10 tips voor online (video- en examen)tools
De afgelopen weken is er veel gezegd en geschreven over het gebruik van online tools voor de digitale werkplek, zoals diensten voor videobellen. Er is veel minder geschreven over tools om digitale examens af te nemen, terwijl toch heel veel scholen en universiteiten worstelen met de vraag: hoe kan ik controleren dat de examens eerlijk, en door de studenten zelf, worden gemaakt? In deze blog geven we je 10 tips hoe je de privacy-impact kunt inschatten van een voor jou nieuwe tool.
1. Bepaal eerst voor welk doel je de tool wilt inzetten
Je zoekt een tool voor videobellen, voor online proctoring (examens afnemen) of voor het streamen van je les. Zet je eisen op een rij. Wil je alleen kletsen met je beste vriendin, wil je interactieve les geven aan een klas met 30 leerlingen, wil je een vertrouwelijke bespreking voeren met een HR-medewerker of wil je vertrouwelijke zakelijke informatie delen met een beperkt aantal klanten? Wil je het gesprek, de les of het examen ook opnemen? Er bestaan eigenlijk geen tools die even goed aan al die wensen voldoen. Let in ieder geval goed op of je de toegang tot de bespreking kunt afschermen. De Autoriteit Persoonsgegevens heeft onderzoek gedaan naar verschillende tools voor videochatdiensten en geeft tips over thuiswerken.
2. Prioriteer je eisen
Kijk goed welke aanbieders aan jouw eisen kunnen voldoen. Bepaal de prioriteit van jouw eisen. Bijvoorbeeld: je wilt een zakelijke overeenkomst met de aanbieder kunnen aangaan, waarin je kunt uitsluiten dat jouw gegevens voor marketingdoelen worden gebruikt. Je wilt misschien dat je gegevens alleen in Europa worden verwerkt. Of je werkt principieel alleen met open source software. Of misschien is een ISO compliance certificaat voor jou de belangrijkste eis.
3. Lees de privacyverklaringen en verwerkersovereenkomsten van de verschillende aanbieders
Om een indruk te krijgen hoe de aanbieder scoort op het gebied van Algemene Verordening Gegevensbescherming (AVG) compliance, ontkom je er niet aan om de privacyverklaring te lezen en, als die beschikbaar is, de verwerkersovereenkomst (zoek op de site naar: Data Processing Agreement, Data Processing Amendment of Data Processing Addendum). We helpen je alvast op weg met een aantal vragen die wijzelf altijd stellen. Hou er wel rekening mee dat een aanbieder mooie teksten op papier kan zetten, maar dat ze niet altijd in overeenstemming zijn met de werkelijkheid. Bij Privacy Company doen we altijd een juridische én een technische check op de werking van software en clouddiensten.
4. Gebruikt de aanbieder de juiste definities van begrippen uit de AVG?
Wanneer de aanbieder een andere definitie gebruikt dan de definitie uit de AVG dan is de aanbieder op dit punt niet compliant met de AVG. Wanneer de aanbieder bijvoorbeeld een Amerikaans bedrijf is, is de kans groot dat hij een andere definitie van persoonsgegevens gebruikt. Dat kan er toe leiden dat bepaalde persoonsgegevens niet onder de eigen definitie vallen. Zodat het bedrijf die persoonsgegevens voor eigen doeleinden kan gebruiken. Onder de AVG is het begrip persoonsgegevens namelijk heel breed. Er vallen bijvoorbeeld allerlei unieke apparaatidentifiers en IP adressen onder. Als de aanbieder zich richt op klanten in Europa, is hij verplicht om de definities uit de AVG te hanteren.
5. Welke rol heeft de aanbieder?
Het maakt veel uit of de aanbieder zichzelf als verwerkingsverantwoordelijke of verwerker kwalificeert. Vaak ziet de aanbieder zich bij de gratis versies van tools als verwerkingsverantwoordelijke en heb jij als gebruiker geen invloed op het gebruik van jouw persoonsgegevens. Wanneer de aanbieder zichzelf kwalificeert als verwerker, dan kan je als organisatie duidelijke afspraken maken met de aanbieder om eigen gebruik voor bijvoorbeeld marketingdoeleinden uit te sluiten.
