Online reken- en taalles, een werkstuk maken op de Chromebook, software om mee te kijken op het scherm van de leerling; er wordt veel gebruikgemaakt van digitale leermiddelen in het basisonderwijs. Leerlingen werken naast in hun schrift ook digitaal en hun cijfers worden geregistreerd in een leerlingadministratiesysteem zoals ParnasSys. In een leerlingvolgsysteem kan daarnaast data worden verzameld over de individuele ontwikkeling van een kind, zowel in toetsen als op emotioneel vlak. Dat kan ook ParnasSys zijn, of bijvoorbeeld CITO of IEP. Vervolgens worden de gegevens hieruit vaak gedeeld via oudercommunicatieapps zoals Parro of Social Schools, waarin ouders berichten ontvangen over hun kind en de school.
Hoe meer er gebruik wordt gemaakt van online lesmethoden en hoe meer de individuele ontwikkeling van een kind wordt gemonitord, hoe meer gegevens er worden verzameld en verwerkt. In 2018 ging de AVG (Algemene verordening gegevensbescherming) in, die scholen verplicht om de privacy van hun leerlingen te beschermen. De verwerking van gegevens van leerlingen moet zorgvuldig gebeuren om de privacy van de kinderen te beschermen. Ook moeten scholen verantwoorden welke gegevens ze verzamelen, gebruiken en verwerken en waarom dit gebeurt.
Op papier zijn privacy en informatiebeveiliging vaak al goed geregeld, ziet Job Vos. Hij is juridisch adviseur bij Privacy op School en helpt als functionaris voor gegevensbescherming scholen aan de AVG voldoen. “Het papierwerk moet kloppen: het privacyregelement, inzageprocedures. Maar hoe ver scholen zijn met dat beleid vervolgens in de praktijk brengen, verschilt onderling. Daar zijn ze nog volop mee bezig. Maar ik vind dat je wel kunt zeggen dat er enorme stappen zijn gezet”, aldus Vos.
Alle mogelijkheden gebruiken
In gemeente Ede vallen zes basisscholen onder schoolbestuur SKOVV (Stichting Katholiek Onderwijs Veluwe-Vallei). Voor alle SKOVV-scholen is Berend Cornel de privacy officer, wat betekent dat hij verantwoordelijk is voor het voldoen aan de AVG. SKOVV was al bezig met het digitaliseren van onderwijs, maar in de coronatijd is dat in een stroomversnelling terechtgekomen, vertelt Cornel. “Er zijn enorme stappen gezet. Daaruit zijn nu nog een aantal dingen geregeld die we niet meer loslaten. Als kinderen thuis komen te zitten, dan kunnen ze gewoon online bij hun lesstof. Eventueel kunnen ze online meekijken bij de les. Dat is nu niet meer standaard, maar indien nodig, kan het wel.”
Op de St. Alexanderschool, waar Cornel directeur is, wordt ook meekijksoftware gebruikt op de schoolcomputers. Deze software houdt bij welke websites de leerling de afgelopen twee weken heeft bezocht. Ook kan de leerkracht live meekijken met leerlingen. “Niet alleen op school, maar ook eventueel thuis”, licht Cornel toe. Met hulp van experts heeft de school ervoor gezorgd dat dit ook binnen de privacyregels past; de ouders zijn geïnformeerd over het gebruik van de software en op hun recht om hier bezwaar tegen te maken.
Ook de leerling heeft een zegje: die moet eerst akkoord geven, voordat de leerkracht kan meekijken. De ervaring leert dat leerlingen automatisch op ‘akkoord’ klikken. “Als dat niet zo is, voeren we een goed gesprek met die leerling: wat is de reden waarom je dat niet doet?”, stelt Cornel. Het is nog niet voorgekomen dat een leerling of een ouder geen akkoord wil geven, dus de exacte consequenties hiervan zijn niet duidelijk. “Als dit zich zou voordoen dan betekent het waarschijnlijk dat deze leerling niet online kan of mag werken. Maar omdat we dit nog niet hebben meegemaakt is hier ook geen antwoord op geformuleerd”, aldus Cornel.
Uit een meting van Kennisnet bleek begin dit jaar dat er vier typen schoolbesturen zijn op het gebied van informatiebeveiliging en privacy: van koplopers (zo’n 10%) die beleid én praktijk weten te regelen, tot achterblijvers (zo’n 40%) zonder beleid en praktijk. De overige 50% bestaat uit schoolbesturen die of beleid hebben zonder praktijk, of andersom. Zelfs de koplopers blijken nog niet voldoen aan alle normen uit het Normenkader voor informatiebeveiliging en privacy in het onderwijs. Alle scholen moeten vóór 2027 aan het Normenkader voldoen. Het ministerie van Onderwijs, Cultuur en Wetenschap biedt hiervoor met een aantal partners in programma Digitaal Veilig Onderwijs ondersteuning aan scholen.
De AVG geeft kinderen jonger dan 16 jaar extra bescherming, omdat kinderen de risico’s van de verwerking van hun gegevens minder goed kunnen inschatten. Kinderen onder de 16 jaar kunnen daarom zelf geen geldige toestemming geven, dat moet via de ouder(s)/verzorger(s) van het kind. Aline Klingenberg, hoogleraar Onderwijsinnovatie, datadelen en communicatierecht aan de Rijksuniversiteit Groningen, kijkt kritisch naar het vragen van toestemming voor het gebruik van meekijksoftware. “Als ouders voor hun kinderen toestemming geven, moet dat vrije toestemming zijn. Je moet medewerking kunnen weigeren zonder consequenties. De vraag is of dat hier het geval is. Wat gebeurt er als een ouder of leerling weigert? Kun je dan lessen niet volgen, heb je dan geen toegang tot lesmateriaal?”
