privacyftcIets meer dan een week geleden kwam een uitgebreid rapport uit van de Amerikaanse Federal Trade Commission (FTC) over privacyaspecten van mobiele apps voor kinderen. Daarin vind je deze screenshot van een populaire app waarmee kinderen kunnen tekenen. Met reclame voor online dating. Altijd leuk voor je driejarige zoon of dochter.

De FTC heeft 400 mobiele apps voor kinderen onderzocht: 50% iOS apps uit Apple’s App Store en 50% Android apps uit Google Play. Uit de studie blijkt dat maar 20% van de onderzochte apps informatie verstrekt over privacy, zoals welke gegevens verzameld worden, wat er met die gegevens gebeurt en wie er toegang tot die gegevens hebben. Ook blijkt dat bijna 60% van de apps voor kinderen gegevens deelt met derde partijen zonder kennisgeving van ouders.

Ict heeft het onderwijs veel te bieden. Ontwikkelingen in adaptief leermateriaal, learning analytics, en big data maken gepersonaliseerd leren mogelijk. Maar wil je kunnen blijven profiteren van groeiende dataverzameling in het onderwijs dan moet dit ook gepaard gaan met meer transparantie en controle voor leerlingen, ouders en leraren over wat er met die gegevens gebeurt. Onze stelling is dat een alternatief model voor ‘identity management’ privacyzorgen kan voorkomen.

We behandelen in twee blogposts de argumenten voor deze stelling. In dit deel stellen we ter discussie of er überhaupt een privacyprobleem is in het onderwijs, of dat probleem erg is en of dat probleem ook komt door hoe het nu gaat.

In een volgende blog gaan we in op voor- en nadelen van de oplossingsrichting ‘Identity 2.0’, waarin niet de aanbieders van diensten of organisaties centraal staan, maar de gebruiker zelf.

Is er een probleem?

Dankzij cloud computing zijn er nauwelijks grenzen meer aan de hoeveelheid gegevens die verzameld kunnen worden via ict-diensten. Het aanbod van diensten neemt toe, zo is het aantal apps in Google Play vanaf begin 2012 met 80% toegenomen tot 700.000 apps. En de hoeveelheid gebruikers van deze apps neemt ook toe: bijna 60% van de Nederlandse consumenten gebruikte in het tweede kwartaal van 2012 een smartphone. Een jaar geleden was dit nog 42 procent.

Het gebruik van deze diensten biedt ook het onderwijs veel voordelen. Ict kan o.a. bijdragen aan het vergroten van leeropbrengsten, hogere motivatie van leerlingen en een efficiëntere tijdsbesteding van docenten. Maar met de toename van ict-gebruik neemt ook de afhankelijkheid toe van deze diensten. Als instellingen hun onderwijs steeds meer gaan inrichten op de inzet van ict om van de voordelen te profiteren, dan moet je privacyzorgen bij leerlingen, ouders en leraren voorkomen.

Uit de in het FTC rapport genoemde studies blijkt dat steeds meer gebruikers zich zorgen maken om hun privacy. Zo ziet meer dan de helft van app-gebruikers in de VS af van installatie van apps op basis van kennis van de gegevens die de app verzamelt. En bijna een derde van de gebruikers heeft apps verwijderd nadat bleek dat persoonsgegevens verzameld werden door de app tegen de wens van de gebruiker in. De meeste mensen zien gegevens op hun mobiel als privé.

Steeds meer clouddiensten en apps zijn gratis. Aanbieders verdienen geld terug met het verkopen van gebruikersgegevens. Adverteerders betalen graag voor gedetailleerde profielinformatie. Uit het rapport van de FTC is maar een conclusie mogelijk: het is niet best gesteld met privacybescherming van gebruikers van apps. Zelfs al gaat het om onderwijs van kinderen. Iets meer dan de helft van de door de FTC onderzochte apps waren specifiek gericht op onderwijs.

Het FTC onderzoek toont aan dat ouders niet geïnformeerd worden over privacybescherming van apps voor hun kinderen. Er ontbrak doorgaans informatie over de gegevens die verzameld werden door apps, laat staan dat duidelijk gemaakt werd welke gegevens verzameld werden, voor welk doel en wie toegang tot deze gegevens heeft.

De FTC vond dat apps o.a. telefoonnummers, identificatienummers van apparaten en locatiegegevens verspreiden zonder kennisgeving aan ouders. Verder bevatten veel apps reclame, verkoopmogelijkheden vanuit de app zelf en links naar social media, zonder dit vooraf de download aan te geven. Zo bevat 58% van de 400 door de FTC onderzochte apps reclame, maar stelt slechts 15% van de apps de gebruikers hiervan vooraf op de hoogte. Dit alles is in strijd met de privacywetgeving en na klachten van de FTC naar aanleiding van het rapport zijn deze week al de eerste apps als Spongebob en Mobbles uit de app stores verwijderd.

Is het erg?

In Nederland zijn instellingen verantwoordelijk voor bescherming van persoonsgegevens van leerlingen. Maak je gebruik van educatieve apps waarvan niet duidelijk is of er gegevens verzameld worden en/of wat er met deze gegevens gebeurt, dan loop je als school risico op strafmaatregelen.

Maar zelfs al zou je letten op wat wettelijk is toegestaan, dan is dit in de huidige tijd niet meer voldoende. Wetgeving loopt doorgaans achter op incidenten. En privacy gaat over vertrouwen. Als je doorgaat met data verzamelen zonder gebruikers hierin inzage en controle te geven dan kan het op een gegeven moment leiden tot een complete ondermijning van vertrouwen. Zonder het vertrouwen van leerlingen, ouders en leraren kom je niet verder. En dit zou zonde zijn, want waarom zou je gebruikers geen inzage en controle bieden?

