Online proctoring en de Algemene Verordening Gegevensbescherming

De Universiteit van Amsterdam heeft besloten dat online proctoring kan worden ingezet tijdens de coronacrisis. Online proctoring is een manier om met behulp van software op afstand tentamens af te nemen en te surveilleren. Daarbij worden persoonsgegevens van studenten verzameld en opgeslagen.

Volgens de UvA voldoet online proctoring aan de Algemene Verordening Gegevensbescherming (AVG). De AVG is een instrument van Europese gegevensbeschermingswetgeving en bevat regels voor het gebruik van persoonsgegevens. In deze blogpost leg ik uit waarom de UvA geen goede juridische grondslag heeft om online proctoring te gebruiken [1].

De AVG is van toepassing op de geautomatiseerde verwerking van persoonsgegevens (artikel 2 lid 1 AVG). Persoonsgegevens zijn informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”) (artikel 4 lid 1 AVG). Een verwerking van persoonsgegevens is bijvoorbeeld het verzamelen, vastleggen, opslaan, wijzigen, opvragen, gebruiken, verspreiden, combineren, of wissen van gegevens (artikel 4 lid 2 AVG). In de zaak Nowak heeft het Hof van Justitie van de EU geoordeeld dat de antwoorden op een tentamen en de eventuele opmerkingen van de examinator bij deze antwoorden persoonsgegevens zijn (HvJ EU 20 december 2017, C-434/16). In het geval van online proctoring zijn we vooral geïnteresseerd in andere privacygevoelige gegevens. De UvA heeft een privacystatement met betrekking tot online proctoring gepubliceerd. In het privacystatement staat dat de UvA onder andere de volgende informatie verwerkt met behulp van online proctoring: videobeelden en audio-opnames van studenten terwijl ze examens afnemen (opgenomen via de webcam), on-screen activiteiten, toetsaanslagen en muisbewegingen, en de webpagina's die een student tijdens het tentamen bezoekt. Online proctoring software verzamelt en slaat op geautomatiseerde wijze informatie op over geïdentificeerde studenten. De AVG is dus van toepassing op online proctoring.

In het kader van de AVG worden er verschillende soorten personen en organisaties onderscheiden die persoonsgegevens kunnen verwerken. De verwerkingsverantwoordelijke is een natuurlijke persoon of rechtspersoon die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (artikel 4 lid 7 AVG). De UvA bepaalt het doel van online proctoring, namelijk het voorkomen van fraude, en de middelen, namelijk het gebruik van software geleverd door een bedrijf met de naam Proctorio. De UvA is dus verwerkingsverantwoordelijke met betrekking tot de verwerking van de persoonsgegevens van studenten die worden verwerkt door middel van de online proctoring software.

Persoonsgegevens moeten rechtmatig, behoorlijk, en transparant worden verwerkt (artikel 5 lid 1 onder a AVG). De verwerking van persoonsgegevens is alleen rechtmatig als de verwerkingsverantwoordelijke een juridische grondslag heeft. De AVG geeft zes grondslagen die een organisatie kan inroepen (artikel 6 lid 1 AVG), waarvan er drie mogelijk relevant zijn voor het gebruik van online proctoring door de UvA: toestemming; taak van algemeen belang; gerechtvaardigd belang.

Gerechtvaardigd belang

In het privacystatement staat dat de UvA persoonsgegevens van studenten in het kader van online proctoring verwerkt op basis van gerechtvaardigd belang. Maar, volgens mij kan de UvA de grondslag van gerechtvaardigd belang niet inroepen voor deze verwerking.

De laatste volzin van artikel 6 lid 1 is: “(…) punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken” [2]. Punt f bevat de grondslag van gerechtvaardigd belang. Met andere woorden, overheidsinstanties kunnen persoonsgegevens niet verwerken op basis van gerechtvaardigd belang in de uitoefening van hun taken.

