CBP constateert overtreding wet bij Snappet (en neemt systeemgegevens mee op een USB-stick)

Snappet‘Snappet verwerkt leerresultaten via onderwijstablets’, zo kopt de website van het College Bescherming Persoonsgegevens (CBP). Snappet, een organisatie die tablets met webapps verhuurt aan meer dan 400 basisscholen, verwerkt leerresultaten van kinderen in strijd met de wet. Dat concludeert het CBP na onderzoek. Snappet gebruikt deze persoonsgegevens voor bijvoorbeeld het voortdurend per opgave beoordelen en kwalificeren van de kinderen in vergelijking met alle andere kinderen die de Snappet-tablets gebruiken, zonder expliciete schriftelijke opdracht van de scholen.

Snappet verzamelt meta-gegevens over leerresultaten om (gebundelde anonieme) referentiekaders te creëren voor het onderwijs. Bijvoorbeeld om in een vroegtijdig stadium dyslexie te ontdekken bij een leerling. Een mooi streven en een goed voorbeeld wat moderne digitalisering voor het onderwijs kan betekenen. Niets mis mee toch? Het publieke rapport lezende valt op dat het gaat om de manier waarop deze gegevens verzameld worden en dat het CBP kritiek uit op de technische beveiliging van Snappet. Dat de technische beveiliging perfect moet zijn lijkt me geen punt van discussie. Zijn de bestanden versleuteld opgeslagen, wie heeft de sleutel, is de login van de leerkracht adequaat beveiligd, wie kan er allemaal bij de gegevens?

Snappet is een jonge innovatieve organisatie die hier ongetwijfeld vooraf onvoldoende over heeft nagedacht. Is dit vraagstuk uniek? Nou nee, TomTom verzamelt locatiegegevens om verkeersinformatie aan u terug te kunnen koppelen, Google en Microsoft verzamelen gegevens van u om u gericht reclame aan te kunnen bieden, Google ziet een griepepidemie aankomen door zoekgegevens op metaniveau te combineren. Ook Facebook wandelt continue langs de privacyranden van de wet. Het analyseren van ‘Big data’ is hot en onvermijdbaar. Deze organisaties weten inmiddels heel goed hoe ze dit juridisch moeten aanpakken. Snappet moet dit nog leren. In het onderwijs moet deze discussie nog goed gevoerd worden want andere leersystemen hebben of krijgen hier ook mee te maken.

Deze week kondigde Google aan de encryptie van gebruikersgegevens in de volgende versie van Android standaard aan te zetten. Apple kondigde aan voortaan gebruikersgegevens versleuteld op te slaan zonder zelf een masterkey te hebben.

En hoe zit het met Gmail, Hotmail, Dropbox, enz in het onderwijs? Laten we voor eens en altijd hier goede afspraken over maken zodat we ons kunnen concentreren op de voordelen in plaats van de gevaren.

N.b.1: Het CBP schrijft in het Snappet-rapport pagina 9, paragraaf 2.1, dat het CBP gegevens uit de systemen van Snappet hebben meegenomen op een, jawel…. USB-stick! (snapp’et u het nog?)

N.b. 2: Download hier de brochure van de AIVD over onveilige USB-sticks.

N.b. 3: Moet nu aan elke leerling/ouder toestemming gevraagd worden om Snappet (of een vergelijkbaar systeem) te gebruiken?

N.b. 4: Wie zou deze zaak aangeslingerd hebben bij het CBP?

 

Klik op het plaatje om de publieke versie van het rapport te lezen

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *