Onderwijsinstellingen staan voor een grote uitdaging. In recordtempo moet worden geschakeld van offline naar online. Dat lijkt vooral met toetsing voor problemen te zorgen, hoe controleer je immers of iemand thuis tijdens het maken van een examen niet spiekt? Momenteel worden er door verschillende onderwijsinstellingen pilots gehouden met software die studenten tijdens digitale examens op allerlei manieren in de gaten houdt. Het doel is uiteraard het voorkomen van fraude. Maar verloopt dit volgens de regels van de AVG? En is dit überhaupt wel de oplossing?
Op 9 april heeft kamerlid Futselaar van de SP Kamervragen gesteld aan de Minister van Onderwijs, Cultuur en Wetenschap over de surveillancesoftware voor studenten in huis. Dit was naar aanleiding van een artikel dat eerder in het Leids Universitair Weekblad Mare verscheen. In het artikel delen enkele studenten hun ervaring met verschillende soorten software.
Een student geeft aan dat het softwareprogramma je op veel manieren in de gaten houdt via “je camera, microfoon, locatie, identiteit, klembord, muislocatie, browser, Windows, hoofd-, oog- en mondbewegingen, scherm, alle websites die je bezoekt en alle andere openstaande applicaties en schermen die met je computer zijn verbonden”. Futselaar heeft aan de minister gevraagd of dit daadwerkelijk het geval is. Naast dat het een vervelend gevoel is om constant in de gaten te worden gehouden, speelt de vraag of, en onder welke voorwaarden, dit eigenlijk mag.
Grondslag
Ten eerste moet er een grondslag zijn om dergelijke software te gebruiken. Uitsluitend de in artikel 6 van de AVG genoemde grondslagen bieden een rechtvaardiging om persoonsgegevens te mogen verwerken. Daarbij zullen veel onderwijsinstellingen hun studenten om toestemming vragen om de software te activeren. Het probleem hierbij is echter dat wie niet instemt, het examen niet online kan maken. Daarmee is het geen vrije toestemming, zoals de AVG vereist. Er moet dan ook een alternatief komen voor studenten die dit niet willen, wat lastig is. Een andere mogelijkheid zou het gerechtvaardigd belang zijn. Een onderwijsinstelling heeft er immers belang bij dat er niet wordt afgekeken, want anders kan de kennis van de student niet getoetst worden. Maar de school moet er wel voor zorgen dat de inbreuk op de privacy zo min mogelijk is, en het is de vraag of daaraan wordt voldaan. De Autoriteit Persoonsgegevens (AP) heeft daarnaast aangegeven dat onderwijsinstellingen zich moeten afvragen of alle gegevens die ze verzamelen bij de software daadwerkelijk noodzakelijk zijn en of er geen andere manier is om examenfraude te bestrijden, die minder impact heeft op leerlingen en studenten.
Informatievoorziening
Daarnaast hebben onderwijsinstellingen op basis van de AVG een informatieplicht. Zo moeten zij informatie geven over welke persoonsgegevens er worden verwerkt, waarom dit gebeurt (voor welk specifiek doel) en of de persoonsgegevens worden gedeeld met of doorverkocht aan andere organisaties en zo ja, aan welke. Er moeten duidelijke afspraken zijn met de softwareleverancier over hoe en vooral hoe lang de data wordt opgeslagen en wie toegang heeft tot deze data. Hier kunnen onderwijsinstellingen aan voldoen door dit op te nemen in hun privacyverklaring, of bijvoorbeeld door het aan te geven in de informatie die vooraf over een examen wordt vrijgegeven.
Menselijke tussenkomst
Er wordt aangegeven dat het algoritme van de software in staat is om oog- en handbewegingen te analyseren en op basis daarvan te bepalen of een student fraudeert. Om een verkeerde conclusie door zo’n ‘computer’ te voorkomen (dus de computer zegt: je spiekt, maar je spiekt helemaal niet), is bij zulke situaties een menselijke tussenkomst vereist. Bij het Erasmus University College geven ze aan dat de gegevens van studenten die volgens de software afwijkend gedrag vertonen, naar de examencommissie worden gezonden. Deze commissie maakt vervolgens de beslissing of een student wel of geen fraude heeft gepleegd.
Bijzondere persoonsgegevens
Wat we zeker niet moeten vergeten is dat tussen alle informatie die de software opslaat, ook bijzondere persoonsgegevens kunnen zitten. Bijvoorbeeld iemand zijn huidskleur, ziekte, geloofsovertuiging, enzovoort, zouden kunnen worden gedetecteerd. In principe is het verboden om bijzondere persoonsgegevens te verwerken. Dit probleem kan opgelost worden door het geven van toestemming door de studenten, maar dan komen we bij hetzelfde probleem als ik hierboven heb geschetst: deze toestemming is niet vrijelijk gegeven.
DPIA
Tot slot is voor het gebruik van de surveillancesoftware een DPIA vereist, zo volgt uit de AVG. Aan de hand van een DPIA dienen onderwijsinstellingen in kaart te brengen hoe persoonsgegevens verwerkt zullen worden, en waarom dat nodig is op deze manier. Daarbij moet gekeken worden naar de mogelijke privacyrisico’s voor de studenten en dient te worden beschreven of deze niet onredelijk groot zijn tegenover het te bereiken doel.
Andere oplossingen mogelijk?
Los van dit alles is het maar de vraag of dit überhaupt wel de oplossing is. Want wat willen onderwijsinstellingen hiermee eigenlijk bereiken? Alleen maar dat studenten niet afkijken? Misschien kunnen er creatievere oplossingen worden verzonnen dan surveillancesoftware (leuk woord voor galgje overigens!). Vaststaat dat ondanks de tijdsdruk geen overhaaste beslissingen gemaakt mógen worden, zonder goed in kaart te hebben gebracht wat de gevolgen hiervan zijn.
