AMSTERDAM – Enkel als het voor onderwijs noodzakelijk is mag de Universiteit van Amsterdam onder de Algemene Verordening Gegevensbescherming (AVG) persoonsgegevens verzamelen. Kritische vragen over de universiteitsplagiaattool Turnitin leggen de vinger op de zere plek: wie mag wat verzamelen?
Het was waarschijnlijk een primeur voor de universiteit, zei een woordvoerder tegen UvA-nieuwssite Folia: een student die Turnitin weigerde te gebruiken. Het bezwaar tegen de service voor plagiaatdetectie kwam van Bits of Freedom-directeur Hans de Zwart, die voor zijn filosofiemaster een opdracht in wilde leveren en op de end-user license agreement van Turnitin stuitte.
Eeuwigdurend en onherroepelijk
De Turnitin-gebruikersovereenkomst stelt dat studenten bij de plagiaatservice eigenaar blijven van hun werk, maar ook dat Turnitin en verschillende gerelateerde partijen ‘een niet-exclusieve, royalty-vrije, eeuwigdurende, wereldwijde en onherroepelijke licentie’ krijgen om hetzelfde werk te gebruiken. En hoewel dat gebruik enkel bedoeld is voor de diensten van Turnitin, staat de gebruikersovereenkomst ‘change from time to time’ toe in de definiëring van die diensten, zonder studenten daarover te hoeven informeren. Sterker nog, Turnitin mag de hele gebruikersovereenkomst aanpassen zonder dat aan gebruikers te melden.
Heroverweging
De Zwart meldde in een blogpost dat hij alleen zijn werk zou inleveren bij Turnitin als de tool na een plagiaatcheck het werk verwijdert. Ook wilde de Bits of Freedom-directeur een lijst van partijen waar Turnitin zijn data mee deelt en de garantie dat deze eveneens alleen plagiaatcontrole uitvoeren en de data daarna weggooien. De UvA liet weten de bezwaren van De Zwart mee te nemen in de heroverweging van samenwerkingsovereenkomsten met partijen als Turnitin. In een artikel voor studenten en medewerkers bezwoer het College van Bestuur van de UvA dat ‘privacy van de gebruikers optimaal wordt beschermd’.
Strijdige contracten
De Turnitin-kwestie roept zowel auteursrechtelijke als privacygerelateerde vragen op. Frank Benneker is bij de UvA verantwoordelijk voor de digitale leeromgeving van de universiteit en laat aan ISOC weten dat er sprake is van strijdige contracten: “De UvA heeft een verwerkingsovereenkomst die stelt dat werk van studenten enkel gebruikt mag worden voor plagiaatdetectie, maar de EULA lijkt af te wijken van die afspraken.” Nieuwe contractonderhandelingen ‘staan op het punt om te beginnen’ en de universiteit zal deze strijdigheden daarin meenemen, verzekert Benneker. In afwachting daarvan kunnen UvA-docenten binnen Turnitin ervoor kiezen om werk van studenten te controleren op plagiaat in een niet-gedeelde omgeving, meldt de UvA.
Strikt noodzakelijke verwerking persoonsgegevens
De beweegruimte die Turnitin vrijlaat in haar gebruikersovereenkomst zou kunnen botsen met de nieuwe Europese privacywetgeving in de Algemene Verordening Gegevensbescherming (ook wel General Data Protection Regulation). Die schrijft onder meer voor dat organisaties geen persoonsgegevens mogen verwerken als dat niet strikt noodzakelijk is voor ondermeer ‘de behartiging van de gerechtvaardigde belangen’, stelt de Autoriteit Persoonsgegevens. Dat belang moet controleerbaar zijn (niet speculatief) en ‘voldoende duidelijk verwoord’. Doelgebonden gegevens opslaan en uitwisselen is waar de UvA ‘heel expliciet’ aan werkt in de nieuwe digitale leeromgeving die dit jaar zijn entree maakt, vertelt Benneker. “Ook AVG-verplichtingen als het recht om vergeten te worden nemen we serieus. We willen de hoogst mogelijke juridische en technische bescherming aan studenten en medewerkers bieden.”
Verknoopte systemen
Hoewel de bezwaren van De Zwart over Turnitin hoofdzakelijk auteursrechtelijk van aard zijn, brengt het ook de uitdagingen aan het licht voor onderwijsorganisaties om aan AVG-eisen te voldoen. Onderwijssystemen zijn immers ‘steeds meer verknoopt’, zegt Benneker: “Met leveranciers binnenshuis, met andere samenwerkende universiteiten of scholen. De uitdaging is dat in die ketens alleen strikt noodzakelijke data wordt uitgewisseld, waarbij elke stap door onze juristen en functionaris gegevensbescherming (ofwel data protection officer, een andere AVG-vereiste voor bepaalde organisaties) wordt afgewogen: is deze data noodzakelijk?”
25 mei
Het recht om vergeten te worden, doelgebonden dataverzameling, minimalisatie van persoonsgegevens, geïnformeerde en specifieke toestemming van gebruikers: de AVG wil de privacyrechten van Europeanen beter beschermen. Bedrijven en organisaties moeten vanaf 25 mei kunnen aantonen hoe en waarom ze welke identificerende data verzamelen.
Bedrijven en organisaties voorbereid?
Wie niet voldoet aan de verantwoordingsplicht of aan andere vereisten, loopt het risico op boetes oplopend tot 4 procent van de jaaromzet. Aangezien de regels gelden voor Europese persoonsgegevens, ongeacht of deze verwerkt worden binnen of buiten Europa, zijn Amerikaanse ‘surveillance capitalism’-giganten als Facebook, Amazon, en Google ook hard met compliance aan de slag. Bedrijven en organisaties lijken echter nog onvoldoende voorbereid op de wet. De Nationale Privacy Benchmark 2017 liet zien dat 46 procent van de publieke en private organisaties in Nederland geen register voor verwerking van persoonsgegevens heeft en bij 30 procent de rol van functionaris gegevensbescherming nog onduidelijk is.
Sociologisch onderzoek
Hoe gaan bedrijven en organisaties met de AVG om en hoe worden de privacyrechten geïmplementeerd? Over die vraag buigt Joost Agterhoek zich in een sociologisch onderzoek voor Internet Society Nederland. Reacties, vragen en tips die bijdragen aan dit onderzoek zijn welkom op j.agterhoek@staff.isoc.nl.