Neem contact met ons op


Karlijn:
06 4247 3080


Rob:
06 8183 4114


Lisa: 
06 2218 8613

AVG en social media/webcare bij onderwijsinstellingen

AVG en social media/webcare bij onderwijsinstellingen

Als reactie op mijn blog Bye Bye Facebook pagina onderwijsinstelling? kreeg ik de vraag of ik social media en webcare door onderwijsinstellingen kon relateren aan de Algemene Verordening Gegevensbescherming (AVG). Bij deze. Ga er even goed voor zitten. Het kost je 10-15 minuten maar dan ben je ook meteen helemaal op de hoogte.

AVG in het (heel) kort

De AVG (GDRP in het Engels: General Data Protection Regulation) is een Europese verordening die de Nederlandse Wet bescherming persoonsgegevens (Wbp) uit 1995 vervangt. De AVG is al in 2016 in aangenomen door de Europese Unie maar zal pas met ingang van 25 mei 2018 worden toegepast. De wet uit 1995 was achterhaald geworden door de evolutie die sinds die tijd heeft plaatsgevonden op het gebied van online communicatie.

De gevolgen van AVG voor bedrijven en instellingen kunnen groot zijn en de boetes ook. De AVG heeft gevolgen voor elke instelling die persoonsgegevens verwerkt. Persoonsgegevens zijn gegevens die kunnen verbonden worden aan een individu, of waarmee een individu kan worden geïdentificeerd: naam, foto, telefoonnummer, adres, bankrekeningnummer, e-mailadres, IP adres, vingerafdruk, medische data, enz.

Impact van AVG: alle organisaties

De impact van deze nieuwe wet is onder meer zo groot omdat hij geldt voor alle organisaties die werken met persoonsgegevens: van de voordehandliggende partijen zoals ziekenhuizen en techreuzen zoals Google en Facebook – tot de bridgeclub in het dorp die een Excellijst heeft met e-mailadressen van iedereen die wel eens komt bridgen op woensdagochtend. En alle organisaties daar tussenin.

De volgende regels moeten worden gevolgd:

  • transparantie: de persoon van wie de gegevens verwerkt worden (opgeslagen in een systeem of lijsten van aangelegd), is hiervan op de hoogte, heeft hiervoor toestemming gegeven en kent zijn rechten
  • doelbeperking: de persoonsgegevens worden voor een welbepaald gewettigd doel verzameld, en mogen niet voor andere zaken gebruikt worden. Bij analyses mag geen data worden bewaard die niet herleidbaar is tot een individu.
  • gegevensbeperking: enkel de noodzakelijke gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld
  • juistheid: de persoonsgegevens moeten correct zijn en blijven. Iedereen heeft recht op inzage en herzien van informatie die is verwerkt
  • bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel
  • integriteit en vertrouwelijkheid: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging
  • verantwoording: de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen

Wat bedoelen we eigenlijk met social media en webcare bij onderwijsinstellingen?

Het onderwerp AVG is huge, daarom perk ik het onderwerp voor dit blog graag in tot social media en webcare Ik ga dus geen P&O-/HR- en ook geen onderwijsondersteunende aspecten van AVG bespreken. Ook ga ik niet in op het inzetten van CRM-systemen voor doeleinden als het vastleggen van gegevens van alumni (voor community building en life long learning) en bedrijven (voor samenwerking en financiering) hoewel dat absoluut iets is waar ook onderwijsinstellingen naar moeten kijken.

De omschrijving van social media en webcare bij onderwijsinstelling is de volgende: Het gebruik van niet-eigen platformen voor monitoring, interactie en contentcreatie waarbij:

  • monitoring het zoeken op trefwoorden (inclusief hashtags) naar relevante (combinaties van) zoekwoorden voor de onderwijsinstelling betreft
  • interactie opgedeeld kan worden in reactief en proactief waarbij:
    • reactief uitvoeren reageren op vragen is die gesteld worden
    • proactieve interactie het proactief ingaan op thema’s en onderwerpen is waarvan de onderwijsinstelling vindt dat die de instelling aangaan
  • contentcreatie het plaatsen van eigen content op platformen is, met als doel het versterken van de uitstraling, merk, nieuwsverspreiding, werving en het bevorderen van interactie en delen.

Social media: Online platformen waar gebruikers (met een account) in staat zijn interactie aan te gaan en waar gebruikers hun netwerk kunnen (uit)bouwen door contacten te leggen via hun bestaande netwerk. Diensten als WhatsApp en Facebook messenger valt dus niet onder deze definitie maar zal ik wel meenemen omdat deze diensten worden ingezet om webcare uit te voeren.  

