De GEU – de brancheorganisatie voor educatieve uitgeverijen – heeft kennisgenomen van het artikel ‘Scholen verwaarlozen privacy en beveiliging’ op Ouders Online en het PWC-rapport ‘Nulmeting Privacy en Informatiebeveiliging in het Primair en Voortgezet Onderwijs’.

Privacy in relatie tot leermiddelen is een van de belangrijkste aandachtsgebieden van de GEU, vanuit het besef dat leerlingen een kwetsbare groep vormen. Educatieve uitgeverijen houden zich aan de Wet bescherming persoonsgegevens, waaronder in relatie tot beveiliging en het vastleggen en uitwisselen van persoonsgegevens van leerlingen.

Binnen het Doorbraakproject Onderwijs & ICT is de aanbeveling gedaan om binnen de sector nadere afspraken te maken om de privacy van gebruikers nog beter te waarborgen. De GEU is voorstander van dergelijke afspraken en onderzoekt in overleg met het doorbraakproject verschillende oplossingsrichtingen, zoals een bindende gedragscode of een convenant tussen partijen in het onderwijs. Daarnaast werken educatieve uitgeverijen samen aan verbeterde en gestandaardiseerde informatie voor leerlingen, ouders en het onderwijs over hoe educatieve uitgeverijen persoonsgegevens verwerken.

Conclusies nulmeting privacy
In de berichtgeving op Ouders Online en in het PWC-rapport wordt een aantal conclusies getrokken over de bescherming van persoonsgegevens in relatie tot leermiddelen. De GEU en haar leden zijn helaas niet betrokken in het onderzoek of gekend in deze conclusies.

  • Er zou onduidelijk bestaan hoe leerlingvolgsystemen en aanbieders van leermiddelen persoonsgegevens verwerken en met welke partijen die gegevens gedeeld worden. Ouders Online suggereert zelfs dat persoonsgegevens worden doorverkocht.

Educatieve uitgeverijen verwerken slechts persoonsgegevens voor specifieke doeleinden, zoals het terugkoppelen van leerresultaten aan docenten en het kunnen aanbieden van gepersonaliseerd leermateriaal binnen digitale leermiddelen. Persoonsgegevens van leerlingen worden nimmer gedeeld of doorverkocht aan derden.

Verder is het mogelijk dat een school een specifieke opdracht geeft aan een educatieve uitgeverij om leerresultaten door te geven via het leerlingvolgsysteem van de school, zodat een leerkracht één centrale plek heeft waar hij leerresultaten kan terugvinden. Over deze uitwisseling zijn in het kader van het iECK-programma publiek-private afspraken gemaakt tussen scholen, uitgevers, distributeurs, softwareleveranciers en Kennisnet.

  • In het PWC-rapport wordt betwijfeld of Basispoort in de keten van digitale leermiddelen goed invulling geeft aan de bescherming van persoonsgegevens.

Basispoort maakt sinds vorig jaar het gebruik van online educatief materiaal in het primair onderwijs eenvoudiger met de introductie van één eenvoudige en uniforme inlogprocedure. Basispoort verricht deze dienstverlening in opdracht van de school, die Basispoort als ‘bewerker’ inschakelt. Basispoort heeft daarmee geen zelfstandige of eigen zeggenschap over de gegevens die een school verstrekt en handelt uitsluitend in opdracht van de school. Basispoort hanteert per 1 augustus 2014 een aangepaste gebruikersovereenkomst, die is afgestemd met de PO-Raad, de sectororganisatie voor het primair onderwijs. Daarbij is het privacybeleid  van Basispoort verder verduidelijkt.

  • Doordat er slechts een beperkt aantal leveranciers van ICT, leerlingvolgsystemen en digitale leermiddelen zou bestaan, wordt de conclusie getrokken dat scholen geen onderhandelingspositie hebben en geen eisen kunnen stellen ten opzichte van de bescherming van persoonsgegevens.

Het werken met leermiddelen en (in de toekomst meer) gepersonaliseerd leren kan alleen vanuit de garantie dat de privacy van de leerkracht, leerling en andere gebruikers zijn gewaarborgd. Voor de 37 educatieve uitgeverijen die de GEU vertegenwoordigt is het van groot belang dat niet alleen wordt voldaan aan wet- en regelgeving, maar ook dat vertrouwen bestaat in de educatieve uitgeverij als partner van het onderwijs. Om deze reden wordt bijvoorbeeld collectief gewerkt aan uniforme en toegankelijke informatie over hoe persoonsgegevens worden verwerkt. En individuele uitgeverijen testen doorlopend de veiligheid van hun systemen via hack-testen en audits. Bovenstaande conclusie uit het onderzoek miskent bovendien bijvoorbeeld de aandacht voor het onderwerp in het Programma van Eisen van de sectorraden