Volgens Klingenberg vragen scholen vooral om toestemming als ze gegevens willen verzamelen die eigenlijk niet echt nodig zijn voor het geven van onderwijs. “Scholen hoeven niet om toestemming te vragen om cijfers en studievoortgang bij te houden. Dat is logisch, want anders kun je als onderwijsinstelling je taak niet uitvoeren. De vraag moet zijn: heb je deze gegevens nodig om je onderwijstaak uit te voeren? Als het antwoord ’nee’ is, dan vragen ze vaak om toestemming. Maar dat moet voor de AVG dan wel vrije toestemming zijn”, licht Klingenberg toe.
Kinderrechten
Naast de AVG-regels is ook de wenselijkheid van digitaal onderwijs een punt om rekening mee te houden. Privacy op School doet daarom een proef om bij het gebruik van meekijksoftware niet alleen rekening te houden met privacyregels, maar ook met de rechten van de kinderen. “Je verbreedt dan eigenlijk het perspectief, waarbij je ook kijkt naar kinderrechtenen kinderwelzijn. Wat doet het met de autonomie van het kind of met de creativiteit van het kind?”, legt Evelijn Jeunink uit. Zij werkt vanuit Privacy op School aan een kinder-DPIA, waar niet alleen de belangen van scholen worden gewogen, maar ook het welzijn van het kind wordt meegenomen. “Dus we zetten eigenlijk een stap terug. We kijken niet puur naar gegevensbescherming, maar gaan terug naar een afweging van de belangen en rechten van het kind”, aldus Jeunink.
Volgens Cornel is het meekijken via meekijksoftware in principe niet anders dan het vroegere meekijken in het schriftje, waarbij de leerkracht over de schouder van de leerling meekijkt. “Maar ik denk dat op het scherm meekijken veel meer controle geeft”, stelt Jeunink. “Vroeger liep de juf nog weleens aan de andere kant van de klas, en dan kon je snel wat anders doen. Dat waren misschien wel hele waardevolle momenten. Of je keek een tijdje uit het raam, zonder dat de juf gelijk kon zien dat je niets aan het doen was.” De offline lessituatie was volgens Jeunink daarom wel degelijk anders dan de situatie waarin meekijksoftware een paar keer per minuut een screenshot maakt van je scherm. “We denken steeds meer na over die effecten. En dat het niet hetzelfde is; voor de klas staan of permanent zien wat iemand doet op een scherm. Dat dat een bepaalde invloed op je heeft en dat ook psychologisch doorwerkt.”
Het voeren van het gesprek over wenselijkheid van digitale leermiddelen is niet altijd eenvoudig, stelt Jeunink. “Het roept bij scholen ook wel reacties op als: ‘Wij werken toch sowieso in het belang van het kind. Dus waarom gaan we hier opnieuw het gesprek over aan?’.” Volgens Jeunink gaat het op scholen nu vaak over de bescherming van de gegevens die verwerkt worden, maar is het belangrijk om een stap terug te zetten en te vragen waarom deze gegevens verwerkt worden en of dat rechtmatig is. “De vraag of je de gegevens wel had moeten verzamelen en of het ook anders zou kunnen, komt te weinig aan de orde”, aldus Jeunink. “Het gaat niet alleen om of het mag en of het technisch kan, maar ook om of je het wil, als schoolbestuur. Het is eigenlijk een vraagstuk, het heeft met visie te maken.”
Aline Klingenberg vraagt zich ook af in hoeverre bepaalde digitale leermiddelen wenselijk zijn. De hoogleraar staat zelf op de universiteit ook voor de klas. “Zelf heb ik voor het geven van goed onderwijs niet nodig dat ik elke seconde van een student in de elektronische leeromgeving kan volgen. Ik hoef niet te weten op welk tijdstip en hoe lang ze ergens naar gekeken hebben. Dus dan moet die optie uitstaan in het systeem, maar dat staat automatisch aan bij de fabrikanten. Ik vind: dat gaat te ver. Het lijkt me zelfs psychologisch niet helemaal oké om leerlingen elke seconde te volgen”, vertelt ze.
Wat kunnen ouders doen?
Scholen hebben een schoolgids waarin vaak staat wat het algemene privacybeleid is, en hebben op hun website vaak een privacyverklaring gepubliceerd. Maar welke gegevens exact met welke partij worden gedeeld, staat hier niet expliciet in. “Je mag als ouder altijd inzage vragen in de gegevens die de school van je kind heeft verzameld”, aldus Vos. Ouders kunnen vragen naar het verwerkingsregister. “Dat is een overzicht waarin staat: deze gegevens van jouw kind staan in deze systemen, en worden gedeeld met deze partijen”, legt Vos uit. Maar, zo vult Jeunink aan: “Dan kom je wel meteen in een hele formele situatie terecht. Je kunt ook beginnen door een gesprek aan te knopen met de school over het privacyreglement.” In zo’n gesprek kun je als ouder te weten komen welke afwegingen er zijn gemaakt bij de inzet van digitale leermiddelen, en hoe de privacy en informatiebeveiliging zijn geregeld door de school. Het is aan scholen zelf welke digitale leermiddelen zij inzetten en hoe de informatiebeveiliging geregeld is.
Dit artikel kwam tot stand in een samenwerking tussen onderzoekscollectief Spit, eerlijkdigitaalonderwijs.nl, Vers Beton, Bureau Spotlight, de Stadsbron, AD en Tweakers, en werd mede mogelijk gemaakt door het Stimuleringsfonds voor de Journalistiek.