Hoe maak je een school-app als Klasbord volledig privacy-compliant?

Op diverse media ontstond enige ophef over de populaire app Klasbord: deze zou de privacy van leerlingen schenden. Met Klasbord kan een leraar berichten en foto's uit zijn klas delen met ouders die ook de app hebben geïnstalleerd. Maar op grond van de privacywet mag dat niet zomaar, daar is immers toestemming voor nodig omdat het gaat om 'persoonsgegevens', gegevens die een individuele leerling betreffen. En is die toestemming er wel? Wij zochten het uit voor Klasbord en lieten de app aanpassen om aan de wet te voldoen.

Via de Klasbord-app hou je als leerkracht ouders en betrokkenen direct op de hoogte van de activiteiten in het klaslokaal, zo staat op de site. Leraren kunnen teksten en foto's uploaden, die vervolgens bij ouders terechtkomen. De leraar geeft ouders een speciale toegangscode zodat hij zeker weet dat alleen de juiste personen toegang hebben tot deze gegevens.

Gegevens over leerlingen zijn 'persoonsgegevens' volgens de wet. Ze zeggen iets over de leerling, en dat maakt het beschermde gegevens ook als hun naam er niet direct bij staat. Een statusupdate wat Jantje deed in de klas, een foto waar Marietje op staat of zelfs een foto waar iedereen behalve Marietje op staat, het zegt allemaal iets over Jantje of Marietje.

Dergelijke gegevens mag een leraar niet zomaar verzamelen of delen met derden (anderen dan de ouders van de betreffende leerlingen zelf). Hiervoor is toestemming nodig van deze zelfde ouders. De leraar moet deze toestemming verkrijgen voordat hij gegevens van die leerlingen mag verspreiden via Klasbord.

Wat is hierin de rol van Klasbord? Formeel is de app een hulpmiddel, een tool. Deze maakt het de leraar gemakkelijk om die gegevens te delen, gemakkelijker dan e-mail of een besloten Facebookgroep bijvoorbeeld. Wie een tool aanbiedt en meehelpt persoonsgegevens te verzamelen of delen, heet een bewerker - een hulpje, in juridisch jargon. Het hulpje moet zorgen voor goede beveiliging van de persoonsgegevens en mag alleen datgene doen waar de leraar - de verantwoordelijke - opdracht toe heeft gegeven.

Een terecht punt van kritiek is dat niet iedere leraar dit door zal hebben. Klasbord nam hierin zijn verantwoordelijkheid, en werkte met ICTRecht samen om een aantal wijzigingen door te voeren en zo de app volledig privacy-compliant én duidelijk voor leraren en ouders te maken.

Allereerst moet een leraar nu bij ingebruikname van de app expliciet bevestigen dat hij beseft dat het om privacygevoelige gegevens gaat. Er wordt uitgelegd dat ouders toestemming moeten geven (en mogen weigeren) en dat hij daar rekening mee moet houden. Daarnaast schreven wij een privacyverklaring waarin ouders en leraren kunnen nalezen wat er met persoonsgegevens gebeurt, en vooral ook wat niet. Tevens is de site uitgebreid met een sectie 'Privacy' die al deze informatie bundelt, en is de FAQ uitgebreid met privacyrelevante vragen.

Om de formele relatie van leraar en hulpje te bevestigen, moet een apart contract worden gesloten - de bewerkersovereenkomst. Hiervoor kon Klasbord putten uit onze bewerkersovereenkomstgenerator. Dit contract moet de leraar ook accorderen voordat zijn account actief gemaakt wordt.

Als extra hulpmiddel voor docenten stelt Klasbord Toestemmingsverklaring Klasbord een expliciet toestemmingsformulier beschikbaar, zie hiernaast. Hierop is nu duidelijker dat men mag weigeren (Klasbord) is geen verplichting) en dat men ook achteraf de toestemming mag intrekken, zoals de wet voorschrijft. Een school kan deze tekst aanpassen aan hun algemene reglement en inschrijfformulier, waar vaak ook al toestemming voor gebruik van persoonsgegevens wordt gevraagd. Denk aan de schoolwebsite.

Uiteraard blijft privacy uiteindelijk altijd mensenwerk. Maar met deze aanpassingen aan Klasbord is het nauwelijks voorstelbaar dat mensen nog per ongeluk persoonsgegevens delen.

Of u als developer apps in opdracht van een ander bouwt, zelf apps aanbiedt in de Android Play Store of Apple App Store, of doorverkoopt aan anderen, met onze generatoren op JuriDox maakt u de juiste documenten om dit goed te regelen. Op documenten binnen de App-developersbundel, krijgt u maar liefst 20% korting!

 

Meer weten over privacywetgeving?

ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.

Terug naar overzicht