Bloggers

Van Wilfred Rubens (redactie) | 08-11-2017 | | (0) reacties

Learning analytics onder de AVG, wat mag er nog? #OWD17

Internetjurist Arnoud Engelfriet mocht tijdens de Onderwijsdagen een presentatie verzorgen over learning analytics en de nieuwe privacyverordening (Algemene Verordening Gegevensbescherming). Wat zijn de belangrijkste wetenswaardigheden?

• In tegenstelling tot de Wet Bescherming Persoonsgegevens krijg je onder AVG direct forse boetes.
• Je moet ook een onafhankelijk functionaris hebben die persoonsgegevens gaat beschermen.
• Je moet nu veel strengere maatregelen treffen om persoonsgegevens te beschermen.
• Als je dingen weet over mensen, kun je daar dingen mee. Mensen hebben recht op hun persoonsgegevens.
• In elk Europees land is de AVG van toepassing.
• Persoonsgegevens zijn ook gegevens die iets zeggen over een persoon. Niet alleen de naam. Gegevens over één persoon (zoals studentnummer) zijn persoonsgegevens.
• De AVG verbiedt niet alles. Je moet kunnen aantonen waarom je iets doet, en waarom dat niet een onsje minder kan. Je moet meer gaan verantwoorden.
• Als je een identificator hasht, dan is dat ook een persoonsgegevens.
• Geaggregeerde gegevens zijn geen persoonsgegevens. Die vallen dus niet onder persoonsgegevens.
• Verwerk geen bijzondere persoonsgegevens (zoals etniciteit, biometrische gegevens, seksuele gerichtheid, medische kenmerken, politieke voorkeur).
• Je mag niets met biometrische gegevens doen, tenzij dat in de nationale wetten is vastgelegd. Als jij hard kunt maken dat je biometrische gegevens nodig hebt voor identificatie, dan mag dat.
• Arnoud presenteerde beginselen over het omgaan met persoonsgegevens (zoals niet meer gegevens vragen dan noodzakelijk, doelbinding/doelbeperking (gebruik gegevens alleen voor je doelen), accuraat en relevant). Gegevens die iemand privé deelt, mogen niet gewerkt worden. Je hebt bijvoorbeeld wel een reden nodig voor toetsafmelding, maar je mag daar niet te specifiek in zijn wat betreft redenen.
• De invoering van de AVG wordt een ramp. Medewerkers hadden er op voorbereid moeten zijn. Daar hebben instellingen twee jaar de tijd voor gehad. Die tijd is niet benut.
• Eén van de grondslagen is dat sprake is van gerechtvaardigd eigen belang of het doen van wetenschappelijk onderzoek.
• Toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Als er machtsverhoudingen in het geding zijn dan is toestemming uit vrije wil eigenlijk niet aan de orden. Er moet een alternatief zijn of je moet zonder gevolgen ‘nee’ kunnen zeggen.
• Als je bij inschrijving aan een school mensen akkoord laat gaan met analyseren tbv learning analytics, dan mag dat.
• Je moet vastleggen wat je doet met gegevens (Europees Taalniveau B2).
• Studenten hebben recht een kopie te krijgen van gegevens die worden gebruikt. Er is ook sprake van recht van correctie en verwijdering. Je moet vooral motiveren. Onder meer wat betreft bewaartermijnen. Een toezichthouder bewaakt de motivatie.
• Je bent verplicht een register van verwerking te hebben waarin o.a. grondslagen, ontvangers, beveiliging en bewaartermijnen worden vastgelegd.
• Bepaalde verwerkingen besteed je uit. Bijvoorbeeld cloud diensten. Jij bent verantwoordelijk daarvoor. Een bewerker of verwerker handelt in jouw opdracht. Betrokkenen hebben rechten jegens de onderwijsinstelling. Jij bent als instelling verantwoordelijk voor boetes voor datalekken. Personen -individuele medewerkers- zijn niet verantwoordelijk voor datalekken. Maar je kunt hen natuurlijk wel straffen voor het schade aanbrengen.
• Deze wet is een reactie op de grote datastofzuigers. Als je het al op orde hebt, dan is het vooral een kwestie van documenteren.