De vraag is nu of deze bepaling van toepassing is op de UvA. De AVG definieert het begrip "overheidsinstantie" niet, maar doorvoor kunnen we aansluiting zoeken bij nationaal bestuursrecht. Een bestuursorgaan is een orgaan van een rechtspersoon die krachtens publiekrecht is ingesteld (artikel 1:1 lid 1 onder a Awb). De Wet op het hoger onderwijs en wetenschappelijk onderzoek (WHW) regelt de organisatie van universiteiten en hogescholen en geeft deze organisaties bevoegdheden. De WHW kent rechtspersoonlijkheid toe aan de UvA (artikel 1.8 lid 2 in samenhang met bijlage 1 onder a WHW). Daaruit volgt dat de UvA een bestuursorgaan is in de zin van de Awb en dat de UvA ook een overheidsinstantie is in de zin van de AVG.

De WHW bepaalt dat universiteiten onder andere gericht zijn op het verzorgen van wetenschappelijk onderwijs (artikel 1.3 lid 1 WHW) en dat aan elke opleiding een examen is verbonden en aan elke onderwijseenheid een tentamen (artikel 7.3 lid 3 WHW). Het geven van onderwijs en het afnemen van examens en tentamens zijn dus een wettelijke taken van de UvA. Als de UvA online proctoring gebruikt om tentamens op afstand af te nemen en te surveilleren, dan verwerkt de UvA persoonsgegevens in het kader van de uitoefening van een van haar wettelijke taken.

De laatste volzin van artikel 6 lid 1 AVG is dus van toepassing op de UvA als ze online proctoring gebruikt: de UvA is een overheidsinstantie en online proctoring valt binnen de uitoefening van hun taak. Dat betekent dat de UvA geen persoonsgegevens kan verwerken in het kader van online proctoring op basis van gerechtvaardigd belang.

Als de UvA een goede reden heeft waarom de laatste volzin van artikel 6 lid 1 AVG toch niet van toepassing is op de universiteit, dan is er nog een andere reden waarom de UvA geen online proctoring kan inzetten op basis van gerechtvaardigd belang. De precieze bepaling over gerechtvaardigd belang in de AVG is: “de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen (…)” (artikel 6 lid 1 onder f AVG). In deze bepaling staan twee voorwaarden: 1) de verwerking moet noodzakelijk zijn, en 2) de verwerkingsverantwoordelijke moet een belangenafweging maken tussen het ingeroepen belang en de grondrechten van de betrokkene. De UvA moet dus uitleggen waarom online proctoring noodzakelijk is voor haar belang en laten zien dat de grondrechten van de studenten niet zwaarder wegen dan dat belang.

Een verwerking is noodzakelijk als er geen minder privacygevoelige manier is om hetzelfde doel te bereiken (zie Advies 6/2014 van de Groep Gegevensbescherming Artikel 29, p 35). Als de UvA online proctoring wil gebruiken om tentamens af te nemen en te surveilleren tijdens de coronacrisis, dan mag dit dus alleen als er geen lichtere, minder privacygevoelige manieren zijn om op afstand tentamens af te nemen en te surveilleren. In de corona-update van 6 mei 2020, legt de UvA uit dat opleidingen zoveel mogelijk naar alternatieve vormen van toetsen zoeken, zoals take-home tentamens, mondelingen, eindopdrachten, of essays. Volgens de UvA zijn er voor sommige tentamens, zoals multiple-choice tentamens voor grote groepen studenten, geen alternatieve toetsvormen, onder ander vanwege het risico op fraude. De UvA stelt in het privacystatement ook dat de verwerking noodzakelijk is. Volgens de UvA is het noodzakelijk dat de universiteit drie dingen kan controleren: de identiteit van de student die het tentamen aflegt, dat de student geen fraude pleegt, en dat de student het tentamen binnen de tijd afrondt.