Interpretatie van de AVG voor social media en webcare bij onderwijsinstellingen

Ten eerste wil ik kwijt dat er in de Wet Bescherming Persoonsgegevens al heel veel rondom de bescherming van privacy was vastgelegd en de meeste instellingen hier ook al lang mee werken. Dat de regelgeving wordt strakgetrokken voor Europa is alleen maar goed en handig.

Persoonsgegevens in het kader van social media en webcare zijn volgens AVG ook: twitter handle, Facebooknaam, persoonlijke url van bijvoorbeeld LinkedIn, informatie uit je bio die herleidbaar is naar een persoon.

AVG relevant gemaakt voor social media en webcare bij onderwijsinstellingen

Transparantie

Je moet aangeven dat je onderwijsinstelling persoonsgegevens verwerkt met een doel en met toestemming van de gebruiker. Er is overigens verschil tussen toestemmen en instemmen, het gaat dus om toestemming.

Een deel van die toestemming kun je krijgen door passages op te nemen over cookiebeleid, privacy, vastleggen van beveiligde gegevens en auteursrecht in je privacy verklaring op je corporate website. De meeste onderwijsinstellingen hebben hier al een sectie voor op de website. Het is echter raadzaam om die in het licht van de AVG nog eens door te lichten. Gebruik hiervoor bijvoorbeeld de Privacyverklaring generator.

Belangrijk is dat je de privacyverklaring ontsluit (lees: een hyperlink naar de verklaring) op de plaatsen waar je bezoekers persoonsgegevens aan jou bekend maken en ze er op wijst. Een simpel voorbeeld is een link in je contactformulier naar je privacyverklaring.

Aanvullende toestemming is noodzakelijk in het geval van een open dag of een ander evenement waarbij je mensen op een later tijdstip aanvullende informatie gaat sturen. Iedereen moet kunnen aangeven niet benaderd te willen worden en je moet aan die wens voldoen.

Dit kan dus ook een conversatie met een vraagsteller op WhatsApp zijn. Iemand stelt bijvoorbeeld een vraag over toelatingseisen tot een opleiding. Je hebt daarvoor bijvoorbeeld land van herkomst, vooropleiding en eventueel cijfers nodig. Indien je deze vraag niet direct kan beantwoorden moet je de case en dus ook de persoonsgegevens met iemand gaan delen, binnen of buiten je team, binnen of buiten je afdeling. Zolang de informatie niet kan worden herleid tot een specifiek persoon is er geen probleem. Zodra dat wel het geval is moet je eerst toestemming hebben van de vraagsteller.

De conversatie mag vervolgens niet worden gebruikt voor andere doeleinden dan het beantwoorden van de vraag. Na het beantwoorden van de vraag moet de organisatie de persoonsgegevens verwijderen uit je systemen (na de gecommuniceerde bewaartermijn). Hoe je hier als organisatie voor zorgt moet je vastleggen, bijvoorbeeld in een protocol of procesbeschrijving.

Doelbeperking

Het doel van het verwerken van gegevens moet wettig en duidelijk zijn en de gegevens mogen niet voor een ander doel gebruikt worden.

Het doel van het bewaren van gegevens in webcare bij onderwijsinstelling is het beantwoorden van een vraag. Dat kan een vraag zijn die direct aan de onderwijsinstelling gesteld is maar het kan ook een vraag zijn die wel gesteld wordt maar niet geadresseerd is aan jouw instelling. Bijvoorbeeld: “Ik ben op zoek naar een opleiding X maar ik weet nog in welke stad. Iemand een suggestie?” Na het beantwoorden van de vraag is het doel van eventueel verwerken van gegevens verlopen. Niet opslaan, of weer verwijderen dus.

Bij het doen van analyses zou je het niveau van een persoon kunnen uitkomen. Om bij hetzelfde voorbeeld te blijven: je zou een analyse kunnen doen van iedereen die zich op openbare kanalen uitlaat interesse te hebben in een opleiding X maar nog geen keuze te hebben gemaakt. Hieruit zou een lijst met persoonsgegevens kunnen komen die je wel zou willen benaderen met een mailing over het vakgebied of een relevante conferentie. Je hebt echter nooit toestemming gevraagd en mag de gegevens van de personen op de lijst dus niet verwerken en gebruiken. Wel mag je globaal rapporteren binnen je instelling over trends, vragen die spelen en sentimenten. Zolang de rapporten maar geen mogelijkheid geven individuele persoonsgegevens te achterhalen.

Gegevensbeperking

Je mag niet meer gegevens vragen dan strikt noodzakelijk voor het doel dat op een bepaald moment speelt. Hier moet je je dus van bewust zijn bij het uitvoeren van webcare. Als iemand dus vraagt: “Kunt u me vertellen hoe laat de open dag morgen begint?” mag je niet vragen om een e-mailadres zodat je een folder kunt sturen. Alleen als degene vraagt of je een folder kunt sturen is het vragen naar een e-mailadres gerechtvaardigd.

