geeft de AP aan dat het van belang is dat het voor studenten inzichtelijk blijft aan wie persoonsgegevens worden verstrekt.

Verder wordt door de AP aangegeven dat veel essentiële zaken in het gedigitaliseerde onderwijs worden geleverd door grote leveranciers (techbedrijven), die door hun dominante positie een zekere macht uitoefenen op de markt. Hierbij noemt de AP dat deze macht, het gebrek aan transparantie bij deze bedrijven en het gebrek bij kennis vooral bij de kleine onderwijsinstellingen het lastig maken om de juiste waarborgen voor gegevensbescherming te bepalen en zo nodig af te dwingen bij de leverancier.

Uit diverse recente ontwikkelingen volgt dat de problematiek rondom de afhankelijkheid van grote techbedrijven niet alleen speelt bij kleine onderwijsinstellingen, maar dat dit onderwerp eigenlijk relevant en actueel is voor de gehele onderwijssector..

Een aantal recente ontwikkelingen in de onderwijssector

Verklaring nationale aanpak digitale en open leermaterialen

De Universiteiten van Nederland (koepelorganisatie van de veertien publieke universiteiten van Nederland), de Vereniging van Hogescholen en SURF (ict-samenwerkingsorganisatie van onderwijs- en onderzoeksinstellingen van Nederland) hebben de ‘Verklaring Nationale aanpak digitale en open leermaterialen’ ondertekend. Een belangrijk onderdeel van deze verklaring is de regie die onderwijsinstellingen graag (weer) wensen te voeren. Deze regie heeft onder meer betrekking op het verzamelen en het gebruik van persoonsgegevens die in het onderwijs worden verzameld, zowel van studenten als van medewerkers.  Al geruime tijd is er namelijk vanuit verschillende hoeken kritiek op verschillende aspecten rondom de bescherming van persoonsgegevens in het onderwijs, onder andere ten aanzien van de afhankelijkheid van grote techbedrijven.

Afhankelijk van grote techbedrijven

De aandacht voor de afhankelijkheid van grote techbedrijven in het onderwijs heeft sinds de Covid-19-pandemie een enorme vlucht genomen. Zo pleitte een hoogleraar van de Universiteit Utrecht vorige zomer voor een door de overheid te ontwikkelen alternatief voor de op dit moment door grote technbedrijven geleverde toepassingen. Ook het Landelijk Overleg Universitaire Medezeggenschap (LOVUM) stelt zich op een vergelijkbaar standpunt door aan te geven dat het hoger onderwijs meer regie zou moeten nemen en sommige software weer zelf moet ontwikkelen.

De afgelopen tijd zijn diverse veel gebruikte toepassingen van grote techbedrijven in het (hoger) onderwijs negatief in nieuws gekomen, waaronder Zoom, Microsoft Teams en Proctorio.

Zoom

In mei 2021 was de uitkomst van een in opdracht van Nederlandse universiteiten en de overheid uitgevoerde Data Protection Impact Assessment (‘DPIA’) dat er voor de gebruikers van Zoom negen hoge en drie lage gegevensbeschermingsrisico’s waren. Na deze DPIA heeft Zoom een flink aantal maatregelen heeft getroffen en toegezegd. Uit een nieuw uitgevoerde DPIA die vorige maand is gepubliceerd, kwam naar voren dat Zoom alle hoge gegevensbeschermingsrisico’s heeft opgelost. Er zijn overigens nog wel zes lage risico’s, maar hiervan wordt gezegd dat universiteiten en instellingen daar zelf maatregelen tegen kunnen nemen. Uiteindelijk heeft Zoom een nieuw contract gesloten met de Nederlandse universiteiten en de overheid.

Microsoft Teams, OneDrive en SharePoint

Verder is recentelijk onderzoek gedaan naar de privacyrisico’s van Microsoft Teams, OneDrive en SharePoint. Uit dit onderzoek is naar voren gekomen dat Microsoft maatregelen heeft genomen om zes hoge gegevensbeschermingsrisico’s te verhelpen, maar dat organisaties deze clouddiensten niet mogen gebruiken voor het uitwisselen of opslaan van gevoelige of bijzondere persoonsgegevens. Dit hoge risico is gelegen in de Amerikaanse wetgeving voor inlichtingendiensten. Hoewel Microsoft eigen encryptie toepast op alle gegevens van haar klanten tijdens het transport via internet en op de opgeslagen bestanden, bestaat alsnog het risico dat toegang tot deze gegevens kan worden gevorderd via Amerikaanse wetgeving. In de situatie dat Microsoft toegang heeft tot de sleutel van de versleutelde gegevens, kan zij namelijk worden gedwongen om de gegevens te ontsleutelen en te verstrekken. Het feit dat dit waarschijnlijk vooral theoretisch is maakt dit niet anders. Microsoft dient meer aanpassingen en verbeteringen door te voeren om dit resterende hoge risico en zes lage gegevensbeschermingsrisico’s te beperken. Ook wordt in het onderzoek aangegeven dat de belangrijkste maatregel die organisaties in Europa zelf kunnen nemen tegen voornoemd risico met betrekking tot Amerikaanse inlichtingendiensten, is het versleutelen van de gegevens met een eigen sleutel, waar ook een leverancier zoals Microsoft geen toegang toe heeft.