De UvA kan misschien beargumenteren dat online proctoring in sommige gevallen noodzakelijk is. In een nieuwsitem van Folia, beargumenteerde ik eerder dat de UvA nog beter naar alternatieven moet kijken. Daar kom ik nu op terug. Ik dacht eerst dat de UvA misschien de RAI of een andere grote congreslocatie zou kunnen afhuren om de studenten daar multiple-choice tentamens te laten maken, maar zulke grote bijeenkomsten zijn waarschijnlijk nog wel een tijdje verboden vanwege de landelijke coronamaatregelen. Daarnaast snap ik dat je met groepen van 600 studenten misschien niet iedereen een essay of take-home tentamen kan laten maken, omdat het nakijkwerk voor de docenten dan praktisch niet te doen is.

Als de UvA kan beargumenteren dat online proctoring in sommige gevallen noodzakelijk is, dan moet de UvA daarna nog steeds een belangenafweging maken (zie hierboven). De uitkomst van deze belangenafweging bepaalt of de UvA deze grondslag mag gebruiken voor de verwerking. De UvA heeft er belang bij om online proctoring te gebruiken om tentamens af te kunnen nemen tijdens de coronacrisis en op die manier het onderwijs en de graadverlening te kunnen voortzetten. Aan de andere kant heeft online proctoring gevolgen voor de belangen en fundamentele rechten van studenten. Online proctoring is een inmenging met het recht op privacy en recht op gegevensbescherming van studenten. Volgens de Groep Gegevensbescherming Artikel 29 ("de Groep") moet bij het beoordelen van de gevolgen voor de betrokkenen ook rekening worden gehouden met “bredere emotionele gevolgen, zoals irritatie, angst en stress” die kunnen voorkomen wanneer betrokkenen de controle over hun persoonsgegevens verliezen (Advies 6/2014, p 45). Daarnaast geeft de Groep aan dat het “verlammende effect op beschermd gedrag, zoals de vrijheid van onderzoek of de vrijheid van meningsuiting, dat het gevolg kan zijn van voortdurende monitoring/tracering” in aanmerking moet worden genomen (Advies 6/2014, p 45). Dit verlammende effect wordt ook wel een chilling effect genoemd. De gevolgen van online proctoring zijn groot voor studenten. Studenten wonen vaak in kleine kamers waar hun bed en andere persoonlijke spullen staan. Sommige studenten wonen nog thuis of delen misschien een ruimte met andere gezinsleden of studenten. De online proctoring software filmt urenlang deze intieme omgeving van een student en bewaart dit op een server. Daarnaast kan online proctoring software voor stress zorgen die studenten afleidt bij het maken van het tentamen. Stel je voor dat er tijdens je tentamen drie uur lang iemand over je schouder mee staat te kijken, en van elke beweging die je maakt een notitie maakt. De UvA laat onvoldoende zien dat hun belang zwaarder weegt dan gevolgen van online proctoring voor de belangen en grondrechten van studenten.

De tussenconclusie is dat de UvA online proctoring niet op basis van gerechtvaardigd belang kan gebruiken. De UvA valt in principe onder de uitzondering van de laatste volzin van artikel 6 lid 1 AVG, wat betekent dat zij zich niet op gerechtvaardigd belang kan beroepen. Als die laatste volzin niet van toepassing is, dan voldoet de UvA nog steeds niet aan de twee voorwaarden van artikel 6 lid 1 onder f AVG. De UvA kan misschien aan het noodzakelijkheidsvereiste voldoen, maar "wint" niet bij de belangenafweging.

Toestemming

Als de UvA geen persoonsgegevens van studenten kan verwerken in het kader van online proctoring op basis van gerechtvaardigd belang, dan bevat de AVG nog twee andere grondslagen die de universiteit misschien kan gebruiken. De UvA zou persoonsgegevens kunnen verwerken op basis van toestemming of omdat de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang. Ik bespreek hier eerst toestemming en in de volgende paragraaf de taak van algemeen belang.

