Data van studenten verzamelen, bewaren en gebruiken

Wat mag wel en wat niet?

Foto: Anne Reinke

Wat weet de universiteit allemaal van jou en wat mag de universiteit niet weten? Studenten stellen steeds meer vragen over wat de universiteit aan informatie en gegevens over hen verzamelt, bewaart en deelt. Voor WUR is Serious about Data legt student Fernando privacy officer Tim van Loon het vuur aan de schenen.

Fernando Gabriel (25) komt uit Mexico en doet de master Biosystems Engineering. Vanuit zijn specialisatie Information Technology weet hij heel goed wat er mogelijk is op het gebied van dataverzameling. Hij vraagt zich daarom af wat de universiteit doet met de data die over studenten worden verzameld. Tim van Loon (39) is privacy officer voor onder andere Education & Student Affairs (ESA) en adviseert de universiteit hoe om te gaan met privacyvraagstukken. Hij moet telkens afwegingen maken tussen ethiek en regelgeving, en kent de uitdagingen waar partijen binnen en buiten de organisatie tegenaan lopen als het gaat om het verzamelen, bewaren en verwerken van data.

Fernando Gabriel Student Biosystems Engineering

Fernando: WUR heeft als landbouwuniversiteit van oudsher intensieve samenwerkingen met het bedrijfsleven. Hoe weet ik als student nou zeker dat mijn data niet aan die bedrijven wordt verkocht?

Tim: “Hier gaat het om wat je ethisch moet willen en daarbij wat er in wet- en regelgeving, zoals de AVG, staat. Voor beide afwegingen geldt in de basis dat het op WUR een absolute no go is om zonder de uitdrukkelijke toestemming van de student persoonlijke data te delen met derde partijen. De universiteit is daar transparant over. Natuurlijk zijn er altijd twijfelgevallen. Die komen dan op mijn bordje terecht. Onlangs wilde een gemeente in de buurt van de universiteit gegevens uit de bevolkingsadministratie vergelijken met de gegevens van studenten die bij ons zijn ingeschreven. Hoe begrijpelijk ook, ik heb daar toen negatief over geadviseerd, omdat wij niet zonder meer gegevens delen als daar geen wettelijke grondslag voor is of er afspraken zijn gemaakt over deze datadeling”.

Fernando: Hoe zelfstandig kan de universiteit hierover beslissen? Is er niet gewoon sprake van een hiërarchische situatie, waardoor er toch een moment komt dat je die data moet overleggen?

Tim: “Nee, ons kader is wet- en regelgeving. Er moet een wettelijke grondslag zijn om die informatie op te mogen vragen en te delen. Of een duidelijke en expliciete toestemmingsverklaring van de student of medewerker, en dan niet in de vorm van een cookieverklaring waar mensen vaak gedachteloos ‘ja’ tegen zeggen. Als data gedeeld wordt moeten daarover heldere afspraken gemaakt zijn tussen partijen. In dit specifieke geval was die grondslag er mijns inziens niet en was dit een aangelegenheid tussen studenten en gemeente. WUR is daar geen partij in.”

Tim van Loon Privacy officer

Foto: Anne Reinke

Fernando: Wat doet de universiteit met mijn data als ik ben afgestudeerd?

Tim: “We bewaren alleen de gegevens die belangrijk zijn voor toekomstige functies: als je ergens gaat werken moet je soms bewijzen dat je diploma valide is, bijvoorbeeld. Die data bewaren we dus altijd. Alle niet benodigde persoonlijke data worden binnen vastgestelde termijnen vernietigd. Hiervoor bestaat een afgestemde overkoepelende richtlijn tussen alle Nederlandse universiteiten. “De bewaartermijn voor informatie over tentamens is veel korter, net als voor de informatie over betalingen. Voor medische gegevens, ras en etniciteit gelden extra borgen; die gegevens worden doorgaans niet vastgelegd, tenzij bijvoorbeeld een student-psycholoog een student gaat begeleiden, maar dan nog mag niet iedereen bij die data. Ook de kopie van je paspoort die we gebruiken voor identificatie moeten we wettelijk gezien vastleggen, maar wel zo veilig mogelijk. Vroeger werd met het opslaan van persoonlijke gegevens heel anders omgegaan. Toen werd heel makkelijk gezegd: ik heb dyslexie en ik heb daarom extra tijd nodig voor mijn tentamens. Nu wordt in zo’n geval alleen nog opgeslagen dat iemand extra tijd nodig heeft. “De tijd dat iedereen zoveel mogelijk, zo lang mogelijk bewaart, is gelukkig voorbij. Dat zie je nog bij bijvoorbeeld Big Tech bedrijven als Twitter en Facebook. WUR is heel actief op het gebied van privacybescherming: universiteitsbreed zijn daar veertien mensen voor aan het werk en één onafhankelijke Functionaris Gegevensbescherming.”

