Mijn vorige blog over Learning Analytics werd besloten met enige opmerkingen over de privacywet m.b.t. het verzamelen en analyseren van data.
Arnoud Engelfriet gooit op de openingsdag van de OWD2015 met de presentatie ‘Op de pijnbank van de privacywet’ de zaal in het diepe met het ‘toestemmingsvinkje’. Weten we eigenlijk waar we toestemming voor geven?
De privacywet dwingt aanbieders vooraf toestemming te laten verlenen voordat we iets mogen gebruiken of bestellen. Dit betekent niet dat we toestemming geven voor ongebreidelde handel met onze data, maar het is wel een beetje risico nemen.
Het het heeft te maken met het begrip ‘vrijwillig’. Dus bij een afgedwongen vinkje is de verkregen data veilig, hoewel? Het is wat ingewikkelder.
Als je studenten verplicht een bepaald programma te gebruiken waarmee ze een taak moeten verrichten, dan is er sprake van een gedwongen toestemming. De toestemming betekent niet dat de instelling alles met de data mag doen.
Vooraf moet specifiek worden benoemd waar toestemming voor wordt verleend, dus er moet sprake zijn van transparantie. In dit verband wordt er gesproken van ‘op informatieberustend’, je moet vooraf worden geïnformeerd wat er met de informatie die wordt verkregen precies zal worden gedaan.
Hoe zit dat op scholen? Waar geven leerlingen (hun ouders) en studenten toestemming voor? Stel dat je een keuzevak wilt gaan volgen en er verschijnt een pop-up waarin je toestemming moet geven voordat je kunt deelnemen, kan er dan met de verkregen data van alles wordt gedaan? Mag de opleiding dat aan je vragen? Ja, dat mag, als het maar om een vrijwillig vak gaat. Bij vakken die studenten verplicht moeten volgen, mogen dergelijke toestemmingsverklaringen niet worden gevraagd.
Voor instellingen is het handig als zij data verzamelen om later te kunnen analyseren. Maar handig is niet hetzelfde als noodzakelijk.
Instellingen/scholen moeten objectief kunnen aantonen dat de dataverzameling nodig is en ze moeten expliciteren waarvoor het nodig is. Zij hebben een publiekrechtelijke taak, daar zijn gegevens voor nodig en vervolgens moet er worden afgewogen in hoeverre verkregen data beschikbaar mag komen voor nadere analyses. Het kan handig zijn om data te bewaren zodat er ook langere termijntrends beschikbaar komen, maar in hoeverre is dat noodzakelijk voor de huidige cohorten? Zijn die er ook bij gebaat?
De Wet zegt dat gegevens niet langer bewaard mogen worden dan nodig. Maar wat is nodig? Vaak worden gegevens lang bewaard en deze data is interessant om een trendanalyse te doen. Dit mag alleen als eerder is aangegeven dat de data eventueel ook voor andere wetenschappelijke doelen zou kunnen worden gebruikt. Wetenschappers kunnen dus gegevens opvragen bij instellingen voor onderzoek, maar de data moet geanonimiseerd worden zodat het niet naar personen valt te herleiden.
Recht op informatie en inzage in dossier
Naarmate er meer data kan worden opgeslagen en bewaard, wordt het belangrijker om vooraf te weten waar wel of geen toestemming voor wordt gegeven. Nu is lang niet altijd bij ouders en school bekend welke data wordt verzameld door digitale programma’s die worden gebruikt op school en thuis.
Studenten (leerlingen) hebben recht om hun gegevens in te zien en vragen te stellen. Wat wordt er van mij bewaard, hoe zijn die gegevens verkregen, kloppen de gegevens, wat wordt ermee gedaan, naar wie wordt dit gestuurd? Voordat data door anderen voor andere doelen worden gebruikt hebben de betrokkenen er recht op de gegevens die zijn bewaard te controleren, te verbeteren en te wissen. Zouden we er niet naar moeten streven dat iedereen die een school of instelling verlaat, of gaat verlaten, een oproep ontvangt om de verzamelde data in te zien, te controleren, (onderdelen) te verbeteren, delen te wissen en/of data volledig te anonimiseren?
Verder lezen?
In de Correspondent van 12 november 2015: Bij het nieuwe DigiD zijn bedrijven eigenaar van je gegevens.
In de Volkskrant van 12 november 2015: Alibaba en de Chinese datarovers.
recente reacties