Een verwerking kan rechtmatig zijn als de betrokkene toestemming heeft gegeven voor de verwerking van hun persoonsgegevens (artikel 6 lid 1 onder a AVG). (Ik zeg “kan”, omdat toestemming niet de enige voorwaarde is voor rechtmatigheid. De verwerkingsverantwoordelijke moet ook nog aan allerlei andere wettelijke voorwaarden voldoen). Toestemming moet vrij worden gegeven (artikel 4 lid 11 AVG).

De Groep Gegevensbescherming Artikel 29 heeft uitgelegd dat toestemming alleen vrij is als de betrokkene een werkelijke keuze heeft, er geen sprake is van dwang, en de betrokkene geen aanzienlijke negatieve gevolgen ervaart wanneer diegene niet toestemt (Advies 15/2011, p 14). Als de betrokkene in een afhankelijkheidsrelatie staat met, of ondergeschikt is aan de verwerkingsverantwoordelijke, dan kan de betrokkene waarschijnlijk geen vrije toestemming geven (Advies 15/2011, p 15). Er is bijvoorbeeld meestal geen sprake van vrije toestemming in een arbeidsverhouding, tenzij er voldoende waarborgen zijn dat de werknemer daadwerkelijk vrij toestemming kan geven (Advies 15/2011, p 17). De AVG reflecteert deze adviezen van de Groep, en overweegt dat toestemming geen geldige rechtsgrond is wanneer er sprake is van een duidelijke wanverhouding tussen de betrokkene en de verwerkingsverantwoordelijke (overweging 43).

De vraag is dus of studenten in vrijheid toestemming kunnen geven aan de UvA om hun persoonsgegevens te verwerken in het kader van online proctoring. Studenten zijn afhankelijk van de UvA, want de UvA kent graden voor de opleidingen toe. Als een student geen toestemming geeft, dan kan de student geen tentamen afleggen en de opleiding niet afronden. Studenten kunnen dus waarschijnlijk geen vrije toestemming geven, tenzij de UvA voldoende waarborgen biedt, zoals toegankelijke alternatieven voor het afleggen van de tentamens, waar de student ook voor kan kiezen. Aangezien de UvA zich op gerechtvaardigd belang beroept, kan ik een eventuele toestemming niet helemaal beoordelen. Maar de publieke uitingen van de UvA geven de indruk dat er geen sprake zou zijn van vrije toestemming. In een artikel van Folia zegt de UvA dat een student zich niet gewoon op privacy kan beroepen om in aanmerking te komen voor een uitzondering. De UvA geeft aan dat de examencommissie van iemands opleiding kan beoordelen of er reden is om alternatieve toetsing aan te bieden. Dit suggereert dat de UvA heeft besloten dat studenten in principe geen nee kunnen zeggen tegen online proctoring, en dat er geen alternatieven zijn waar iemand vrijelijk voor kan kiezen.

Taak van algemeen belang

Naast gerechtvaardigd belang of toestemming, kan een verwerking rechtmatig zijn als deze noodzakelijk is voor de vervulling van een taak van algemeen belang (artikel 6 lid 1 onder e AVG). In dat geval moet EU of nationaal recht een rechtsgrond voor de verwerking vaststellen (artikel 6 lid 3 AVG). Meestal staat die rechtsgrond in sectorspecifieke wetgeving. Die wetgeving moet het doel van de verwerking bepalen, of het doel van de verwerking moet noodzakelijk zijn voor de vervulling van de taak van algemeen belang (artikel 6 lid 3 AVG). De AVG vereist niet voor elke afzonderlijke verwerking in het kader van een taak van algemeen belang specifieke wetgeving. Er kan worden volstaan met wetgeving die een basis vormt voor meerdere verwerkingen (overweging 45 AVG). De rechtsgrond voor de verwerking hoeft ook niet in formele wetgeving te staan, maar moet wel duidelijk en nauwkeurig zijn, en de toepassing ervan moet voorspelbaar zijn voor de betrokken (overweging 41 AVG). Een "taak van algemeen belang" wordt trouwens ook wel een "publieke taak" genoemd.

