Afstandsonderwijs, online lesgeven en de GDPR

18 november 2020

Omwille van de Covid 19-pandemie en de daarbij horende maatregelen om verdere verspreiding tegen te gaan, kunnen lessen niet altijd op school plaatsvinden. Onderwijsinstellingen geven hun lessen dan deels op afstand. Daarbij kun je gebruik maken van een aantal toepassingen. We denken aan tools zoals Smartschool Live, MS Teams, Jitsi, Google Meet, Webex, Zoom …

Gebruik je als onderwijsinstelling een dergelijke toepassing, dan zul je ongetwijfeld ook persoonsgegevens verwerken. Je moet als school de GDPR respecteren, zodat je de privacy van de leerlingen en leerkrachten beschermt. Elke gegevensverwerking moet voldoen aan een aantal principes. We overlopen de principes en vertellen wat te doen. Op het einde vind je een korte checklist. Het aanspreekpunt informatieveiligheid kan de onderwijsinstelling of het schoolbestuur helpen bij het afvinken van de checklist.

Aanbevelingen voor onderwijsinstellingen en schoolbesturen

Doel en noodzakelijkheid

Op basis van de draaiboeken van het Departement Onderwijs en Vorming moeten onder andere de leerlingen van de 2de en 3de graad secundair onderwijs overschakelen naar maximaal 50% contactonderwijs. Je organiseert dus minstens 50% afstandsonderwijs waarbij in beginsel gewerkt wordt met halve klassen en een week om week-systeem. Maar er zijn ook andere scenario’s mogelijk  waarbij bijvoorbeeld de tweede graad de ene week op school les volgt terwijl de derde graad online les volgt. De week nadien worden de rollen dan omgedraaid.

In deze scenario’s wordt ervan uitgegaan dat leerlingen van de halve klas die thuis moet blijven, de les gelijktijdig kunnen meevolgen op hun computer terwijl de andere klashelft op de onderwijsinstelling zelf les krijgt. Dit wordt synchroon afstandsonderwijs genoemd. Dus onderwijs waarbij de leerkracht les geeft en tegelijkertijd de leerling (op afstand) volgt. De les wordt dus niet opgenomen om later te (her)bekijken.

Welk scenario je ook kiest, er zullen steeds persoonsgegevens verwerkt worden als je synchroon afstandsonderwijs wil aanbieden. Het gaat voornamelijk over volgende persoonsgegevens: videobeelden waar personen visueel herkenbaar zijn of via herkend worden door het timbre van de stem ...

De doelstelling die je als onderwijsinstelling tijdens deze Covid19-pandemie wilt bereiken is het aanbieden van onderwijs voor alle leerlingen en speciaal voor de leerlingen die niet op school kunnen/mogen zijn omwille van quarantaine of andere maatregelen die door de overheid opgelegd zijn. Omdat het niet mogelijk is dat leerlingen voltijds op school aanwezig zijn, wordt er synchroon afstandsonderwijs gegeven aan de groep leerlingen die niet op school aanwezig kan/mag zijn.

Omschrijf dus duidelijk de doelstelling die je wilt bereiken en hou rekening met het volgende:

  • Ga na of het noodzakelijk is om studenten, cursisten, leerlingen en leerkrachten steeds in beeld te brengen om het doel (online les volgen, de aanwezigheden van leerlingen noteren …) te bereiken.
  • Als je ook een opname wil maken van de online les om deze later nog te tonen, valt dit eigenlijk niet meer helemaal onder de loutere doelstelling van het aanbieden van synchroon afstandsonderwijs. Je mag dit als onderwijsinstelling (maar ook als leerling/cursist) dus NIET zomaar doen.

Rechtmatigheid

Het is ook erg belangrijk dat je kunt aantonen dat de verwerking van persoonsgegevens op een rechtmatigheid berust. Deze rechtmatigheid moet worden bepaald vooraleer je begint met het verwerken van persoonsgegevens.

Bij synchroon afstandsonderwijs tijdens deze Covid 19-pandemie zijn er twee rechtmatigheden waar je je kunt op baseren:

  1. De verwerking is noodzakelijk om te voldoen aan de uitvoering van een overeenkomst
    ouders, meerderjarige leerlingen en cursisten gingen akkoord met het school- of centrumreglement waarbij enerzijds de onderwijsinstelling het engagement neemt om onderwijs aan te bieden en anderzijds gaan leerlingen en cursisten ermee akkoord dat ze bij de onderwijsinstelling les volgen. Door de Covid 19-pandemie kan/mag dit niet zomaar meer, maar de onderwijsinstelling moet wel online lessen aanbieden.
  2. De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang
    Onderwijs is een taak algemeen belang. Wat noodzakelijk is voor de uitvoering van deze publieke taak kan van tijd tot tijd verschillen. Zo kun je als onderwijsinstelling tot de conclusie komen dat het door de Covid 19-maatregelen noodzakelijk is om in specifieke situaties videobeelden van leerlingen, cursisten en leerkrachten te verwerken zodanig dat je de publieke taken, die door de onderwijsdecreten worden opgelegd, kan uitvoeren.

Bij het maken van een opname (die je later wilt herbekijken) kun je je niet op één van bovenstaande rechtmatigheden baseren. De enige rechtmatigheid waarop je je dan kunt baseren is toestemming. Je zult dan van alle personen die herkenbaar in beeld komen of te horen zijn in de opname, steeds toestemming moeten hebben.