Net zo goed mag je mensen die zich inschrijven voor een open dag op een later moment niet benaderen om naar een ander soort evenement te komen.

Juistheid

De persoonsgegevens moeten juist zijn en blijven. De gegevens moeten te allen tijde in te zien zijn door de persoon die toestemming heeft verleend en ook moeten de gegevens gewijzigd kunnen worden door deze persoon.

Bewaarbeperking

Je bent verplicht de persoonsgegevens die je rechtmatig hebt verkregen voor een bepaald doel te verwijderen als dat doel is behaald. Stel: je maakt gebruik van een video op je Facebook kanaal waarin duidelijk herkenbaar studenten staan van je onderwijsinstelling. Je hebt toestemming gevraagd om dat filmpje te gebruiken voor een artikel op jullie Facebookpagina. Op het formulier dat je hebt gebruikt staan namen en e-mailadressen van deze personen en een handtekening. Als het artikel geplaatst is moet je die gegevens weer verwijderen. Dat is niet echt handig want je wil die verklaring van toestemming van gebruik een tijd kunnen bewaren om eventueel in te zetten bij een claim. Dan moet je de vraag op het formulier om toestemming dus anders formuleren: We willen deze gegevens tot een jaar na dagtekening bewaren. Daarna moet je ze verwijderen.

Evenementen, zoals een open dag, zijn een mooi voorbeeld van een plek waar de nieuwe wet invloed heeft: in principe mag je de gegevens van aanmelders voor een open dag niet langer bewaren dan tot het evenement en de eventuele afhandeling ervan, tenzij je kunt onderbouwen de gegevens langer nodig te hebben. je dient dan vooraf aan te geven hoelang en waarvoor je die gegeven dan gebruikt en dit expliciet te communiceren aan aanmelders voor je open dag via je privacyverklaring.

Integriteit en vertrouwelijkheid

Je moet persoonsgegevens zo opslaan dat ze niet in handen kunnen komen van een onbevoegde. Dit houdt dus in dat je de gegevens in een veilige omgeving moet opslaan. Of het netwerk van je instelling, de software of de cloud-oplossing waar je gebruik van maakt voor het opslaan van deze gegevens voldoet laat ik graag aan de ICT-afdeling of je eigen verantwoordelijkheid over. Opslaan in een spreadsheet bestand op je eigen PC is wellicht niet echt een goed idee. In ieder geval moet je actief controle en overzicht hebben over de gegevens die je opslaat en zorg dragen voor tijdige en volledige verwijdering na de bewaarperiode die je hebt toegezegd ten tijde van de verzameling.  

Mocht er een datalek van persoonsgegevens ontstaan dan ben je als organisatie verplicht dat te melden bij de Autoriteit Persoonsgegevens. Dat is onder de huidige wet ook al zo. De AVG stelt wel strengere eisen aan het zelf registreren van een datalek.

Verantwoording

Je bent als instelling verantwoordelijk voor het kunnen bewijzen dat je aan de AVG-regelgeving voldoet. Als iemand daar vragen over stelt ben je dus verplicht aan te tonen dat jouw instelling volgens AVG werkt. Dat doe je bijvoorbeeld door te laten zien dan je een goede privacyverklaring hebt en dat je protocollen en procesafspraken hebt gemaakt voor het verwerken van die gegevens. Bijvoorbeeld een werkafspraak dat je die lijst met vragenstellers die via Facebook een vraag hebben gesteld daadwerkelijk verwijdert.

De vraag naar de manier waarop jullie als instelling met de AVG omgaan kan bijvoorbeeld worden gesteld tijdens een audit door de toezichthouder. Nieuw in de AVG is dat deze audits niet meer alleen kunnen worden ingesteld bij instellingen waar het vermoeden is dat er problemen zijn (bijv. naar aanleiding van een gemeld datalek) maar dat de toezichthouder kan besluiten tot een sectorbrede-audit. Als een collega-instelling in de fout gaat, kan dat betekenen dat jullie ook worden onderzocht. Extra reden om je zaken (aantoonbaar) op orde te hebben.

Platformen wijzigen voorwaarden en functionaliteiten

Onderwijsinstellingen doen een deel van de online communicatie door gebruik te maken van niet-eigen kanalen zoals Facebook, Twitter, Instagram, etc. Deze platformen voeren zelf een aantal veranderingen door die zijn ingegeven door de invoering van AVG/GDPR. We krijgen al minder inzicht uit Facebook-events, Facebook-groepen, Instagram-volgers, hashtags en locaties. Deze ontwikkelingen zijn versneld door het debacle van Facebook en Cambridge Analytica. De verwachting is dat de platforms na het volledig dichtzetten van de mogelijkheden nu weer op zoek gaan naar de grens van wat nog wel mag. Gaandeweg het naderen van 25 mei – en in de periode daarna – zullen we dus hopelijk weer meer inzichten krijgen.