De Memorie van Toelichting bij de Uitvoeringswet AVG verduidelijkt deze vereisten. De publieke taak moet blijken uit de sectorspecifieke wetgeving die op de verwerkingsverantwoordelijke van toepassing is, maar in de sectorspecifieke wetgeving hoeft niet expliciet te staan dat ten behoeve van de vervulling van de publieke taak gegevens verwerkt mogen worden (MvT, p 29). Als het noodzakelijk is om voor de uitvoering van de publieke taak persoonsgegevens te verwerken, dan kan de wettelijke rechtsgrondslag voor de publieke taak ook als rechtsgrondslag voor de verwerking van persoonsgegevens worden beschouwd (Mvt, p 29-30). Verder moet het voor de betrokkene kenbaar zijn dat zijn of haar persoonsgegevens met betrekking tot een specifieke publieke taak worden verwerkt (MvT, p 30). Vorenstaande betekent niet dat met de wettelijke grondslag voor een publieke taak ook altijd de wettelijke grondslag voor de gegevensverwerking is gegeven (MvT, p 30). De betrokkene moet met voldoende precisie uit de wetgeving kunnen opmaken welke op zijn of haar privéleven betrekking hebbende gegevens met het oog op de vervulling van een bepaalde publieke taak kunnen worden verwerkt en onder welke voorwaarden (MvT, p 30). "Vereist is dus een voldoende precieze wettelijke grondslag. Dat betekent dat bijvoorbeeld de algemene taakstelling van een overheidsdienst niet in alle gevallen kan dienen als rechtsgrond voor gegevensverwerking" (MvT, p 30).

Zoals ik hierboven al schreef, heeft de UvA als wettelijke taak om wetenschappelijk onderwijs te geven (artikel 1.3 lid 1 WHW) en examens en tentamens af te nemen (artikel 7.3 lid 3 WHW). Elke tentamen omvat een onderzoek naar de kennis, het inzicht en de vaardigheden van de student, en de beoordeling van de uitkomsten van dat onderzoek (artikel 7.10 lid 1 WHW). Het instellingsbestuur is verantwoordelijk voor de praktische organisatie van tentamens en examens (artikel 7.10 lid 3 WHW). Het instellingsbestuur moet voor elke opleiding een onderwijs- en examenregeling vaststellen (artikel 7.13 lid 1 WHW). Zo’n regeling heet meestal de OER. De OER moet per opleiding de procedures en rechten en plichten met betrekking tot het onderwijs en de examens vastleggen, en moet onder andere aangeven of de tentamens mondeling, schriftelijk, of op andere wijze worden afgelegd, behoudens de bevoegdheid van de examencommissie in bijzondere gevallen anders te bepalen (artikel 7.13 lid 2 aanhef en onder L WHW).

De vraag is dan of dit stelsel van regels in de WHW een rechtsgrond creëert voor de UvA om persoonsgegevens van studenten te verwerken door middel van online proctoring. Het is duidelijk dat het afnemen van tentamens een taak van algemeen belang is van de UvA en dat het instellingsbestuur de bevoegdheid en verantwoordelijkheid heeft om de tentamens praktisch te organiseren. Op Twitter besprak ik deze vraag met een aantal privacyjuristen. Volgens Rosalie Salameh is het “betwistbaar dat [in deze regels] een voldoende duidelijke rechtsgrond besloten ligt voor de gegevensverwerkingen die plaatsvinden bij online proctoring”. Joost Gerritsen sluit zich daarbij aan, en geeft aan dat volgens hem online proctoring te vergelijken is met antiplagiaatsoftware dat wordt gebruikt om scripties te controleren. “Het ‘hoort’ bij onderwijs, maar is geen deel van de onderwijstaak”. Maar uit de preambule bij de AVG en de Memorie van Toelichting bij de UAVG volgt dat de rechtsgrond voor een taak van algemeen belang ook de rechtsgrond voor de verwerking van persoonsgegevens kan vormen. De UvA moet in ieder geval beargumeneren dat de genoemde bepalingen in de WHW een rechtsgrond creëren voor het afnemen van tentamens en het verwerken van persoonsgegevens in het kader van die tentamens, en dat het voor studenten kenbaar is dat hun persoonsgegevens, zoals videobeelden van hun slaap- of huiskamer, voor deze publieke taak worden verwerkt.