6. Welke persoonsgegevens verzamelt de aanbieder precies met de tool?
De aanbieder moet duidelijk en expliciet uitleggen welke persoonsgegevens hij verzamelt en verwerkt bij het gebruik van de tool. Voor de verwerkingen waarvoor de aanbieder als verwerker kwalificeert, moet dit overzicht in de verwerkersovereenkomst staan. Let goed op of de aanbieder onderscheid maakt tussen jouw klant- en betalingsgegevens, de gegevens die je actief via de tool verstrekt (bijvoorbeeld de videostream, en de gegevens over de deelnemers), en de gegevens die de aanbieder over jouw gebruik van de tool kan verzamelen.
7. Begrijp je voor welke doelen de tool jouw gegevens verwerkt?
Als jij de verantwoordelijke bent voor de verwerking, hoor je aan het stuur te zitten. Jij bent degene die bepaalt voor welke doelen de persoonsgegevens worden verwerkt. Maar je kunt dat alleen bepalen als de aanbieder heel duidelijk maakt hoe de gegevens worden verwerkt. Jij bepaalt dan de doelen door akkoord te gaan met die noodzakelijke verwerkingen. Bijvoorbeeld: persoonsgegevens verwerken om de dienst technisch te kunnen leveren, te kunnen beveiligen en up-to-date te houden. Bij ons gaat een rood lampje branden als we in de privacyverklaring termen tegenkomen die vaag en onduidelijk zijn geformuleerd, zoals “verbeterde prestaties van de tool”, “business development”, “onderzoek”, “optimalisering van de tool voor jouw gebruikerservaring”, “voor marketingdoeleinden”, “het creëren van analyses” etcetera. Verzamelt de aanbieder 'stille' bug- en of crashrapporten, of alleen als een klant actief om hulp vraagt? Publiceert de aanbieder gedetailleerde informatie en voorbeelden van 'geanonimiseerde, geaggregeerde analyses'?
8. Blijven de persoonsgegevens in Europa?
Als de aanbieder van de tool een verwerker is, mag hij alleen gegevens van klanten in de EER overbrengen naar landen met een adequaat niveau van gegevensbescherming. De aanbieder moet elke mogelijke overdracht van persoonsgegevens in detail beschrijven en mag de gegevens alleen doorgeven naar landen buiten de EER met jouw uitdrukkelijke en voorafgaande toestemming. Het kan zijn dat je gegevens automatisch op servers in de Verenigde Staten worden verwerkt. Maar het kan ook zijn dat je met een Europees bedrijf in zee gaat dat gebruik maakt van cloudopslagservers van een Amerikaans bedrijf. Als de aanbieder die mogelijkheid biedt, kies dan voor opslag van de gegevens in datacentra in de EER. En let ook even op doorgifte naar het Verenigd Koninkrijk. We weten niet of het Verenigd Koninkrijk na 31 december 2020 nog wel een adequaat beschermingsniveau heeft.
9. Heb jij zeggenschap over nieuwe subverwerkers?
Als er in de overeenkomst staat dat de aanbieder jou 5 werkdagen van te voren informeert over nieuwe subverwerkers, is dat echt te kort om te kunnen beoordelen of je jouw persoonsgegevens wel door dat nieuwe bedrijf wilt laten verwerken. Je enige realistische mogelijkheid om dat te voorkomen, is dan het opzeggen van het contract. Maar van een zakelijke dienstverlener mag je wel iets meer begrip verwachten voor jouw bedrijfscontinuïteit. Zorg er voor dat je met de aanbieder in de verwerkersovereenkomst afspreekt dat deze termijn een realistische termijn is om een goede beoordeling te kunnen maken over de subverwerker.
10. Ga je toch in zee met een ‘gratis’ tool, en is de aanbieder een zelfstandige verantwoordelijke?
Probeer dan goed te begrijpen wat de grondslag is voor de verschillende verwerkingen die de aanbieder bepaalt. Vraagt de aanbieder jou wel om toestemming om jouw e-mailadres te mogen gebruiken voor direct marketing? Worden er via de app cookies of pixels verstuurd naar advertentienetwerken en heb je daar een keuze in? Van wie is de app eigenlijk en vertrouw je dat bedrijf? Als je er niet uitkomt, is het misschien niet zo’n goed idee om de dienst te gaan gebruiken.
Veel succes en mocht je nog vragen hebben dan kun je altijd contact met ons opnemen.
P.S. als Privacy Company gebruiken wij zelf voor videobellen Microsoft Teams in de Business versie. Daarnaast is, wanneer de server goed is ingericht, Jitsy Meet ook een goed alternatief voor videobellen met een groep mensen. Privé gebruiken wij bijvoorbeeld Signal, in plaats van WhatsApp.
