We krijgen vaak vragen over hoe de Children’s Online Privacy Protection Act van toepassing is op scholen. Dat CUP-regels geeft ouders controle over welke informatie “website- of online service-exploitanten” – ja, inclusief apps – kunnen verzamelen van hun kinderen onder de 13 jaar. COPPA vereist onder andere dat onder de wet vallende entiteiten ouders op de hoogte stellen en hun toestemming verkrijgen voordat zij persoonlijke informatie van kinderen verzamelen, gebruiken of openbaar maken. Hoe wordt COPPA op scholen toegepast? Hier is het korte antwoord: scholen – die meestal deel uitmaken van lokale overheden – vallen niet onder de wettelijke definitie van wie onder de COPPA valt, omdat ze geen commerciële ‘exploitanten’ zijn. Scholen staan echter soms toe dat leerlingen door COPPA gedekte sites en diensten gebruiken, of eisen dit zelfs, en moeten dit melden en verifieerbare toestemming van de ouders verkrijgen.
Deze vraag is niets nieuws. Toen de FTC in 1999 de oorspronkelijke COPPA-regel uitvaardigde, werd ingegaan op de manier waarop scholen konden optreden als tussenpersoon tussen exploitanten en ouders in het kennisgevings- en toestemmingsproces, of als ouderagenten, handelend namens ouders. Dit is wat we hierover zeggen in COPPA’s Statement of Foundations and Purpose:
“Veel commentatoren uitten hun bezorgdheid over de manier waarop deze regel van toepassing zou zijn op internetgebruik op scholen. Sommige commentatoren uitten hun bezorgdheid dat het vereisen van ouderlijke toestemming voor het online verzamelen van informatie de activiteiten in de klas zou verstoren, vooral als er voor slechts één of twee kinderen geen toestemming van de ouders wordt verkregen. In reactie daarop merkte de Commissie op dat de regel scholen er niet van verbiedt om als tussenpersoon op te treden tussen exploitanten en ouders in het kennisgevings- en toestemmingsproces, of om in dat proces op te treden als tussenpersonen van de ouders. Veel scholen hebben bijvoorbeeld al aan het begin van de schoolperiode toestemming van de ouders nodig voor internettoegang op school. Dus als exploitanten door de school toestemming krijgen om persoonlijke informatie van kinderen te verzamelen, mag de exploitant, nadat hij de school op de hoogte heeft gesteld van de verzamelings-, gebruiks- en openbaarmakingspraktijken van de exploitant, ervan uitgaan dat de toestemming van de school gebaseerd is op de toestemming van de ouders van de school.”
(Heb je daar een offerte voor nodig? Het is 64 Fed. Reg. 59888, 59903.)
De mogelijkheid van een school om namens ouders toestemming te geven is echter beperkt tot de educatieve context – met andere woorden, dit is alleen van toepassing wanneer de exploitant persoonlijke informatie van leerlingen uitsluitend voor educatieve doeleinden verzamelt, en niet voor enig ander commercieel doel. Daarom spelen scholen, naast de belangrijke rol van scholen bij het creëren van een aantrekkelijke leeromgeving, ook een rol bij het beschermen van de privacy van leerlingen.
Onlangs ontvingen FTC-medewerkers vragen over de vraag of COPPA online testaanbieders omvat – met name tests die worden ontwikkeld door twee consortia van staatsonderwijsinstellingen. Het Partnership for the Assessment of College and Career Readiness (PARCC) is een non-profitorganisatie die zichzelf omschrijft als “een alliantie van staten die samenwerken om een gemeenschappelijke beoordeling te ontwikkelen die bijna 24 miljoen studenten bedient.” Het Smarter Balanced Assessment Consortium bestaat uit lidstaten en andere overheidsinstanties. Het idee is dat de test online wordt afgenomen bij schoolkinderen in het hele land. Hoewel we alle soorten entiteiten aanmoedigen om de privacy van kinderen te respecteren, strekt de handhavingsautoriteit van de FTC zich niet uit tot het verzamelen van informatie door deelstaatregeringen of de meeste non-profitorganisaties. Deze specifieke consortia en hun testontwikkeling en -beheer vallen dus niet onder de COPPA. Het is belangrijk om te onthouden dat scholen om vele redenen tests afnemen – bijvoorbeeld om de prestaties van leerlingen en scholen te evalueren – maar dat scholen in veel gevallen ook moeten voldoen aan wettelijke mandaten om leerlingen te testen op grond van federale, staats- en lokale wetten.
Maar breder gezien is het doel van COPPA het beschermen van de privacy van kinderen in verband met het online verzamelen van persoonlijke informatie door commerciële entiteiten. Veel ouders hechten veel waarde aan de privacy van hun kinderen en verwachten dat scholen deze beschermen. COPPA is echter niet bedoeld om de traditionele relatie tussen ouders en scholen te vervangen als het gaat om het verzamelen van informatie uitsluitend voor educatieve doeleinden binnen de schoolcontext en met toestemming van de school. Dit geldt ook als de informatie online wordt verzameld.
Uiteraard hebben onderwijsinstellingen en instellingen op grond van de Family Educational Rights and Privacy Act (FERPA) een speciale verplichting om de privacy van studenten te beschermen, inclusief het beschermen van persoonlijke informatie uit de onderwijsgegevens van een kind tegen verdere openbaarmaking of gebruik zonder schriftelijke toestemming van de ouders, tenzij zij daartoe bevoegd zijn op grond van FERPA.
Kortom, COPPA biedt belangrijke bescherming voor de persoonlijke informatie van kinderen in de commerciële ruimte, en erkent ook de speciale rol die scholen kunnen spelen bij het verlenen van toestemming voor het verzamelen van online-informatie van kinderen, exclusief voor educatieve diensten – bijvoorbeeld online testen.