Als de UvA persoonsgegevens van studenten niet kan verwerken in het kader van online proctoring op basis van een taak van algemeen belang omdat de WHW geen rechtsgrond vormt voor deze verwerking, betekent dit dan dat de laatste volzin van artikel 6 lid 1 AVG (zie hierboven) niet van toepassing is [3]? Dat wil zeggen, kan de UvA dan alsnog de gegevens verwerken op basis van gerechtvaardigd belang? Overheidsinstanties moeten wel enige mogelijkheid hebben om persoonsgegevens te verwerken. Als een verwerking niet binnen hun taak van algemeen belang valt, dan moeten ze een andere grondslag kunnen inroepen, zoals bijvoorbeeld gerechtvaardigd belang.

Aan de ene kant overweegt de Groep Gegevensbescherming Artikel 29 dat wanneer de laatste volzin van artikel 6 lid 1 AVG ruim wordt geïnterpreteerd, en zo overheidsinstanties uitsluit van het gebruik van gerechtvaardigd belang, dan moet de bepaling over een taak van algemeen belang zo worden geïnterpreteerd dat deze enige flexibiliteit biedt aan overheidsinstanties, zodat ze in ieder geval kunnen functioneren (Advies 6/2014, p 28).

Aan de andere kant benadrukt de Groep dat "het belang van het algemene beginsel dat overheidsinstanties in de regel alleen gegevens mogen verwerken in het kader van de uitoefening van hun taken indien de wetgeving daartoe passende bevoegdheden heeft gegeven. Het naleven van dit beginsel is met name van belang (...) in gevallen waar de privacy van betrokkenen op het spel staat en de activiteiten van de overheidsinstantie een inmenging zouden betekenen in zijn persoonlijke levenssfeer" (Advies 6/2014, p 32). In de preambule van de AVG staat ook dat het aan de wetgever is om de rechtsgrond voor gegevensverwerking door overheidsinstanties te creëren, en dat gerechtvaardig belang daarom niet van toepassing mag zijn op de verwerking door overheidsinstanties in het kader van de uitvoering van hun taken (overweging 47 AVG).

Deze adviezen van de Groep en overweging in de AVG maken duidelijk dat overheidsinstanties democratisch gelegitimeerd moeten zijn om persoonsgegevens te kunnen verwerken in het kader van hun taken, en dat ze zich deze bevoegdheden niet zelf kunnen toekennen. Dit beginsel weegt nog zwaarder als de verwerking een inmenging met de privacy oplevert. De laatste volzin van artikel 6 lid 1 AVG heeft dus een beschermende en democratische functie. De UvA is een overheidsinstantie en de verwerking van persoonsgegevens in het kader van proctoring levert een grote inmenging op met de privacy van studenten. Als de WHW geen rechtsgrond biedt voor deze verwerking, dan mag de UvA het democratische vereiste niet omzeilen door gerechtvaardigd belang aan te voeren.

Mocht de UvA kunnen beargumenteren dat de verwerking van persoonsgegevens van studenten in het kader van online proctoring wel een rechtsgrond vindt in de WHW, dan moet de UvA ook nog laten zien dat deze verwerking noodzakelijk is in het kader van hun taak van algemeen belang. De analyse van het noodzakelijkheidsvereiste heb ik al hierboven al gedaan in het kader van gerechtvaardigd belang. Ik denk dat de UvA kan beargumenteren dat online proctoring in bepaalde uitzonderlijke gevallen noodzakelijk is.

