‘Social distancing’, ‘shelter in place’, ‘virtueel happy hour’ – dit zijn enkele van de nieuwe uitdrukkingen die de afgelopen weken op ieders lippen lagen. Voeg voor velen ‘onderwijs op afstand’ toe aan de lijst. Als gevolg van de sluiting van scholen maken miljoenen studenten nu gebruik van online onderwijstechnologie (of “ed tech”)-diensten om vanuit huis afstandsonderwijs te volgen. En hoewel dit in een belangrijke behoefte voorziet, is het belangrijk om in gedachten te houden dat veel van deze ED-technologiediensten persoonlijke gegevens van studenten verzamelen en gebruiken. Het is dus een goed moment om technologieaanbieders en scholen te herinneren aan de voortdurende noodzaak om de privacy van studenten te beschermen en hun persoonlijke gegevens te beschermen. Om u te helpen vindt u hier enkele veelgestelde vragen.
Wat is de Children’s Online Privacy Protection Act (COPPA)? Belangrijk is dat COPPA scholen geen verplichtingen oplegt. In plaats van, COPPA verduidelijkt wat exploitanten van commerciële websites en onlinediensten, waaronder enkele ED-technologiediensten, moeten doen om de privacy en veiligheid van kinderen online te beschermen. Als uw bedrijf bijvoorbeeld onder de COPPA valt, moet u bepaalde informatie in uw privacybeleid opnemen en toestemming van de ouders verkrijgen voordat u bepaalde soorten informatie verzamelt van kinderen onder de 13 jaar. Bovendien moeten bedrijven die onder de COPPA vallen ook redelijke gegevensbeveiligingspraktijken handhaven om bijvoorbeeld hackers te beschermen tegen toegang tot studentenaccounts.
Is COPPA van toepassing op ed-techdiensten die worden gebruikt voor afstandsonderwijs? Om te beginnen willen we benadrukken dat COPPA geen belemmering vormt voor scholen die robuuste mogelijkheden voor afstandsonderwijs aanbieden via ED-technologiediensten. COPPA vereist over het algemeen dat bedrijven die online persoonlijke informatie verzamelen van kinderen onder de 13 jaar, kennis geven van hun gegevensverzamelings- en gebruikspraktijken en verifieerbare ouderlijke toestemming verkrijgen. In een educatieve context kunnen scholen echter namens ouders toestemming geven voor het verzamelen van persoonlijke informatie van leerlingen, maar alleen als dergelijke informatie wordt gebruikt voor een door de school goedgekeurd onderwijsdoel en niet voor andere commerciële doeleinden. Dit geldt ongeacht of het leren in de klas of thuis in de richting van de school plaatsvindt.
Hoe kunnen Ed Tech Services toestemming krijgen van een school? Om ervoor te zorgen dat de ED Tech-dienst toestemming krijgt van de school in plaats van van de ouder, moet de dienst de school voorzien van de noodzakelijke COPPA-vereiste kennisgeving van de gegevensverzameling en -gebruikspraktijken. Wil je weten hoe de post eruit moet zien? Lezen Sectie C van de COPPA FAQ van de FTC. Als beste praktijk, Ed Tech Services moeten de COPPA-kennisgeving beschikbaar stellen aan ouders en, waar mogelijk, ouders in staat stellen de verzamelde persoonlijke informatie te bekijken. Bovendien moeten ED-technologiediensten duidelijke taal gebruiken die studenten, ouders en docenten gemakkelijk kunnen begrijpen.
Wat als de ED-technologiediensten bedoeld zijn voor studenten ouder dan 13 jaar? Zelfs voor studenten die 13 jaar of ouder zijn en niet onder de COPPA vallen, mogen ED-technologiediensten niet minder zorg gebruiken of zich met andere praktijken bezighouden, simpelweg omdat een student afstandsonderwijs volgt in plaats van de ED-technologie-dienst in de klas te gebruiken.
Zijn er andere wetten waar leveranciers van ed-technologie op de hoogte moeten zijn? Naast COPPA moeten ook de ED-technologiediensten worden beoordeeld De Familierechten en Privacywet (FERPA) en dat Het veranderen van de bescherming van studentenrechten (PPRA) – wetten beheerd door het Student Privacy Policy Office (SPPO) van het Amerikaanse ministerie van Onderwijs – evenals alle staatswetten die de privacy van leerlingen in het basis- en voortgezet onderwijs beschermen. Bekijk ook de nieuwe informatie van het Amerikaanse ministerie van Onderwijs op FERPA en virtueel leren. De website van SPPO bevat best practices en mogelijke servicevoorwaarden wat nuttig kan zijn om op te nemen in een overeenkomst tussen scholen en leveranciers van onderwijstechnologie. En uiteraard verbiedt Sectie 5 van de FTC Act alle bedrijven zich in te laten met oneerlijke of bedrieglijke praktijken.
Enig advies voor scholen die ED-techdiensten gebruiken? Houd er rekening mee dat COPPA, omdat het alleen van toepassing is op exploitanten van commerciële websites en diensten, doorgaans geen directe verplichtingen oplegt aan scholen. Niettemin moeten scholen en schooldistricten, nu ze overstappen op afstandsonderwijs, hun advocaten en informatiebeveiligingsspecialisten raadplegen om het privacy- en beveiligingsbeleid van de ED-technologiediensten die ze gebruiken te herzien. Scholen of schooldistricten moeten beslissen of de privacy- en informatiepraktijken van een bepaalde website of dienst passend zijn, in plaats van die beslissing aan de leraar te delegeren. De school of het schooldistrict moet ouders ook op de hoogte stellen van de websites en onlinediensten waarvan zij namens de ouder hebben ingestemd met het verzamelen ervan. Bij het beslissen welke onlinetechnologieën zij met leerlingen wil gebruiken, moet een school erop letten dat zij begrijpt hoe een exploitant persoonlijke informatie van zijn leerlingen zal verzamelen, gebruiken en openbaar maken. Een van de vragen die een school aan potentiële exploitanten moet stellen, zijn:
- Welke soorten persoonlijke informatie verzamelt u van studenten?
- Hoe gebruikt u deze persoonlijke informatie?
- Gebruikt of deelt u de informatie voor commerciële doeleinden die geen verband houden met het aanbieden van de door de school gevraagde onlinediensten? Gebruikt u bijvoorbeeld persoonlijke gegevens van studenten in verband met het genereren van gerichte advertenties of het opbouwen van gebruikersprofielen voor commerciële doeleinden die geen verband houden met het aanbieden van de online dienst? De school kan dan geen toestemming namens de ouder geven.
- Staat u toe dat de school de persoonlijke gegevens die van hun leerlingen zijn verzameld, bekijkt en verwijdert? Indien dit niet het geval is, kan de school namens de ouders geen toestemming geven.
- Welke maatregelen neemt u om de veiligheid, vertrouwelijkheid en integriteit van de persoonlijke informatie die u verzamelt te beschermen?
- Wat is uw beleid voor het bewaren en verwijderen van gegevens voor persoonlijke gegevens van kinderen?
Voor meer informatie over scholen en COPPA kunt u lezen Sectie M van de COPPA FAQ van de FTC.
Waar kan ik meer leren? Voor meer specifieke informatie over hoe COPPA werkt en wie er onder de dekking valt, leest u Veelgestelde vragen over COPPA En Online privacyregel voor kinderen: een nalevingsplan in zes stappen voor uw bedrijf.
