Nederlandse scholen verzamelen steeds meer gegevens over studenten en zijn te veel afhankelijk van een klein aantal grote techbedrijven. Daarvoor waarschuwt de Autoriteit Persoonsgegevens, die zowel scholen als het demissionair kabinet daarover aanschrijft.
De Autoriteit Persoonsgegevens onderzocht privacyrisico's in het onderwijs. De privacywaakhond bekeek ook wat de trends zijn en hoe die mogelijk een risico kunnen vormen voor studenten. In het rapport komen met name drie onderdelen naar voren. Zo waarschuwt de AP dat onderwijsinstellingen steeds meer data over leerlingen verzamelen. Dat gebeurt via tools en toepassingen zoals 'adaptieve leermiddelen' en analytische gegevens. "Deze gegevens bevatten veel informatie over het gedrag en de ontwikkeling van leerlingen en studenten. Hieraan zijn risico’s gekoppeld die de ontwikkeling van kinderen en jongeren kunnen schaden", schrijft de toezichthouder. Ook vergroot dat de risico's die ontstaan bij datalekken. De AP zegt regelmatig signalen te krijgen omdat klagers niet goed weten wat er met verzamelde gegevens gebeurt.
Een tweede risico dat onderwijsinstellingen lopen is volgens de AP de afhankelijkheid van 'grote (internationale) leveranciers'. Hoewel de privacywaakhond geen specifieke bedrijven of tools noemt, gaat het hoogstwaarschijnlijk om software zoals Google Workspace for Education. Scholen gebruikten jarenlang Googles software, maar dat kwam vorig jaar onder vuur te liggen na een eerder advies van de AP en na een onderzoek door het ministerie van Onderwijs. Google heeft de software inmiddels aangepast, maar nog steeds blijven dergelijke bedrijven volgens de Autoriteit een risico. "Door hun dominante positie kunnen deze leveranciers een zekere macht uitoefenen op de markt. Deze macht van grote leveranciers, hun gebrek aan transparantie en het gebrek aan kennis bij vooral de kleine onderwijsinstellingen maken het lastig om de juiste waarborgen voor gegevensbescherming te bepalen en indien nodig af te dwingen bij de leverancier", waarschuwt de toezichthouder.
Een derde risico ligt in het uitwisselen van gegevens van leerlingen met andere onderwijsinstellingen. Dat komt steeds vaker voor, constateert de toezichthouder. Het gaat om samenwerkingsverbanden tussen scholen en "data- en informatieknooppunten waarbij verschillende (publieke) partijen zijn aangesloten". Hierdoor is vaak niet duidelijk waar gegevens blijven en wat daarmee gebeurt.
Meer kennis
Uit het onderzoek van de AP is ook gebleken dat privacy en security van gegevens steeds belangrijker worden binnen het bestuur van scholen, maar dat er door beperkte budgetten en bezettingen vaak nog veel verschil is in kennis. Ook zou het kennisniveau bij veel managers niet op niveau zijn. Ook constateert de AP dat veel scholen wel bewust zijn van de AVG, maar de theorie vaak moeilijk kunnen vertalen naar de praktijk.
In de paper van de privacywaakhond staan aanbevelingen voor scholen om de bescherming van gegevens beter te regelen. Zo zou er meer bewustzijn over privacy moeten worden gecreeërd en zou de functionaris gegevensbescherming een duidelijkere rol moeten krijgen. Ook roept de AP op meer samen te werken in de sector en zouden risico's meer en beter in kaart moeten worden gebracht.
Grotere rol van overheid
De AP deed het onderzoek nadat het eerder al aanbevelingen had gedaan aan de overheid. Dat gebeurde na het onderzoek naar Google Workspace. De AP raadde de overheid toen aan 'een meer faciliterende en coördinerende rol' aan te nemen. "De AP is van mening dat de reactie op deze brief nog onvoldoende duidelijk maakt hoe de ministers hier concreet invulling aan gaan geven", schrijft de toezichthouder nu.