Sociale media speelt een grote rol in veel mensen hun leven. Helemaal bij jonge mensen. Het is dan ook niet zo gek dat onderwijsinstellingen hier graag gebruik van maken, om zo onder de aandacht te komen bij scholieren en studenten. Vanuit privacyoogpunt is het gebruik van sociale media echter niet zonder haken en ogen. Dit heeft de Autoriteit Persoonsgegevens (hierna: AP) recent benadruk in een advies aan een onderwijsinstelling (hierna: de Onderwijsinstelling) over het gebruik van sociale media in haar marketing en communicatie.
In dit advies stelt de AP dat grote risico’s kleven aan het gebruik van sociale media en dat het belangrijk is dat onderwijsinstellingen duidelijke afspraken met de platforms maken. Vragen als “worden de gegevens veilig bewaard” en “wie is daar verantwoordelijk voor” moeten eerst zijn beantwoord. Lukt dit niet? Dan adviseert de AP om het sociale medium niet te gebruiken. Eerder dit jaar publiceerde de AP al een rapport waarin zij grote uitdagingen meldde wanneer het op privacy en onderwijs aankomt. De AP heeft mede daarom dit advies aan de Onderwijsinstelling bewust algemeen ingestoken, waarbij zowel de Onderwijsinstelling als het sociale-mediaplatform niet bij naam genoemd worden. De AP wil er op deze manier voor zorgen dat alle onderwijsinstellingen op de hoogte zijn van de risico’s die sociale media met zich meebrengen en de eisen die gesteld worden aan het gebruik van sociale media door onderwijsinstellingen. In deze blog bespreken wij kort de risico’s die de AP benoemt.
De situatie
De Onderwijsinstelling wilde de sociale media inzetten als een marketing- en communicatiemiddel. Het idee was om onder andere foto’s en verhalen van studenten en medewerkers te plaatsen, om zo potentiële studenten te bereiken. De personen die herkenbaar in beeld zouden komen, werd toestemming gevraagd middels een toestemmingsformulier. Nadat de Onderwijsinstelling de privacyrisico’s van het gebruik van de sociale media in kaart had laten brengen, waarbij een groot aantal risico’s naar voren kwamen, besloot zij advies te vragen aan de AP hierover. Uit dit advies bleek dat er inderdaad flinke risico’s verbonden zitten aan het gebruik van sociale media door onderwijsinstellingen. De AP focust zich in haar advies op vier onderwerpen van risico’s, namelijk wie verantwoordelijk is voor de naleving van de geldende privacyregels, de bewaartermijn van de gegevens, het opslaan van de gegevens buiten de Europese Economische Ruimte (hierna: EER) en of er daadwerkelijk toestemming is verkregen van de betrokkenen. Deze onderwerpen worden hieronder kort besproken.
Wie is verantwoordelijk voor gegevens?
Allereerst speelde de vraag wie verantwoordelijk is voor de persoonsgegevens en voor de naleving van de Algemene verordening gegevensbescherming (hierna: AVG). De AP legt uit dat de Onderwijsinstelling de foto’s en video’s maakt en plaatst. Wanneer dit beeldmateriaal wordt geüpload, worden de gegevens doorgestuurd naar het platform. Om deze reden vindt de AP dat de Onderwijsinstelling een “beslissende invloed” heeft op het hele proces van het plaatsen van content.
De Onderwijsinstelling ging er echter van uit dat zij slechts verantwoordelijk was voor de verwerkingen totdat de foto’s en video’s geüpload naar het platform waren. De AP was het hier niet mee eens en stelt dat indien een onderwijsinstelling geen toegang meer heeft tot de gegevens na het uploaden, dit niet betekent dat deze niet meer verantwoordelijk is voor deze gegevens. Volgens de AP is er namelijk een grote kans dat in sommige gevallen beide partijen de gegevens voor hetzelfde doel gebruiken. In dit geval zijn zowel de Onderwijsinstelling als het platform verantwoordelijk voor de naleving van de AVG. Onderwijsinstellingen moeten daarom per verwerking vaststellen wie verantwoordelijk is. Indien beide partijen verantwoordelijk zijn, dienen zij duidelijke afspraken te maken over de naleving van de AVG.
