“Social distancing”, “shelter-in-place”, “virtueel happy hour” – dit zijn enkele van de nieuwe uitdrukkingen die de afgelopen weken op ieders lippen lagen. Voeg voor velen ‘onderwijs op afstand’ toe aan de lijst. Vanwege de sluiting van scholen maken miljoenen studenten nu gebruik van online onderwijstechnologie (of ‘ed tech’-diensten) om vanuit huis op afstand te leren. En hoewel dit in een essentiële behoefte voorziet, is het belangrijk om in gedachten te houden dat veel van deze ED-technologiediensten de persoonlijke gegevens van studenten verzamelen en gebruiken. Het is dus een goed moment om technologieleveranciers en scholen te herinneren aan de voortdurende noodzaak om de privacy van leerlingen te beschermen en hun persoonlijke gegevens te beschermen. Om u te helpen vindt u hier enkele veelgestelde vragen.
Wat is de Children’s Online Privacy Protection Act (COPPA)? Belangrijk is dat COPPA scholen geen verplichtingen oplegt. In plaats van, COPPA Hierin wordt uiteengezet wat exploitanten van commerciële websites en onlinediensten, waaronder enkele ED-technologiediensten, moeten doen om de privacy en veiligheid van kinderen online te beschermen. Als uw bedrijf bijvoorbeeld onder COPPA valt, moet u over bepaalde informatie in uw privacybeleid beschikken en toestemming van de ouders verkrijgen voordat u bepaalde soorten informatie van kinderen jonger dan 13 jaar verzamelt. Bovendien moeten bedrijven die onder COPPA vallen ook redelijke gegevensbeveiligingspraktijken handhaven om bijvoorbeeld hackers te beschermen tegen toegang tot studentenaccounts.
Is COPPA van toepassing op onderwijstechnologiediensten die worden gebruikt voor leren op afstand? Om te beginnen willen we benadrukken dat COPPA geen belemmering vormt voor scholen die robuuste mogelijkheden voor leren op afstand bieden via ED-technologiediensten. COPPA vereist doorgaans dat bedrijven die online persoonlijke informatie verzamelen van kinderen jonger dan 13 jaar, kennis geven van hun gegevensverzamelings- en gebruikspraktijken en verifieerbare ouderlijke toestemming verkrijgen. In de onderwijscontext kunnen scholen echter namens ouders toestemming geven voor het verzamelen van persoonlijke informatie van leerlingen – maar alleen als dergelijke informatie wordt gebruikt voor een door de school goedgekeurd onderwijsdoel en voor geen ander commercieel doel. Dit geldt ongeacht of het leren in de klas plaatsvindt of thuis, onder leiding van de school.
Hoe kunnen Ed Tech Services toestemming krijgen van een school? Als de ED Tech-dienst toestemming wil krijgen van de school in plaats van van de ouders, moet de dienst de school de nodige, door de COPPA vereiste kennisgeving doen geven van de gegevensverzameling en -gebruikspraktijken. Wilt u weten hoe de kennisgeving er uit moet zien? Lezen Sectie C van de COPPA-veelgestelde vragen van de FTC. Als beste praktijk, Ed Tech Services moeten de COPPA-kennisgeving beschikbaar stellen aan ouders en, waar mogelijk, ouders de verzamelde persoonlijke informatie laten inzien. Bovendien moeten ED-technologiediensten duidelijke taal gebruiken die studenten, ouders en docenten gemakkelijk kunnen begrijpen.
Wat als de ED-technologiediensten bedoeld zijn voor studenten ouder dan 13 jaar? Zelfs voor studenten die 13 jaar of ouder zijn en niet onder de COPPA vallen, mogen ED-technologiediensten niet minder zorg gebruiken of zich met andere praktijken bezighouden, simpelweg omdat een student zich bezighoudt met leren op afstand in plaats van de ED-technologieservice in de klas te gebruiken.
Zijn er andere wetten waar leveranciers van ed-technologie op de hoogte moeten zijn? Naast COPPA moeten Ed Tech Services de Wet op de educatieve rechten en privacy van gezinnen (FERPA) en de Amendement bescherming van de rechten van leerlingen (PPRA) – wetten beheerd door het Student Privacy Policy Office (SPPO) van het Amerikaanse ministerie van Onderwijs – evenals alle staatswetten die de privacy van leerlingen in het basis- en voortgezet onderwijs beschermen. Bekijk ook de nieuwe informatie van het Amerikaanse ministerie van Onderwijs over FERPA en virtueel leren. De website van SPPO bevat best practices en mogelijke servicevoorwaarden dat kan nuttig zijn om op te nemen in een overeenkomst tussen scholen en leveranciers van onderwijstechnologie. En natuurlijk verbiedt Sectie 5 van de FTC Act alle bedrijven om zich in te laten met oneerlijke of bedrieglijke praktijken.
Is er enig advies voor scholen die gebruik maken van ED-techdiensten?? Houd er rekening mee dat COPPA, omdat het alleen van toepassing is op exploitanten van commerciële websites en diensten, doorgaans geen directe verplichtingen oplegt aan scholen. Niettemin moeten scholen en schooldistricten, nu ze overstappen op leren op afstand, hun advocaten en informatiebeveiligingsspecialisten raadplegen om het privacy- en beveiligingsbeleid van de ED-technologiediensten die ze gebruiken te herzien. Scholen of schooldistricten moeten beslissen of de privacy- en informatiepraktijken van een bepaalde site of dienst passend zijn, in plaats van die beslissing aan de leraar te delegeren. Ook moet de school of het schooldistrict ouders op de hoogte stellen van de websites en onlinediensten waarvan zij namens de ouder hebben ingestemd met het verzamelen ervan. Bij het beslissen welke onlinetechnologieën zij met leerlingen wil gebruiken, moet een school erop letten dat zij begrijpt hoe een exploitant persoonlijke informatie van zijn leerlingen zal verzamelen, gebruiken en openbaar maken. Een van de vragen die een school aan potentiële exploitanten zou moeten stellen, zijn:
- Welke soorten persoonlijke informatie verzamelt u van studenten?
- Hoe gebruikt u deze persoonlijke informatie?
- Gebruikt of deelt u de gegevens voor commerciële doeleinden die geen verband houden met het aanbieden van de door de school gevraagde online diensten? Gebruikt u bijvoorbeeld de persoonlijke gegevens van studenten in verband met het genereren van gerichte advertenties of het opbouwen van gebruikersprofielen voor commerciële doeleinden die geen verband houden met het aanbieden van de online dienst? Dan kan de school geen toestemming namens de ouder geven.
- Laat u de school de persoonlijke gegevens van hun leerlingen beoordelen en verwijderen? Indien dit niet het geval is, kan de school namens de ouders geen toestemming geven.
- Welke maatregelen neemt u om de veiligheid, vertrouwelijkheid en integriteit van de persoonlijke informatie die u verzamelt te beschermen?
- Wat is uw beleid voor het bewaren en verwijderen van gegevens voor persoonlijke gegevens van kinderen?
Voor meer informatie over scholen en COPPA kunt u lezen Sectie M van de COPPA-veelgestelde vragen van de FTC.
Waar kan ik meer leren? Voor meer specifieke informatie over hoe COPPA werkt en wie er onder de dekking valt, leest u Veelgestelde vragen over COPPA En Online privacybeschermingsregel voor kinderen: een nalevingsplan in zes stappen voor uw bedrijf.
