We krijgen vaak vragen over hoe de Children’s Online Privacy Protection Act van toepassing is in de schoolomgeving. De CUP-regel geeft ouders controle over welke informatie “een exploitant van een website of online dienst” – ja, inclusief apps – kan verzamelen van hun kinderen onder de 13 jaar. COPPA vereist onder meer dat entiteiten die onder de wet vallen, ouders op de hoogte stellen en hun goedkeuring krijgen voordat ze persoonlijke informatie van kinderen verzamelen, gebruiken of openbaar maken. Hoe is COPPA van toepassing op scholen? Hier is het korte antwoord: scholen – die meestal deel uitmaken van de lokale overheid – vallen niet binnen de wettelijke definitie van wie onder de COPPA valt, omdat ze geen commerciële ‘exploitanten’ zijn. Dat gezegd hebbende, staan scholen leerlingen soms toe, of eisen ze zelfs, dat ze sites en diensten gebruiken die onder de COPPA vallen en die kennisgeving moeten doen en verifieerbare toestemming van de ouders moeten krijgen.
Deze vraag is niet nieuw. Toen de FTC in 1999 de oorspronkelijke COPPA-regel uitvaardigde, werd ingegaan op de manier waarop scholen kunnen optreden als tussenpersoon tussen exploitanten en ouders in het kennisgevings- en toestemmingsproces, of als tussenpersoon van de ouders, handelend namens de ouders. Dit is wat we destijds over dit onderwerp zeiden in de Verklaring van Basis en Doel voor COPPA:
“Talrijke commentatoren uitten hun bezorgdheid over de manier waarop de regel van toepassing zou zijn op het gebruik van internet op scholen. Sommige commentatoren uitten hun bezorgdheid dat het vereisen van ouderlijke toestemming voor het online verzamelen van informatie de activiteiten in de klas zou verstoren, vooral als er voor slechts één of twee kinderen geen toestemming van de ouders zou worden verkregen. In reactie daarop merkt de Commissie op dat de regel scholen er niet van verbiedt om als tussenpersoon op te treden tussen exploitanten en ouders in het kennisgevings- en toestemmingsproces, of om in het proces als tussenpersoon van de ouders op te treden. Veel scholen vragen bijvoorbeeld al om toestemming van de ouders voor schoolbezoeken. Als een exploitant aan het begin van het schooljaar toestemming krijgt van een school om persoonlijke informatie van kinderen te verzamelen, kan de exploitant, nadat hij de school op de hoogte heeft gesteld van de praktijken van de exploitant voor het verzamelen, gebruiken en openbaar maken ervan, ervan uitgaan dat de toestemming van de school gebaseerd is op het feit dat de school de toestemming van de ouders heeft verkregen.”
(Heb je daarvoor het citaat nodig? Het is 64 Fed. Reg. 59888, 59903.)
De mogelijkheid van de school om namens een ouder toestemming te geven is echter beperkt tot de educatieve context – met andere woorden, het is alleen van toepassing wanneer een exploitant persoonlijke informatie van leerlingen verzamelt alleen voor een educatief doel, en voor geen ander commercieel doel. Naast de centrale rol die scholen spelen bij het creëren van een boeiende leeromgeving, spelen zij dus ook een rol bij het beschermen van de privacy van leerlingen.
Onlangs ontvingen FTC-medewerkers vragen over de vraag of COPPA aanbieders van online tests omvat – in het bijzonder tests die twee consortia van staatsonderwijsinstellingen ontwikkelen. Het Partnership for Assessment of Readiness for College and Careers (PARCC) is een non-profitorganisatie die zichzelf omschrijft als “een alliantie van staten die samenwerken om gemeenschappelijke beoordelingen te ontwikkelen ten behoeve van bijna 24 miljoen studenten.” Het Smarter Balanced Assessment Consortium bestaat uit lidstaten en andere overheidsinstanties. Het idee is dat de tests online worden gegeven aan schoolkinderen in het hele land. Hoewel we alle soorten entiteiten aanmoedigen om de privacy van kinderen te respecteren, strekt de handhavingsautoriteit van de FTC zich niet uit tot het verzamelen van informatie door deelstaatregeringen of de meeste non-profitorganisaties. Deze specifieke consortia en de ontwikkeling en het beheer van hun tests vallen dus niet onder de COPPA. Het is belangrijk om in gedachten te houden dat scholen om vele redenen tests afnemen – om bijvoorbeeld de prestaties van leerlingen en scholen te evalueren – maar dat scholen in veel gevallen ook moeten voldoen aan wettelijke mandaten om leerlingen te testen op grond van federale, staats- en lokale wetten.
Meer in het algemeen is het doel van COPPA echter het beschermen van de privacy van kinderen met betrekking tot het online verzamelen van persoonlijke informatie door commerciële entiteiten. Veel ouders hechten veel waarde aan de privacy van hun kinderen en verwachten terecht dat hun scholen deze beschermen. Maar COPPA was niet bedoeld om de traditionele relatie tussen ouders en scholen te vervangen als het gaat om het verzamelen van informatie uitsluitend voor educatieve doeleinden in de schoolcontext en met toestemming van de school. Dat geldt zelfs als die informatie online wordt verzameld.
Uiteraard hebben onderwijsinstellingen en instellingen op grond van de Family Educational Rights and Privacy Act (FERPA) specifieke verplichtingen om de privacy van studenten te beschermen, inclusief het beschermen van persoonlijke informatie uit de onderwijsgegevens van kinderen tegen verdere openbaarmaking of gebruik zonder de schriftelijke toestemming van de ouder, tenzij dit op grond van FERPA is toegestaan.
Kortom, COPPA biedt belangrijke bescherming voor de persoonlijke informatie van kinderen in de commerciële ruimte, en erkent ook de speciale rol die scholen kunnen spelen bij het verlenen van toestemming voor het online verzamelen van informatie van kinderen, exclusief voor educatieve diensten – bijvoorbeeld online testen.