Fernando: Maar terwijl ik op de universiteit zit, worden er toch wel degelijk data van me bewaard? Wie data bewaart, analyseert ze ook. Daarmee is het ook mogelijk om zaken te manipuleren. Hoe voorkom je dat?

Tim: “Het gevaar dat je meer met data gaat doen dan je vanuit privacy-oogpunt zou willen, ligt zeker op de loer. Vooral sinds al het onderwijs online is gegaan door corona, is de hoeveelheid data over de studie enorm toegenomen – zelfs voordat mensen aan een studie beginnen. De open dagen bijvoorbeeld: die zijn door corona sinds vorig jaar helemaal online. Je wilt graag monitoren of middelbare scholieren die interesse hebben in onze universiteit op de juiste manier worden geholpen. En als ze aan het zoeken zijn naar de juiste studierichting verzamel je hoe dan ook data. Gebruik je die alleen om mensen te helpen of ook voor je eigen doelen om studierichtingen vol te krijgen die nog studenten kunnen nodig hebben? Bij online open dagen is dat een stuk beter te sturen dan offline. We willen deze processen graag goed analyseren, en zijn heel scherp op dit gebied. “Ook op andere terreinen zijn er door corona privacy-issues ontstaan. Denk aan hoe we omgaan met MS Teams, het opnemen van onderwijs of proctoring, waarbij studenten tijdens hun tentamens worden gemonitord op fraude. Hoewel het middel echt alleen daarvoor mag worden ingezet, worden er in de zijlijn zaken opgenomen die niet direct met het examen te maken hebben. Hoe ga je daar zo goed mogelijk mee om? Doet het er bijvoorbeeld toe of iemand een waterpijp in de hoek van zijn kamer heeft staan, of een poster van een bepaalde politieke partij? Daar mag niets over vastgelegd worden. Maar er zijn het afgelopen jaar wel andere zaken gesignaleerd waarbij je je uit het oogpunt van studentenwelzijn kon afvragen of je daar wat mee wil en moet. Dan begeef je je op een hellend vlak. Stel dat je ziet dat iemand mogelijk gevaar loopt, op welk punt mag of wil je er dan iets mee doen of niet?”

Need to know of nice to have? Bij het laatste trekken de privacy officers een grens

Foto: Anne Reinke

Fernando: Ik vind privacy bij proctoring echt een belangrijk issue. Ik houd er niet van om mijn kamer te laten zien aan vreemden, laat staan dat ik op een dergelijke manier zou worden bespied door een extern proctoringbedrijf. Maar ik denk dat er altijd extreme gevallen zijn waar een universiteit wel moet kunnen ingrijpen, bijvoorbeeld als iemands leven in gevaar is.”

Tim: “In alle opzichten is de digitalisering van het onderwijs een disruptie waar de komende jaren nog veel vragen over zullen komen. Daar hebben we als privacyfunctionarissen een open oor voor.”

Fernando: Vooral bij dergelijke deep learning-technieken en artificial intelligence kun je je afvragen welke informatie nog van jezelf is.

Tim: “De universiteit mag alleen data opslaan die we nodig hebben om jou met je studie te helpen. Daarom moet je je altijd afvragen: is het need to know of nice to have? In het laatste geval trekken we een duidelijke grens. Bij nice to have adviseer ik doorgaans negatief.”

Fernando: Studenten beschouwen de universiteit toch als een autoriteit waar ze deel van willen uitmaken. Ik vraag me af of iedereen zich aan het begin van zo’n periode afvraagt wat hij of zij van zichzelf weg wil geven en wat je rechten zijn. Zeker, als je online zoekt, vind je wel wat, maar het meeste is geschreven in advocatentaal. Mijn oproep zou zijn om eenvoudiger taal te gebruiken om die zaken uit te leggen.

Tim: “Je opmerking over juridische taal herken ik wel. Dat komt denk ik vooral voort uit het feit dat we graag aan de wet moeten voldoen en het balanceren is tussen helder taalgebruik en de juridische betekenis van bepaalde termen. Onze ambitie is dat we er wel transparanter en beter in moeten worden om studenten duidelijk te maken welke data we hebben, welke data we gebruiken en hoe we hier zorgvuldig mee om gaan. Dit gesprek bevestigt mijn gedachten daarover. Daar wil ik je voor bedanken.”