Proctorio

Eerder schreven wij over een uitspraak van het gerechtshof Amsterdam waarin werd geoordeeld dat de Universiteit van Amsterdam gebruik mocht blijven maken van de software Proctorio bij het afnemen van tentamens. Eind vorig jaar werd echter bekend dat – na een door ethisch hackers uitgevoerd onderzoek - Proctorio een lek had, waardoor tienduizenden Nederlandse studenten makkelijk te hacken zijn geweest.

Vervolgens zijn er door GroenLinks kamervragen gesteld over het gebruik van Proctorio door onderwijsinstellingen en hebben zij aangegeven dat Proctorio alleen in uitzonderlijke gevallen moet worden gebruikt.

Begin (2022) heeft Minister Dijkgraaf van Onderwijs, Cultuur en Wetenschap antwoord gegeven op de gestelde kamervragen. In vrij algemene bewoordingen reageert hij op het standpunt dat Proctorio alleen in uitzonderlijke gevallen dient te worden gebruikt door aan te geven dat de inzet van proctoring alleen een geschikte optie kan zijn om een tentamen af te leggen als er geen goed alternatief is. Daarnaast geeft hij aan dat het inzetten van proctoring een oplossing kan bieden aan studenten die niet naar een instelling kunnen komen. Uit de antwoorden van Minister Dijkgraaf lijkt opgemaakt te kunnen worden dat hij zich niet al te veel te wil bemoeien met (de bescherming van) persoonsgegevens in het onderwijs. Zo geeft hij onder meer het volgende aan: ‘Het is de verantwoordelijkheid van hoger onderwijsinstellingen om de privacy op orde te hebben. Daarover leggen hoger onderwijsinstellingen geen verantwoording af bij OCW’. Op de onderwijsinstellingen rust de taak om met de softwareleveranciers in gesprek te gaan over de beveiliging van de software, aldus minister Dijkgraaf.

Of onderwijstellingen daadwerkelijk minder afhankelijk zullen worden van grote techbedrijven valt nog maar te bezien. Ondanks diverse kritische geluiden, onderzoeken en aandacht in de politiek, lijkt het er vooralsnog niet op dat de afhankelijkheid van grote techbedrijven op korte termijn zal afnemen. Dit zal in de praktijk dan ook veelal een lastige opgave zijn. Desalniettemin is het in ieder geval een positieve ontwikkeling dat er steeds meer aandacht is voor de inzet en afhankelijkheid van (de toepassingen van) grote techbedrijven en – meer zijn algemeenheid - privacy in het onderwijs ook steeds meer een punt van discussie lijkt te zijn.  

De AP heeft vorig jaar onderzoek gedaan naar online (video)bellen en online proctoring in het onderwijs. Daarover schreven wij vorig jaar een blog. Naar aanleiding van haar onderzoek heeft de AP diverse aanbevelingen gepubliceerd, onder meer ten aanzien van het kiezen van een leverancier. De AP had in dat kader de volgende (algemene) aanbevelingen:

  • kies een softwareleverancier die voldoet aan de privacywetgeving;
  • het raadplegen van de website lesopafstand.nl, samengesteld door onder meer het ministerie van OCW en sectororganisaties;
  • stel eisen aan het gebruik van gegevens van leerlingen/studenten en personeel. Hierbij is het belangrijk om ten minste aandacht te besteden aan het direct wissen van gegevens die niet noodzakelijk zijn;
  • het sluiten van een verwerkersovereenkomst met de leverancier, waarin afspraken staan die ten minste voldoen aan de eisen uit de AVG. Hierbij is het van belang om aandacht dat de juiste waarborgen zijn getroffen wanneer leveranciers afkomstig zijn van buiten de EER.

Heeft u vragen over privacy binnen het onderwijs? Neem dan contact op met Jurriaan Dane.

Meld u aan voor onze nieuwsbrieven