Hou dus rekening met het volgende:

  1. Geef aan op welke rechtmatigheid je je gaat baseren om persoonsgegevens te verwerken.
  2. Let erop dat indien je toch ‘toestemming’ als rechtmatigheid zou nemen, dat toestemming vrij moet kunnen gegeven worden en dat toestemming aantoonbaar moet zijn. Veronderstellen dat een leerling of cursist toestemming verleent door deel te nemen aan een digitale les is GEEN rechtmatige toestemming. De leeftijdsgrens om toestemming te vragen bij een leerling ligt tussen de 12 en 14 jaar. We spreken van een minderjarige met voldoende onderscheidingsvermogen. Is de leerling jonger dan 12 jaar, dan zal je toestemming moeten vragen aan de ouders of voogd voor de opname.  

Minimale gegevensverwerking

Verwerk niet meer gegevens als nodig om online les te geven. Zo kan de leerkracht aan het begin en op einde van de online les bijvoorbeeld wel vragen dat de leerlingen hun camera even aanzetten om te controleren of de leerling ook daadwerkelijk aanwezig is, maar je kunt niet eisen dat leerlingen continu in beeld zijn. Ook de leerkracht moet bij het online lesgeven niet constant in beeld zijn. Vaak is het voldoende dat leerlingen en cursisten de presentatie of het bordboek zien en daarbij enkel de stem van de leerkracht horen. Zo zal, bijvoorbeeld bij het lesgeven waarbij een deel van de leerlingen aanwezig is en een ander deel thuis online les volgt, het onvermijdelijk zijn dat ook antwoorden van leerlingen te horen zijn of soms leerlingen in beeld komen. Maak je toch een opname om die later terug te kunnen kijken? Hou er dan rekening mee dat dit geen ‘minimale’ gegevensverwerking is en dat je dus niet zomaar leerlingen en leerkrachten kunt en mag filmen. Geef daarom van tevoren aan wanneer je een opname start, zo weten de deelnemers wanneer zij hun microfoon en camera moeten uitschakelen. (Bij sommige toepassingen kan je ook de camera/microfoon vanop afstand uitschakelen).

Softwareleverancier en verwerkersovereenkomst
Kies een softwareleverancier die voldoet aan de privacywetgeving. Sluit een verwerkersovereenkomst af met deze softwareleverancier. Zorg dat de afspraken voldoen aan de eisen van de GDPR. Zorg er ook voor dat bij leveranciers buiten de EER de juiste waarborgen worden getroffen.

Gegegevensbeschermingseffectbeoordeling
Een gegevensbeschermingseffectbeoordeling (GEB) is een risicoanalyse. Voer een GEB uit voordat je de toepassing gebruikt. Zo weet je welke extra maatregelen je als onderwijsinstelling moet nemen om de gegevensverwerking veilig te laten verlopen. herzie de GEB regelmatig onder meer om de noodzakelijkheid van de verwerking opnieuw te beoordelen.

Informatieveiligheids- en privacybeleid
Zorg voor een algemeen beleid voorde ganse instelling voor het gebruik van toepassingen voor afstandsonderwijs en het maken van opnames. Leg daarin vast in welke gevallen afstandsonderwijs kan worden ingezet, wanneer er opnames kunnen worden gemaakt, met welke middelen en op welke wijze persoonsgegevens worden verwerkt (zoals bewaartermijnen, beveiliging en toegang tot de gegevens). Zet dit beleid om in concrete richtlijnen en instructies voor de leerkrachten en leerlingen.

Informeren
Informeer leerlingen, cursisten, leerkrachten en ouders over wat er met hun gegevens (of die van hun kind) gebeurt, in eenvoudige, duidelijke en begrijpelijk taal. Informeer hen ook over de rechten die ze hebben. Dat kun je doen via de privacyverklaring van je onderwijsinstelling/schoolbestuur.

Sensibiliseren
Instrueer de leerlingen om persoonlijke zaken buiten beeld te laten en hoe ze een achtergrond kunnen instellen. Komt er tijdens het online videobellen te veel gevoelige informatie in beeld, vraag dan aan de leerling om de camera uit te zetten of zorg dat je de camera kunt uitzetten om de leerling te beschermen. Instrueer de leerkrachten en leerlingen om niet zomaar opnames te maken waarop anderen te zien of te horen zijn.

Beveiligingsincidenten
Bedenk dat datalekken of andere beveiligingsincidenten nooit helemaal uit te sluiten vallen, hoe goed je ook alles hebt gepland. Wees hierop voorbereid. Bespreek met de leerlingen en leerkrachten wat er zoal kan misgaan en wat te doen in deze situaties. Op die manier kun je de impact zo klein als mogelijk te houden.

Checklist afstandsonderwijs, online lesgeven en de GDPR

  • Doel, noodzakelijkheid en rechtmatigheid  bepalen.
  • Verwerk niet meer persoonsgegevens dan nodig.
  • Softwareleverancier kiezen.
  • Verwerkersovereenkomst afsluiten.
  • Gegevensbeschermingseffectbeoordeling uitvoeren.
  • Informatieveiligheids- en privacybeleid bijwerken.
  • leerlingen, leerkrachten en ouders informeren.
  • Leerlingen en leerkrachten sensibiliseren.
  • Voorbereid zijn op beveiligingsincidenten.