Verantwoordelijkheid systemen versus onderwijsinstellingen

De verantwoordelijkheid voor het voldoen aan de AVG ligt bij de onderwijsinstellingen zelf. In de AVG wordt dat de verwerkersverantwoordelijke genoemd. Een leverancier levert een systeem dat als vervanging van een eigen systeem dienst doet. De leverancier wordt door de AVG de verwerker genoemd. Ook de verwerker moet voldoen aan de eisen van AVG. De onderwijsinstelling is vervolgens verplicht aan te kunnen tonen dat men heeft gekozen voor “een verwerker die afdoende garanties biedt met betrekking tot het toepassen van technische en organisatorische maatregelen opdat de verwerking van de vereisten van de AVG voldoet en de bescherming van de betrokkenen is gewaarborgd”. Dat doe je door middel van het afsluiten van een verwerkersovereenkomst.

Je kunt leveranciers van systemen die persoonsgegevens voor je verwerken vragen zo’n verwerkersovereenkomst op te stellen. De meeste grote bedrijven en instellingen zullen zo’n overeenkomst al actief hebben aangeboden of doen dat in de komende weken.

Onze partner OBI4wan voldoet voor de producten die OBI4wan voert (webcare, reputatiemanagement en bots) aan de AVG en is als verwerker van persoonsgegevens verantwoordelijk voor de databescherming. Het doel van het verwerken van de gegevens omschreven is in het privacy statement van OBI4wan. OBI4wan legt haar verantwoordelijkheid uit op hun website en binnenkort is ISO 27001 gecertificeerd om de informatiebeveiliging nog beter te kunnen borgen.

Ook de bekende social media platformen erkennen hun verantwoordelijkheden. Zo verscheen er onlangs een Algemene verordening van Facebook waarin Facebook haar verantwoordelijkheid als verwerker van persoonsgegevens via bedrijfspagina’s uiteenzet.

Instellingen op groeps- of paginaniveau

Een goed idee is om de privacy-instellingen van groepen of pagina’s na te kijken en eventueel aan te vullen.

Volgens AVG-richtlijnen mag je geen persoonsgegevens verzamelen vanuit platformen als Facebook en LinkedIn, ook al hebben gebruikers deze gegevens openbaar gezet (dat zegt namelijk niets over het gebruik van die gegevens). Wel is het zo dat een gebruiker van een platform anderen mag benaderen binnen dat platform (daar is het een social platform voor). Dat geldt dus ook voor je webcare: vragen die aan je gesteld worden via LinkedIn of Facebook mag je daar -binnen het platform- beantwoorden.

Zo ook mag een gebruiker binnen een groep een conversatie aangaan met een andere gebruiker binnen dezelfde groep, mits dat voldoet aan de normen en waarden (privacy, gebruiksvoorwaarden) zoals omschreven door het platform en eventuele aanscherpingen die je daar als beheerder van een groep aan stelt. Zo kun je dus bijvoorbeeld als groepsregels toevoegen dat je niet wil dat mensen commercieel benaderd worden binnen conversaties in jouw groep.

Op Facebookpagina’s kun je er bijvoorbeeld voor kiezen om het taggen van personen niet toe te staan, een leeftijdsbeperking in te stellen of een filter op ongewenste woorden aan te zetten

Linken naar de disclaimerpagina c.q. privacyverklaring op je website vanuit je groep, pagina of corporate account op een social platform lijkt een goed idee. Dan moet daar uiteraard wel een passage staan over het omgaan met persoonsgegevens op sociale platformen.

Principe-afwegingen door de onderwijsinstelling

Je kunt als onderwijsinstelling beslissen om geen gebruik te willen maken van platformen waarvan het vermoeden bestaat dat die anders met het verwerken van persoonsgegevens omgaat dan volgens AVG of volgens eigen normen en waarden. Het lekken van data vanuit Facebook door Cambridge Analytica is eenvoudig te scharen onder falende “integriteit en vertrouwelijkheid”. Je kunt stelling nemen door te zeggen dat je geen gebruik maakt van Facebook in webcare en contentcreatie zodat je jouw gebruikers niet blootstelt.

Zoals ik in mijn eerdere blog ook al betoogde is de vraag of je platformen als Facebook voor webcare en contentcreatie inzet volgens mij een gepasseerd station.

Uiteraard ondersteunen we graag, neem daarvoor contact met ons op.

Rob Speekenbrink

Al vele jaren ontwerper van online communicatie in hart en ziel. Vindt het leuk om door te vragen en de onderste steen boven te krijgen. Ik ben dol op de benadering van online communicatie vanuit nieuwshaakjes en zoek graag met humor de grenzen op.

Geen reacties

Reageer