Komt het door hoe het nu gaat?

Je hoort nu nog betrekkelijk weinig van privacyzorgen in het onderwijs, en volgens sommigen is het niet nodig om slapende honden wakker te maken. Ook wordt er dan gewezen naar de bestaande wetgeving waar scholen en leveranciers zich aan moeten houden.

Het punt is dat privacy meestal pas gevoeld wordt als er iets misgaat. Stel dat je je als school werk wilt maken van gepersonaliseerd onderwijs en je richt op de inzet van educatieve apps, met adaptief leermateriaal en uitgebreide learning analytics. Alleen blijkt op een vervelende manier dat privacygevoelige informatie verzameld is en ouders en leerlingen trekken zich terug. Hoe groter de afhankelijkheid, hoe groter de impact als er iets misgaat.

Uit het FTC rapport blijkt dat het ook moeilijk bouwen is op de commerciële softwareleveranciers als het gaat om privacy. Het FTC maakte al bij een eerdere studie in begin 2012 bekend dat er nauwelijks informatie aan ouders verstrekt werd en vroeg leveranciers om verbetering. Bij het herhalende onderzoek dat in de zomer van 2012 plaatsvond was er nauwelijks verbetering zichtbaar. En als leveranciers al informatie verstrekken dan blijkt deze in veel gevallen onvolledig, onjuist en in sommige gevallen zelfs misleidend. Kennelijk wordt de verantwoordelijkheid door softwareleveranciers niet voldoende gevoeld en schiet toezicht tekort. In Nederland geeft het CBP zelf aan dat het met een capaciteitstekort zit.

Nú voorkomen

Het FTC rapport laat zien dat privacywetgeving op grote schaal geschonden wordt en dit is reden tot zorg. Met name omdat leveranciers zelf weinig actie lijken te ondernemen. De noodzaak of urgentie wordt niet voldoende gevoeld. Maar stel dat een leverancier volgens de wet netjes helder maakt aan gebruikers welke gegevens verzameld worden, dan is de vraag of ellenlange gebruikersacceptatievoorwaarden werkelijk tot duurzame gebruikersacceptatie leiden.

Nu staan de ontwikkelingen voor het personaliseren van onderwijs nog in de kinderschoenen. De kansen die ict biedt zijn echter veelbelovend. Nu is het een stuk eenvoudiger om met privacybescherming rekening te houden als je een systeem aan het inrichten bent dan achteraf aanpassingen te moeten doen (‘Privacy by Design’). Laat staan dat je het risico wilt lopen dat het een keer misgaat. Vertrouwen komt te voet en gaat te paard.

Ik denk zelf dat volledige en laagdrempelige inzage en controle voor gebruikers op de lange termijn de enige manier is om dat vertrouwen in ict te houden en dus ook noodzakelijk is om maximaal van ict te kunnen profiteren. Daar is een oplossingsrichting voor. In een volgende blogpost lichten we toe waarom we bij Innovatie denken dat ‘Identity 2.0’ dé oplossingsrichting voor het onderwijs is.

  • Remko Boers

    Het onderwijs maakt al gebruik van allerlei systemen waarin leerlinginformatie wordt opgenomen. Het is leuk voor het voorbeeld dat er hierboven gesproken wordt over Amerikaanse wetgeving en programmaatjes voor consumenten die educatief genoemd worden (apps), maar het artikel zou een stuk beter op de Nederlandse werkelijkheid aansluiten als hierboven gesproken wordt over het verzamelen, gebruiken en verwerken van privacygevoelige gegevens in bijvoorbeeld leerlingvolgsystemen van methodesites, leerlingadministratiepakketten en uitwisselingsplatformen van de Nederlandse overheid.
    Kennisnet is uitgenodigd om eind maart of begin april aanwezig te zijn bij een bijeenkomst met leveranciers van pakketten waarin leerlinggegevens worden opgeslagen of verwerkt. Doel van die bijeenkomst is om ervoor te zorgen dat die betreffende leerlinggegevens volgens huidige wetgeving beschermd zijn. Dat is nu in de praktijk namelijk niet in alle gevallen gewaarborgd.
    Helaas geeft Kennisnet geen gehoor. Er schijnt niemand te zijn aangewezen betreffende een dossier over privacy.
    Ondertussen gaan ontwikkelingen in de markt door en wordt er niet overal even goed gelet op het feit dat privacy wel gewaarborgd hoort te zijn.

    Ik kijk overigens met interesse uit naar het tweede deel van deze blogpost.

  • Erwin Bomas

    Beste Remko, dank voor je reactie. Goed om nog eens te nuanceren dat het om een Amerikaans onderzoek gaat. Het FTC rapport dient als illustratie van ontwikkelingen die breder zijn, zoals je zelf aangeeft, bovendien goed onderbouwd.
    We gaan in onze verkenning onder andere leerlingvolg- en administratiesoftware op de Nederlandse markt nog onder de loep nemen.
    Jammer dat je vooralsnog geen gehoor hebt gekregen. De bijeenkomst is bij mij in elk geval niet bekend, ik ontvang graag meer informatie via e.bomas[at]kennisnet.nl.
    Overigens willen we in onze verkenning vooral voorbij de huidige situatie kijken hoe je duurzaam met privacy om kunt gaan. Het zou zo maar eens kunnen dat het huidige model losgelaten moet worden. Maar dat bewaren we voor de volgende post (na kerst). Fijne dagen alvast!

  • Remko Boers

    Jij ook fijne dagen. Ik neem na de kerstvakantie even per email contact met je op.

  • Verhagen

    Privacyprobleem. Niet privacy probleem.

  • Pingback: MBO 2012 – 2013 » Gepersonaliseerd leren zonder privacyzorgen