Online lesgeven en/of tentamens afnemen: een Data Protection Impact Assessment (DPIA) noodzakelijk?

20 mei 2021 - In dit artikel adviseren we over het uitvoeren van een Data Protection Impact Assessment (DPIA), welke in bepaalde gevallen wordt verplicht vanuit de Autoriteit Persoonsgegevens (AP).

Door de maatschappelijke taak van onderwijsinstellingen is het inherent dat zij te maken hebben met een veelheid van belanghebbenden. Dit zijn leerlingen en studenten, maar ook ouders en verzorgers, docenten, toezichthouders, gemeentelijke en sociaal maatschappelijke instellingen en soms zelfs politie en zorgverleners. Onderwijsinstellingen vallen onder een hogere risicoklasse wanneer het gaat om privacybescherming, mede door de aard en complexiteit van de persoonsgegevens die worden verzameld en verwerkt. Hier hoort een passend beveiligingsbeleid bij dat risico's op onrechtmatig en onbevoegd gebruik van (gevoelige) persoonsgegevens moet minimaliseren. 

Digitaal onderwijs

Binnen de onderwijssector wordt al langere periode gefocust op innovatie. Zo werken universiteiten, hogescholen, mbo-instellingen, umc's en onderzoeksinstellingen samen om digitale diensten te faciliteren en kennisdeling te stimuleren In toenemende mate worden digitale leermiddelen beschikbaar gesteld, wat door de coronapandemie extra is versneld. Er wordt veelvuldig gebruik gemaakt van steeds nieuwere applicaties, voor het houden van interactieve lessen en colleges. De inzet van applicaties als onderdeel van het lesmateriaal is soms het initiatief van een docent en niet altijd bekend binnen de organisatie, terwijl deze applicaties mogelijk niet voldoen aan het beveiligingsbeleid. Hoewel het inmiddels voor de meeste onderwijsinstellingen weer mogelijk is om onderwijs (deels) fysiek te laten plaatsvinden, is digitalisering in het onderwijs niet  meer weg te denken. Het is daarom van belang dat de verantwoordelijkheid die hiermee gepaard gaat volledig wordt omarmd door onderwijsinstellingen en alle spelers in de keten, zoals brancheorganisaties, leveranciers en toeleverend / vervolgonderwijs.

Naast applicaties ter ondersteuning van het lesmateriaal hebben onderwijsinstellingen ook nieuwe toepassingen ter ondersteuning van het online lesgeven in gebruik genomen. Hierbij is te denken aan applicaties voor videobellen en online proctoring tooling (het digitaal afnemen van toetsen / tentamens waarbij toezicht wordt gehouden door het monitoren van bijvoorbeeld de webcam, microfoon en openstaande tabs op internet). Hoewel het gebruik van dergelijke toepassingen gewenst is om het onderwijs op een zo goed mogelijke manier doorgang te laten vinden en fraude tegen te gaan, maakt het gebruik van dit soort software ook inbreuk op de privacy van medewerkers en studenten. Daarom is het van belang dat er wordt gelet op een gedegen verwerking van de persoonsgegevens die worden verkregen bij het gebruik van nieuwe toepassingen.

Een goed voorbeeld waaruit blijkt dat de ingebruikname van een nieuwe toepassing voor problemen kan zorgen is de datalek dat in januari dit jaar heeft plaatsgevonden bij de Hanzehogeschool in Groningen. Door het niet optimaal beveiligen van de online tentamens was het mogelijk voor onbevoegden om via een link mee te kunnen kijken naar de studenten die bezig waren met het maken van tentamens, wat een vergaande inbreuk is op de privacy van studenten. Een andere valkuil zit bij medewerkers die thuiswerken, waar een goed beveiligd netwerk niet vanzelfsprekend is en ook gevoeliger is voor datalekken. 

