DUO overtrad privacyregels met 'volgsoftware' in e-mails aan studenten
De Dienst Uitvoering Onderwijs (DUO) heeft in het e-mailverkeer met studenten gebruik gemaakt van 'volgsoftware', waarmee kan worden aangetoond dat een student een belangrijk bericht heeft geopend. Dat gebeurde waarschijnlijk in strijd met de privacyregels, bevestigt DUO na berichtgeving door de Volkskrant. Inmiddels heeft de dienst het gebruik van de software opgeschort.
"Wij waren altijd in de veronderstelling dat we het binnen de kaders van de wet deden", zei een woordvoerder van DUO in het NOS Radio 1 Journaal. Na vragen van de krant is de dienst in gesprek gegaan met de Autoriteit Persoonsgegevens (AP), die zei dat het gebruik van de trackingsoftware hoogstwaarschijnlijk in strijd was met de privacyregels.
"We willen niet de schijn wekken dat we in een grijs gebied zitten, dus hebben we gezegd: we stoppen er even mee", zei de woordvoerder. "En de gegevens parkeren we even. Daar doen we even helemaal niets mee." Na de zomer gaat DUO in gesprek met de AP om te kijken hoe de dienst wel op een legale manier gebruik kan maken van data.
'Buitenproportioneel'
Volgens de privacywet AVG mogen de gegevens die met dit soort software worden verkregen niet herleidbaar zijn tot een persoon, en in dit geval was dat wel zo. Als DUO kan vaststellen dat een individuele student een bericht heeft ontvangen, kan dat bijvoorbeeld in een rechtszaak worden gebruikt als bewijs.
Naast de AP zegt ook advocaat Christiaan Alberdingk Thijm, die gespecialiseerd is in informatie- en privacyrecht, dat DUO met de software de regels heeft overtreden. "Om persoonsgegevens te verwerken, moet DUO een gerechtvaardigd belang hebben", citeert de Volkskrant hem. Dat kan er zijn, maar het gebruik van de software in al het e-mailverkeer is volgens Alberdingk Thijm buitenproportioneel.
Verder zegt de advocaat dat studenten altijd geïnformeerd moeten worden over het gebruik van de trackingsoftware. "Je zou in de e-mail zelf kunnen zeggen: let op, met een tracker kunnen we zien of je het leest of niet", zegt Alberdingk Thijm.
Cookies
Volgsoftware wordt al jaren gebruikt, bijvoorbeeld in digitale nieuwsbrieven of persberichten, om meer te weten te komen over het leesgedrag van ontvangers. Onderaan de berichten wordt een programmeercode geplaatst, die bij opening van de e-mails een minuscule afbeelding downloadt. Zo worden op de server van de afzender data als het IP-adres van de ontvanger geregistreerd.
De software werkt ongeveer zoals een cookie op een website. Toch gelden er andere regels voor trackingsoftware in e-mails, omdat de programma's - in tegenstelling tot cookies - geen informatie op de computer van de ontvanger plaatsen.