Bezwaar

Als de UvA de persoonsgegevens van studenten wel kan verwerken in het kader van online proctoring op basis van een gerechtvaardigd belang of een taak van algemeen belang, dan kunnen studenten bezwaar maken tegen deze verwerking.

De betrokkene heeft altijd het recht om vanwege met zijn of haar specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem of haar betreffende persoonsgegevens die plaatsvindt op basis van een taak van algemeen belang of gerechtvaardigd belang (artikel 21 lid 1 AVG). De verwerkingsverantwoordelijke moet de verwerking dan staken, tenzij de organisatie dwingende gerechtvaardigde gronden voor de verwerking kan aanvoeren die zwaarder wegen dan de belangen, rechten, en vrijheden van de betrokkene (artikel 21 lid 1 AVG).

Elke student kan dus bezwaar maken tegen de verwerking van zijn of haar persoonsgegevens door de UvA in het kader van online proctoring. De UvA moet de verwerking dan staken, of gewoon niet beginnen, tenzij de universiteit dwingende argumenten kan aanvoeren die zwaarder wegen dan de privacyrechten van de student. Zodra iemand bezwaar maakt, moet de UvA dus opnieuw een belangenafweging maken, waarbij de universiteit de specifieke omstandigheden van de betreffende student moet overwegen. Zoals ik hierboven al schreef, zei de UvA in een artikel van Folia dat een beroep op privacy onvoldoende is om in aanmerking te komen voor een uitzondering. De UvA gaf aan dat bijvoorbeeld medische omstandigheden of een functiebeperking wel een reden kunnen zijn om naar een andere oplossing te zoeken. Daarmee lijkt de UvA bezwaar van studenten op basis van hun fundamentele recht op privacy bij voorbaat uit te willen sluiten. De AVG laat niet toe dat een organisatie zonder nieuwe belangenafweging een bezwaar al van te voren afwimpelt. Als een student bezwaar maakt, dan moet de student de mogelijkheid hebben om dit toe te lichten en aan te geven waarom hij of zij een zo grote privacyinbreuk zou ervaren dat hij of zij geen gebruik wil maken van online proctoring. De student kan hierbij ook nog andere redenen aanvoeren; alle belangen en grondrechten mogen meespelen. De AVG stelt geen inhoudelijke vereisten aan de redenen die een betrokkene moet aanvoeren en de UvA kan dus niet vooraf bepaalde redenen om bezwaar te maken uitsluiten.

Conclusie

Als de UvA online proctoring gebruikt, dan verwerkt de UvA persoonsgegevens van studenten. Om deze persoonsgegevens rechtmatig te verwerken, moet de UvA een juridische grondslag hebben op basis van de AVG. De UvA zegt in een privacy statement dat ze de persoonsgegevens verwerkt op basis van gerechtvaardigd belang, maar de UvA kan deze grondslag niet inroepen omdat het een overheidsinstantie is. De UvA zou kunnen proberen om de persoonsgegevens te verwerken op basis van toestemming, maar studenten staan in een afhankelijkheidsrelatie met de UvA en kunnen daarom waarschijnlijk geen vrije toestemming geven. De laatste optie is dat de UvA de persoonsgegevens verwerkt omdat dit noodzakelijk is voor de vervulling van een taak van algemeen belang. Om deze grondslag aan te voeren, moet de UvA laten zien dat de WHW een rechtsgrond vormt voor online proctoring. De UvA heeft dat tot nu toe niet aangetoond. Het gebruik van online proctoring door de UvA is dus niet in overeenstemming met de wet.

Notes

[1] Zie ook de analyse van Rosalie Salameh van Privacy Peers.

[2] Met dank aan @whvholst die hier op Twitter op wees.

[3] Met dank aan verschillende mensen op Linkedin die deze vraag opriepen en met mij bespraken.

Ik pas deze tekst waarschijnlijk nog aan als ik op nieuwe ideeën kom of spelfouten zie lol. Deze versie is van 23 mei 2020.