GDPR en learning analytics in 5 stappen

Bepaal wat je met learning analytics wilt bereiken

Leg je doelen vast. Zo maak je de verwerking van de gegevens transparant, eerlijk en begrijpelijk. Belangrijke uitgangspunten daarbij zijn:

• De doelbinding: je mag alleen gegevens gebruiken voor specifieke, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.
• Dataminimalisatie: je verzamelt en gebruikt alleen gegevens die je ook echt nodig hebt.
• Opslagbeperking: je bepaalt op voorhand hoe lang je gegevens bewaart - niet langer dan nodig.
• Verantwoording: je beschrijft het gebruik op een transparante, begrijpelijke en toegankelijke manier.

Beschrijf de stakeholders

Welke groepen stakeholders spelen een rol bij learning analytics? Wat is hun positie, wat zijn hun wensen en verwachtingen? Dat is een stakeholderanalyse. Denk aan personen binnen je onderneming. Maar ook aan mensen die het systeem zullen onderhouden, projectleiders, management…

In deze stap werk je concreet uit hoe je de learning analytics technisch en juridisch uitvoert.

Neem privacybescherming mee in het ontwerp

Learning analytics werken pas als je de juiste gegevens verwerkt op een geschikte manier. Je bent wettelijk verplicht de privacywetgeving te integreren. Welke data heb je nodig? Van hoeveel personen? Kan het met minder? Ga steeds voor minimale aantallen.

Bepaal de scope van je verwerking

Wat is – vanuit privacyperspectief – de reikwijdte van je project?

Welke persoonsgegevens verzamel je?

• Verwerk je bijzondere persoonsgegevens? Dat zijn gegevens over gezondheid, etnische afkomst, seksuele en politieke voorkeur en godsdienst. Daarvoor heb je aparte toestemming nodig.
• Hoeveel gegevens verwerk je? Hoeveel soorten? Hoe vaak doe je dat? Hoe lang duurt de verwerking (van verzamelen tot anonimiseren) en van hoeveel personen verwerk je de gegevens?
• ·Zijn er nog andere relevante elementen in verband met de reikwijdte? Denk bijvoorbeeld aan het geografische gebied. Als je gegevens verwerkt van personen buiten Europa, kunnen er andere regels gelden.

Beschrijf hoe je de gegevens verwerkt

• Welke handelingen verricht je? Dat gaat van verzamelen en opslaan tot vernietiging van de gegevens.
• Welke databronnen gebruik je? Denk hierbij aan je LMS, studenteninformatiesysteem, aanwezigheidsmonitoring… Beschrijf ze en geef aan welke gegevens waar precies bewaard of verwerkt worden.
• Beschrijf de gebruikte systemen voor learning analytics. Gebruik je een bepaalde site of app? Bevat het systeem nieuwe technologieën?
• Beschrijf de betrokken dienstverleners. Je zal misschien gebruikmaken van externe leveranciers voor je learning analytics. Bepaal wie toegang heeft en met wie je gegevens deelt.

Beschrijf de beveiligingsmaatregelen

Beveilig de gegevens volgens de AVG-richtlijnen. Je zal dus passende (technische) maatregelen moeten nemen.

Pas aggregatie en pseudonimisatie toe

Je kan maatregelen nemen om gegevens beter te beveiligen. Denk aan cryptisch bewerken. Ook dat is verwerking van persoonsgegevens. Soms kan je die gegevens nog herleiden naar individuele personen. Dat is pseudonimiseren. Van anonimiseren is pas sprake als er geen enkele manier meer is om de gegevens te herleiden tot een persoon.

Je kan gegevens hun status als persoonsgegeven laten verliezen door ze te aggregeren. Je voegt ze dan samen tot uitspraken over meerdere personen: ‘50% van de cursisten is tevreden over…’. Aan statistische gegevens stelt de wet geen eisen.

Bepaal de privacyrollen van de stakeholders

De rollen die de AVG onderscheidt zijn:

• De verwerkingsverantwoordelijke. Hij bepaalt het doel en de middelen van de verwerking.
• De gezamenlijk verantwoordelijken. Zij bepalen het doel en de middelen van verwerkingen, die onlosmakelijk met elkaar verbonden zijn.
• De verwerker. Hij verwerkt in opdracht gegevens.
• Derden.
  

Beoordeel je learning analytics aan de hand van de volgende criteria.

Is de toepassing proportioneel?

De gegevens moeten noodzakelijk zijn voor het doel. Weeg af wat je nastreeft met de learning analytics en kijk hoe dat zich verhoudt tot de (mogelijke) gevolgen voor het individu.

Kan je met minder ingrijpende middelen hetzelfde doel bereiken?

Als je hetzelfde doel kan bereiken zonder learning analytics, dan doe je dat. Na stap 2 kan je de relevante grondslagen van je learning analytics aanwijzen. Dat geeft je de nodige rechtvaardiging. Voor elke fase (verzamelen, analyseren en gebruiken) heb je minstens een van de volgende grondslagen nodig:

• De betrokkene heeft uitdrukkelijk toestemming gegeven.
• De verwerking is nodig voor het uitvoeren van een overeenkomst.
• Een wettelijke verplichting vraagt dat de persoonsgegevens verzameld worden.
• De verwerking is nodig voor het (onderwijs)belang van de instelling, een externe partij of het individu. Dat is het gerechtvaardigd belang.
• De verwerking gebeurt omdat de instelling een publieke taak uitoefent, voor het algemeen belang of openbaar gezag.

Sluit de nodige contracten af

• Ten eerste stel je een Gezamenlijke Verantwoordelijkheidsovereenkomst af. Je treft een onderlinge regeling waarin duidelijk en transparant staat wie welke verantwoordelijkheid heeft bij het naleven van de AVG.
• Stel de verwerkersovereenkomst op. Die beschrijft de relatie tussen de verwerker en de verwerkingsverantwoordelijke. Meer daarover lees je hier.

Stel de nodige beleidsdocumenten en procedures op

Inventariseer bij welk beleid learning analytics kan aansluiten. Neem de nodige stappen als er nog geen beleid is. Denk aan het beveiligingsbeleid, de procedure voor het omgaan met datalekken en de procedure voor het omgaan met verzoeken van betrokkenen (zie ook de rechten van de betrokkene)

Informeer de betrokkenen over de verwerking

De individuen moeten die informatie ontvangen vóór of op het exacte moment dat de gegevens worden verwerkt.

Neem de nodige beveiligings- en risicobeperkende maatregelen

Dat garandeert de vertrouwelijkheid, integriteit en beschikbaarheid van de persoonsgegevens.

Bovenstaande stappen zijn geen eenmalig proces. Je onderneming, de organisatie of de buitenwereld veranderen. Dat heeft een invloed op de maatschappelijke en juridische kaders waarin je werkt. Evalueer dan ook op vaste momenten om te zorgen dat je systeem nog steeds verantwoord is.