- Tips
- |
- Artificial intelligence
- |
- po
- vo
- mbo
Privacy en AI – hier moeten scholen op letten
Bij het gebruik van AI-systemen op school worden persoonsgegevens van leerlingen verwerkt. Het is van groot belang dat deze gegevens goed worden beschermd. Hoe ga je als schoolleider op een effectieve manier met privacy en informatiebeveiliging bij AI aan de slag?
Door de redactie
Een toegenomen gebruik van algoritmen en AI binnen scholen leidt tot nieuwe uitdagingen bij het waarborgen van privacy. Er komen steeds meer mogelijkheden om het gedrag en de prestaties van leerlingen te monitoren en hierover voorspellingen te doen. Dit kan leiden tot het verzamelen en analyseren van grote hoeveelheden gevoelige gegevens.
Naast slimme technologie die een school zelf besluit om te gebruiken, levert ook de brede beschikbaarheid aan generatieve AI-tools nieuwe privacyvraagstukken op. Denk hierbij aan tools zoals ChatGPT, Dall-E en Copilot. Het is namelijk niet altijd duidelijk of de bedrijven achter deze tools zich aan de AVG houden. Dit moet eerst worden uitgezocht voordat de tools in de klas worden ingezet.
AI op scholen, dat geeft nieuwe uitdagingen op het gebied van privacy en informatiebeveiliging. Welke stappen kan de schoolleider zetten?
Maak afspraken en stel richtlijnen en procedures op voor generatieve AI
Bepaal hoe binnen de school gebruik mag worden gemaakt van generatieve AI door leraren, ondersteunend personeel en leerlingen. Bepaal wat je als school wel en niet wenselijk vindt bij het gebruik van tools als ChatGPT, Dall-E of Copilot in de klas. Formuleer richtlijnen en werkinstructies.
Waar begin je?
Met dit stappenplan maak je een begin met richtlijnen rond generatieve AIVanuit privacy-oogpunt is het belangrijk om geen persoonlijke of vertrouwelijke gegevens bij zulke tools te gebruiken. Je kunt namelijk niet controleren of beheersen wat er met deze gegevens gebeurt; de input die je aan de systemen geeft wordt vaak gebruikt om ze te trainen en door te ontwikkelen.
Maak een zorgvuldige afweging voordat je begint
Loop, voor je AI op school gaat inzetten, eerst de vijf vuistregels voor de verwerking van persoonsgegevens na. Zie hieronder – ze staan uitgebreid toegelicht op de website Aanpak IBP van Kennisnet.
Vijf vuistregels voor het verwerken van persoonsgegevens
- Bepaal het doel. Leg vooraf vast wat het specifieke doel is waarvoor AI zal worden ingezet. En bepaal of de inbreuk op de privacy van leerlingen in verhouding staat tot dit doel.
- Stel vast welke wettelijke grondslag van toepassing is. De AVG onderscheidt zes grondslagen.
- Verwerk niet meer persoonsgegevens dan nodig voor het doel. Dit wordt dataminimalisatie genoemd. En zorg ervoor dat de gegevens die het AI-systeem gebruikt juist zijn.
- Wees transparant over het gebruik van het AI-systeem. Leg dit vast in een privacyverklaring- of reglement. En sta open voor vragen van betrokkenen zoals ouders.
- Zorg voor een veilige verwerking van persoonsgegevens: tref passende technische en organisatorische maatregelen.
Voer een DPIA uit
Als in een AI-systeem persoonsgegevens worden verwerkt, ben je in de meeste gevallen verplicht een Data Protection Impact Assessment (DPIA) uit te voeren. Hiermee breng je de privacyrisico’s in kaart voor je leerlingen of medewerkers en neem je maatregelen om deze te beperken. Let op: een DPIA is ook verplicht als je op kleine schaal gaat experimenteren of een pilot uitvoert.
Sluit een verwerkersovereenkomst
Sluit een verwerkersovereenkomst af met de leverancier van het AI-systeem als je besluit een systeem met AI in te zetten. Hiermee leg je onder meer contractueel vast dat de leverancier de gegevens alleen mag gebruiken voor de doelen die je hebt aangegeven. Ook maak je afspraken over passende beveiligingsmaatregelen.
Zorg altijd voor een menselijke blik
Het AI-systeem kan een leraar bij taken ondersteunen, maar kan de leraar niet vervangen. Laat de leraar altijd meekijken bij het gebruik van AI-toepassingen en het beoordelen van de uitkomsten. Zorg ervoor dat een leraar over de juiste kennis en kunde beschikt om de consequenties van de inzet van AI te kunnen doorgronden. Over hoe je dit aanpakt, lees je meer in het artikel over Professionalisering van het team.
Breid je privacyverklaring- of reglement uit
Ga na of de verwerking van persoonsgegevens bij AI en algoritmes op school voldoende in de privacyverklaring of het privacyreglement terugkomen en pas indien nodig deze documenten aan. Hiermee ben je open en transparant over de toepassing van AI op school.
Sluit je aan bij SIVON
Het is voor scholen niet makkelijk om passend informatiebeveiligings- en privacybeleid uit te voeren. Maar als schoolleider sta je niet alleen; trek samen op met het bestuur, de privacy officer en de functionaris gegevensbescherming om je van de juiste kennis en kunde te voorzien. En sluit je daarnaast aan bij SIVON. Door je als scholen op deze manier te verenigen, sta je sterker, ook richting grote leveranciers. En het biedt kansen om privacytoetsen zoals een DPIA gezamenlijk uit te voeren.
Onderdeel van de ‘Handreiking AI voor scholen’
Deze online handreiking helpt scholen om bewuste en verantwoorde keuzes te maken over het gebruik van artificial intelligence. Je vindt er verschillende artikelen met tips en verdiepende informatie over AI.