terug

Gebruik consumentenversie Meta Quest VR afgeraden

De voortrazende technologische vooruitgang biedt ongekende mogelijkheden. Denk bijvoorbeeld aan het gebruik van virtual reality brillen in het onderwijs. Binnen het funderend onderwijs zien sommige scholen ze al als waardevolle aanvulling op de huidige lesmethoden. Toch is voorzichtigheid geboden. SIVON heeft mede op basis van input van het IBP-netwerk een eerste (juridische) verkenning gedaan naar één van de marktleiders op VR-gebied: de Meta Quest 2. Omdat de bescherming van leerlinggegevens bij gebruik direct in het geding komt, is het advies om de consumentenversie voor nu niet voor onderwijsdoeleinden te gebruiken. De komende tijd houden onze experts vinger aan de pols voor wat betreft de ontwikkelingen voor de Meta businessvariant. Mogelijk dat deze variant wel (meer) zeggenschap over de gebruikersdata geeft.

Hoewel we zaken die ons hybride onderwijs kunnen verrijken moeten omarmen waar mogelijk, is het belangrijk alert te blijven op zaken als informatiebeveiliging en privacy. In dat kader heeft SIVON binnen het IBP-netwerk een eerste inventarisatie gedaan naar de behoefte en het feitelijk gebruik van VR-brillen. Hoewel behoorlijk wat bedrijven hebben geïnvesteerd in deze technologie, blijkt uit dit onderzoek dat Meta met haar Oculus Quest 2 VR-bril één van de marktleiders is. De Oculus Quest 2 – ook bekend als de Meta Quest 2 – is een virtual reality-headset (VR) gemaakt door Facebook Technologies, onderdeel van moederbedrijf Meta Platforms. Het is de opvolger de Oculus Quest en maakt gebruik van het Android-besturingssysteem.  

Geen zeggenschap over dataverwerking

Als voorvechters van digitale veiligheid binnen het primair en voortgezet onderwijs, helpt SIVON schoolbesturen bij het maken van de juiste afwegingen voorafgaand aan het in gebruik nemen van dit soort toepassingen. Los van wat je allemaal met de bril kunt, leert een eerste juridische verkenning dat scholen op dit moment vooral heel terughoudend moeten zijn. De hoeveelheid aan en gevoeligheid van persoonsgegevens die verwerkt worden in combinatie met de rol van Meta als verwerkingsverantwoordelijke, maakt dat je als schoolbestuur geen zeggenschap hebt over de verzamelde data. Dit gegeven staat haaks op de positie die je als schoolbestuur wilt hebben: die van verwerkingsverantwoordelijke die controle heeft over de verwerking van data en daarmee over de digitale veiligheid van haar jonge gebruikers.

Meta Quest niet geschikt voor lager onderwijs

Hoewel Meta werkt aan een businesseditie van haar VR-bril, stelt ze nog geen demo-model beschikbaar. SIVON heeft voor de juridische verkenning dus de consumentenversie beoordeeld, waaronder de van toepassing zijnde gebruikers- en privacy-voorwaarden. Een eerste obstakel bij het gebruik van de consumentenversie is dat Meta een strenge leeftijdsgrens voor het gebruik van haar VR-systemen hanteert van 13 jaar of ouder. Dit sluit rechtmatig gebruik binnen het primair onderwijs dus per definitie uit. Als je de bril toch in gebruik besluit te nemen, stem je vervolgens in met het feit dat Meta de rol als verwerkingsverantwoordelijke krijgt. Dit betekent dat je als school geen controle meer hebt over wat Meta met de persoonsgegevens van leerlingen en medewerkers doet. Je kunt dan ook geen verwerkersovereenkomst afsluiten. Meta bepaalt dus zelf voor welke doeleinden zij de verzamelde data gebruikt. Daarnaast worden deze gegevens opgeslagen op servers in de Verenigde Staten hetgeen extra privacy-risico’s met zich meebrengt. In het privacybeleid van Oculus lees je deels welke data Meta verzameld en voor welke mogelijke doeleinden zij deze (verder) verwerkt. Daarbij steken de opstellers niet onder stoelen of banken dat de verzamelde gegevens ook gebruikt en gedeeld worden voor advertentie- en andere commerciële doeleinden.  