Wie zorgt ervoor dat gegevens niet te lang bewaard worden?
Als je persoonsgegevens verwerkt, mag je deze niet te lang bewaren. Vanuit de AVG moeten organisaties een bewaartermijn vaststellen en deze naleven. De Onderwijsinstelling vroeg zich af in hoeverre zij ervoor verantwoordelijk is om ervoor te zorgen dat het platform de bewaartermijnen ook naleeft. De AP stelt dat, wanneer beide partijen verantwoordelijk zijn, de Onderwijsinstelling ervoor moet zorgen dat er bewaartermijnen voor de persoonsgegevens worden nageleefd door het sociale-mediaplatform. De AP raadt onderwijsinstellingen aan om deze bewaartermijnen contractueel vast te leggen met de platforms die zij willen gebruiken, om er op deze manier op toe te zien dat de termijnen worden nageleefd.
Kunnen persoonsgegevens zomaar buiten Europa worden gedeeld?
De AVG stelt strenge eisen aan het doorgeven van persoonsgegevens naar landen buiten de EER, omdat buiten de EER de AVG niet van toepassing is. In deze landen is (adequate) regelgeving op het gebied van privacy namelijk niet vanzelfsprekend. De servers van veel sociale-mediaplatforms bevinden zich echter buiten de EER. Als een school of universiteit besluit om gegevens toch naar een land buiten de EER te versturen, dient deze doorgifte te voldoen aan strenge eisen zodat er een vergelijkbaar niveau van gegevensbescherming geldt in deze landen. Ook hier zullen onderwijsinstellingen dus afspraken moeten maken met de platforms, bijvoorbeeld door gebruik te maken van de Standard Contractual Clauses (SCC) van de Europese Commissie. Maar zelfs dan is het oppassen geblazen en kan het alsnog noodzakelijk zijn om periodiek onderzoek te doen of de werkwijze in dit desbetreffende land in overeenstemming met de AVG is.
Hoe zit het met de toestemming?
Het plaatsen van de foto’s op sociale media is alleen mogelijk als je een rechtvaardiging daarvoor hebt, oftewel een grondslag uit de AVG. Eén van deze grondslagen is het vragen van toestemming aan de betrokken personen. Ook de Onderwijsinstelling maakte in dit geval gebruik van toestemming, welke via een formulier aan de studenten en medewerkers werd gevraagd. Hoewel de Onderwijsinstelling niet specifiek advies had gevraagd over dit onderwerp, benoemt de AP hier expliciet enkele risico’s. Bij het vragen van toestemming is het belangrijk dat deze vrij gegeven wordt. Dat betekent dat de betrokken persoon zich niet “gedwongen” moet voelen, bijvoorbeeld omdat er negatieve consequenties aan het weigeren van toestemming kunnen hangen. Dit kan gevoelig liggen wanneer er machtsverhoudingen tussen partijen zijn, zoals een school tegenover een student. Daarnaast benadrukt de AP dat het voor de studenten en medewerkers duidelijk moet zijn waarvoor zij precies hun toestemming geven. Vaak worden de gegevens namelijk voor meerdere doelen gebruikt. Zo werden hier de gegevens ook door het sociale-mediaplatform gebruikt om haar diensten te verbeteren en te promoten. Dat stond niet in het toestemmingsformulier.
Kortom, er mag geen nadeel kleven aan het weigeren van toestemming voor studenten en medewerkers. Als zij besluiten toch toestemming te geven, moeten zij precies weten waarvoor zij toestemming verlenen en hier keuzes in kunnen aanbrengen.
Wat betekent dit voor onderwijsinstellingen?
De AP sluit niet uit dat onderwijsinstellingen sociale media conform de regels kunnen gebruiken, maar dit kan alleen als er goede afspraken zijn gemaakt met deze platforms. De AP adviseert dan ook alle onderwijsinstellingen om hun sociale-mediagebruik kritisch te beoordelen en zich af te vragen of dit voldoet aan de eisen uit de AVG en waar nodig afspraken te maken met de platforms die zij gebruiken. Lukt het niet om dekkende afspraken te maken? Dan doen onderwijsinstellingen er verstandig aan om hun sociale-mediagebruik te staken.
