Snappet, een organisatie die tablets met ingebouwde apps verhuurt aan bijna 1.000 basisscholen, heeft maatregelen getroffen om geconstateerde overtredingen van de Wet bescherming persoonsgegevens (Wbp) te beeindigen. Het College bescherming persoonsgegevens (CBP) zal daarom geen handhavende maatregelen nemen tegen Snappet.

Eerder constateerde het CBP dat Snappet leerresultaten van kinderen in strijd met de wet verwerkte. Snappet gebruikte deze persoonsgegevens bijvoorbeeld voor het voortdurend per opgave beoordelen en kwalificeren van de kinderen in vergelijking met alle andere kinderen die met de Snappet-tablets werken, zonder expliciete schriftelijke opdracht van de scholen. Snappet gaf de scholen onvoldoende informatie over wat de organisatie met de gegevens doet. Snappet had de dienst ook onvoldoende beveiligd tegen onrechtmatige verwerking van de persoonsgegevens door onbevoegde derden.

Maatregelen

Snappet heeft haar werkwijze en de informatievoorziening aan de scholen nu zo aangepast dat de scholen die de Snappet-tablets gebruiken weten wat er met de gegevens van hun leerlingen gebeurt en hier bewust voor kunnen kiezen. Zo maakt Snappet op haar website en in een bewerkersovereenkomst duidelijk welke keuzes scholen hebben binnen de diensten van Snappet en de daarmee samenhangende verwerkingen van persoonsgegevens. Scholen kunnen hier expliciet opdracht voor geven, bijvoorbeeld door een selectievakje aan te vinken. In gesprekken met potentiele klanten maakt Snappet gebruik van een checklist waarin de Wet bescherming persoonsgegevens en de rol van Snappet als bewerker aan de orde komen. Snappet heeft ook maatregelen genomen om de persoonsgegevens adequaat te beveiligen.

Digitale leermiddelen in het onderwijs

Steeds meer scholen werken met digitale leermiddelen, zoals apps en tablets. Deze middelen bieden naast innovatieve onderwijsmethoden ook nieuwe technologische mogelijkheden om persoonsgegevens te combineren en verder te verwerken. Die verwerkingen van de gegevens zijn niet zomaar toegestaan. Leerresultaten van kinderen zijn gevoelige gegevens waaraan bovendien conclusies kunnen worden verbonden met gevolgen voor het latere maatschappelijke leven. Scholen moeten zeggenschap houden over de gegevens van hun leerlingen en weten wat daarmee gebeurt. Externe technische dienstverleners moeten scholen dan ook heldere informatie geven over de gegevensverwerkingen en mogen de gegevens van de leerlingen pas gebruiken nadat scholen hier weloverwogen voor hebben kunnen kiezen. Scholen zouden dan op hun beurt ouders moeten informeren.