Schoolbestuurder is eindverantwoordelijk

Als eindverantwoordelijk schoolbestuur word je geacht zorgvuldig om te gaan met de (grootschalige) verwerking van gevoelige leerlinggegevens. Zoom je in op bovengenoemde VR-bril, dan dien je als school extra zorg te betrachten. Zo is de gegevensverzameling niet beperkt tot het gebruik van een inlognaam, password en mailadres, maar registreert deze bril door middel van camera’s en sensoren allerhande op de gebruiker betrekking hebbende informatie. Denk het registreren van hand- en oogbewegingen en het opslaan van locaties. De combinatie van deze verwerkte gegevens kan – ondanks dat je gebruik maakt van een dummy account – al leiden tot een unieke analyse van een bepaalde leerling en daarmee tot een grove inbreuk van iemands privacy. Zoals gesteld is het vervolgens onduidelijk wat Meta precies met deze verzamelde gegevens doet. Als verwerkingsverantwoordelijk schoolbestuur is het om die reden op dit moment geen goed idee om leerlingen gebruik van deze brillen te laten maken.

Toezeggingen partners en gebruik dummy accounts

Er zijn marktpartijen die scholen helpen bij de aanschaf van en training in het gebruik van VR-brillen. De aanwezigheid van een tussenpartij verandert echter niets aan de privacypositie en eindverantwoordelijkheid voor de gegevensverwerkingen die je als schoolbestuurder hebt. Het gebruik van een demo- of dummy account voorkomt evenmin dat data in de vorm van biometrische gegevens van de gebruiker kunnen worden verwerkt. Denk hierbij onder andere aan gezichtsherkenning, oogbewegingen, stemherkenning en andere interacties met de VR-bril. Als marktpartijen toezeggen dat het gebruik van een bepaalde VR-bril in overeenstemming gebeurt met de AVG omdat er speciaal ontwikkelde, privacy-vriendelijke en gegevensbeperkende programmatuur wordt gebruikt, vraag dan allereerst een DPIA op of een ander bewijs dat deze claim rechtvaardigt.

Remt het recht op privacy innovatie?

Een hardnekkig en regelmatig terugkerend misverstand is dat privacy in de weg zou staan van innovatie. Niets is minder waar. Sterker nog: het naleven van privacywetgeving en het beschermen van de privacy van gebruikers kan juist in grote mate bijdragen aan technologische innovatie en de adaptatie van nieuwe toepassingen. Zo is het bevorderend voor het gebruikersvertrouwen wanneer je als partij op een verantwoorde en transparante manier omgaat met persoonsgegevens. Denk aan een heldere privacyverklaring en aantoonbaar getroffen passende beveiligingsmaatregelen. Scholen zijn in zo’n geval – zeker in hun rol als eindverantwoordelijke – eerder bereid om met een bepaalde leverancier in zee te gaan. Bovendien helpt naleving van de AVG je om je productontwikkeling op orde te krijgen. Je moet immers zorgen dat je gegevensverwerkingsprocessen zijn geoptimaliseerd. Het verplicht een leverancier om na te denken over de manier waarop hij gegevens verzamelt, verwerkt en opslaat. Dit is overigens een wettelijke verplichting (zie artikel 25 van de AVG onder ‘Privacy by Design’). 

Privacy by design, niet by default

De hiervoor genoemde overwegingen gelden niet alleen voor de Meta Quest 2 maar voor alle VR-brillen en digitale (leer)middelen die door een schoolbestuur worden aangeschaft. Het bepalen van de privacypositie (wie is de verwerkingsverantwoordelijke, lees: wie heeft controle over het gebruik van de persoonsgegevens?) is een belangrijke eerste stap in de beoordeling of een digitale oplossing voldoet aan de privacy-eisen die je moet stellen. Om de noodzakelijke controle over de persoonsgegevens van de gebruikers in eigen beheer te houden, ben jij altijd verwerkingsverantwoordelijke en is de leverancier altijd verwerker. Daarnaast moet de leverancier bereid zijn om een verwerkersovereenkomst te tekenen. Hiermee regel je contractueel dat de leverancier afdoende garanties biedt op het gebied van informatiebeveiliging en privacy; gegevensverwerking dient enkel plaats te vinden voor onderwijsdoeleinden en niet voor commerciële belangen van de leverancier. Als er al sprake is van een inbreuk op de privacy van de leerling, dan moet dit goed te rechtvaardigen zijn. Dit borg je door gegevensverzameling te beperken tot het noodzakelijke.  

Meer weten?

SIVON helpt scholen graag op weg bij het realiseren van een veilige en toekomstbestendige leeromgeving. Met de informatie die is opgedaan uit deze juridische verkenning en die we in de toekomst opdoen uit onze DPIA’s, kunnen wij schoolbesturen nog beter van dienst zijn. Uiteraard is de ervaring van scholen zelf daarbij onmisbaar. Twijfel je of je een bepaalde (VR-)toepassing kunt gebruiken, heb je vragen of juist ervaringen die je wilt delen, schroom niet om die met ons te delen via ibp@sivon.nl  

Ben je van de pers en geïnteresseerd in wat SIVON doet op het gebied van IBP? Neem dan contact op met één van onze voorlichters via m.armitage@sivon.nl