Home Thema's Beveiliging en privacy Waarom afspraken met social media bedrijven essentieel zijn voor onderwijsinstellingen
Beveiliging en privacy

Waarom afspraken met social media bedrijven essentieel zijn voor onderwijsinstellingen

Achtergrond

Onderwijsinstellingen mogen sociale media alleen inzetten als zij duidelijke afspraken maken met socialemediabedrijven over wat er met de gegevens van studenten en docenten gebeurt. Dat schrijft de Autoriteit Persoonsgegevens (AP) in een advies over het gebruik van een sociaal medium door een onderwijsinstelling. Als het niet lukt om zulke afspraken te maken met socialmediabedrijven kan een onderwijsinstelling het betreffende social medium beter niet gebruiken.

Advies van belang voor alle onderwijsinstellingen.

De AP komt met het advies nadat een onderwijsinstelling daar op 20 juli 2023 om had gevraagd. De onderwijsinstelling overwoog om met toestemming van studenten en docenten hun foto’s en verhalen posten op een sociaal medium. De AP publiceert de naam van de onderwijsinstelling niet, omdat organisaties zich vrij moeten voelen advies aan de AP te vragen zonder dat dit publiek wordt gemaakt. Daarnaast publiceert de AP de naam van het betreffende sociale medium niet.

De AP kiest ervoor om dit advies in algemene zin te publiceren, aangezien dit advies geldt voor  de inzet van alle sociale media en niet alleen voor de inzet van het sociale medium waarover de onderwijsinstelling advies heeft gevraagd. Daarnaast is het advies van groot belang voor álle onderwijsinstellingen en vergelijkbare organisaties in Nederland.

Flinke risico’s

De AP constateert in het advies dat er flinke risico’s kunnen zijn. Sociale media zijn bedrijven met eigen belangen. Bijvoorbeeld het verkopen van advertenties op basis van nauwkeurige profielen van mensen inclusief data over gevoelige zaken als politieke voorkeur en gezondheid. De AP adviseert onderwijsinstellingen om meteen met het sociale medium te stoppen als er geen duidelijkheid is over wat het bedrijf met de data doet en over de toestemming van studenten en docenten om hun data te gebruiken. Er is namelijk een grote kans dat de onderwijsinstelling in zo’n geval de wet overtreedt.

Verantwoordelijkheid voor naleving AVG

Een ander heikel punt is de verantwoordelijkheid. Het moet duidelijk zijn welke partij verantwoordelijk is voor de naleving van de Algemene verordening gegevensbescherming (AVG) en bij wie studenten en docenten kunnen aankloppen om hun recht te halen. Dit kan de onderwijsinstelling zijn of het socialmediabedrijf.

Veilig bewaren persoonsgegevens

Het is ook van belang dat het platform de persoonsgegevens veilig bewaart. Binnen de Europese Economische Ruimte (EU-landen plus Noorwegen, Liechtenstein en IJsland) geldt de AVG.

De andere landen worden ‘derde landen’ genoemd. Aan deze landen mogen alleen persoonsgegevens worden doorgegeven als ze een passend beschermingsniveau hebben. Dit kan in drie gevallen, zo meldt de AP:

  • Op basis van een adequaatheidsbesluit.
  • Op basis van passende waarborgen, zoals een modelcontract, een gedragscode, certificering of ‘binding corporate rules’ (BCR).
  • Op basis van specifieke uitzonderingen.
Toestemming vragen op juiste manier

Het advies wijst er tenslotte op dat het belangrijk is dat een onderwijsinstelling op de juiste manier studenten en docenten toestemming vraagt voor het gebruik van hun persoonsgegevens. De toestemming moet voldoen aan vier eisen: vrijelijk gegeven, ondubbelzinnig, geïnformeerd en specifiek. Als de toestemming niet aan de eisen voldoet is de toestemming niet geldig en mag de onderwijsinstelling de gegevens niet verwerken.

Bron: Autoriteit Persoonsgegevens.

Delen:

Wil je op de hoogte blijven? Schrijf je nu in voor
de nieuwsbrief of registreer direct

Trending topics
Smartphonebeleid vo-scholen op orde, praktijk loopt achter
DUO verwijdert enquête na datalek