Maak digitaal onderwijs veiliger

Onderwijsinstellingen dienen aan te kunnen tonen dat zij de juiste technische en organisatorische maatregelen hebben genomen om de persoonsgegevens van studenten en medewerkers te beschermen bij het gebruik van nieuwe toepassingen. Eén van de concrete handelingen die de Algemene Verordening Gegevensbescherming (AVG) noemt, is het uitvoeren van een zogeheten Data Protection Impact Assessment (DPIA). Dit is een middel waarmee de risico's van gegevensverwerkingen in kaart worden gebracht, waarna vervolgens maatregelen worden getroffen om deze risico's te verkleinen. 

Jan Matto

Uit ons onderzoek blijkt dat slechts 14% van de onderzochte onderwijsinstellingen het afgelopen jaar een DPIA voor nieuwe gegevensverwerkingen heeft uitgevoerd. Daarnaast heeft het merendeel van de door ons onderzochte onderwijsinstellingen geen verplichte DPIA uitgevoerd om risico’s van gevoelige gegevensverwerkende applicaties (zoals videobellen of online proctoring tooling) in kaart te brengen.

Jan Matto Partner IT Audit & Advisory

Download hier de benchmark

Vanuit de Autoriteit Persoonsgegevens geldt als vuistregel dat een DPIA moet worden uitgevoerd wanneer een verwerking aan twee of meer onderstaande criteria voldoet: 

  • Het beoordelen van mensen op basis van persoonskenmerken (zoals gedragsanalyse aan  de hand van een algoritme bij online proctoring) 
  • De gevoeligheid van de gegevens die via het medium kunnen worden gedeeld (zoals religieuze overtuiging, gezondheidsgegevens, of politieke voorkeur)
  • De grootschaligheid van de gegevensverwerking
  • De kwetsbare positie van de personen van wie gegevens worden verwerkt (bv. een scheve machtsverhouding tussen de onderwijsinstelling en de docent of student)
  • Stelselmatige en grootschalige monitoring (hierbij gaat het om monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht)
  • Gebruik van nieuwe technologieën (de reden hiervoor is dat nieuwe technologieën gepaard kunnen gaan met nieuwe manieren om gegevens te verzamelen en gebruiken, met mogelijke grote privacyrisico’s van dien)
  • Gekoppelde databases (hierbij gaat het om gegevensverzamelingen die aan elkaar gekoppeld of met elkaar gecombineerd zijn. Bijvoorbeeld databases die voortkomen uit twee of meer gegevensverwerkingen met verschillende doelen en/of uitgevoerd door verschillende verantwoordelijken, op een manier die betrokkenen niet redelijkerwijs kunnen verwachten)
  • Blokkering van een recht, dienst of contract (bijvoorbeeld een onderwijsinstelling die persoonsgegevens verwerkt om te bepalen of zij een student willen toelaten) 
  • Geautomatiseerde beslissingen (hierbij gaat het om beslissingen die voor de betrokkene rechtsgevolgen of vergelijkbare wezenlijke gevolgen kan hebben)

Maakte u al gebruik van een digitale tool of applicatie, zoals Microsoft Teams, en zet u deze nu (ook) in voor onderwijs op afstand? Dan veranderen mogelijk de risico’s die uit de verwerking voortvloeien. Of heeft u twee van de bovengenoemde criteria als relevant moeten aanvinken? Dan kan het zijn dat u verplicht bent een (nieuwe) DPIA uit te voeren. Daarnaast is het uitvoeren van een DPIA niet een eenmalig iets, het is een continu proces. Ga periodiek na of u de DPIA moet herzien, onder meer om de noodzakelijkheid van de verwerking opnieuw te beoordelen. De aangekondigde versoepelingen ten aanzien van de coronamaatregelen is bijvoorbeeld een goede aanleiding. 

Meer weten?

Wilt u meer weten over een Data Protection Impact Assessment (DPIA)? Neem dan contact op met Jan Matto, Partner IT Audit & Advisory, per e-mail of per telefoon: +31 (0)88 277 13 99, Marissa de Beeld, Privacy and Compliance Specialist, per e-mail of per telefoon: +31 (0)88 277 16 16, of Ivar Brouwer, Sectorleider Onderwijs en Senior manager Audit, per e-mail of per telefoon: +31 (0)88 277 21 21. Zij helpen u graag verder.