PowerSchool's schikking van $17,25 miljoen over Naviance-studenttracking

PowerSchool's schikking van $17,25 miljoen over Naviance-studenttracking

Een class-action schikking van $17,25 miljoen tegen PowerSchool vestigt opnieuw de aandacht op een praktijk waarvan veel gezinnen nooit wisten dat die bestond: de stille, voortdurende surveillance van studenten via juist de platforms die scholen hen verplichten te gebruiken. De rechtszaak draaide om Naviance, een veelgebruikte tool voor studie- en loopbaanoriëntatie, en stelde dat het platform embedded trackingsoftware van derden bevatte die toetsaanslagen, muisklikken en privécommunicatie van studenten verzamelde zonder toestemming, in de periode van 2021 tot 2026. De zaak is een van de duidelijkste voorbeelden tot nu toe van hoe schendingen van privacy in edtech door het tracken van studentgegevens jarenlang kunnen voortduren voordat iemand ter verantwoording wordt geroepen.

Wat Naviance daadwerkelijk verzamelde – en hoelang

Naviance is geen niche-instrument. Het wordt gebruikt door miljoenen middelbare scholieren in de Verenigde Staten en dient als centraal punt voor het bijhouden van universiteitsaanmeldingen, loopbaanassessments en studieplanning. Omdat scholen het voorschrijven, hebben studenten en gezinnen doorgaans geen andere keuze dan het te gebruiken.

Volgens de rechtszaak ging de in Naviance ingebedde tracking veel verder dan standaardanalytics. Software van derden legde naar verluidt gegevens vast op toetsaanslag-niveau, wat betekent dat elk teken dat een student typte kon worden opgenomen. Klikgedrag, navigatiepatronen en privécommunicatie zouden eveneens zijn geoogst. Dit type gegevensverzameling is niet passief. Het is fijnmazig, gedragsmatig en in veel gevallen veel onthullender dan een simpele loginregistratie.

Wellicht het opvallendst is de tijdlijn. De vermeende tracking liep van 2021 tot 2026, een periode van vijf jaar waarin van miljoenen studenten mogelijk gevoelige gegevens zijn verzameld zonder medeweten van henzelf of hun ouders of voogden. Er is geen toestemming gevraagd. Er is geen duidelijke informatie verstrekt. De surveillance was, per ontwerp, onzichtbaar.

Waarom school-voorgeschreven platforms een blinde vlek vormen voor studentprivacy

Wanneer een bedrijf een consumentenapp verkoopt en er trackers in stopt, hebben gebruikers tenminste theoretisch de mogelijkheid om dat te weigeren. Zodra een school een platform verplicht stelt, verdwijnt die optie. Studenten moeten het instrument gebruiken om opdrachten in te leveren, aanmeldingen te versturen of toegang tot bronnen te krijgen. Dat creëert een fundamenteel toestemmingsprobleem dat de bestaande wetgeving tot nu toe nog niet goed heeft kunnen aanpakken.

Federale kaders zoals FERPA (Family Educational Rights and Privacy Act) en COPPA (Children's Online Privacy Protection Act) bieden enige basisbescherming, maar ze zijn niet ontworpen met de complexiteit van moderne edtech-ecosystemen in gedachten. Een school kan een contract sluiten met een leverancier. Die leverancier kan code van derden inbedden. Die derde partijen kunnen gegevens verzamelen. Elke stap mag technisch voldoen aan de regels, terwijl er nog steeds studentgegevens naar partijen stromen waarvan gezinnen nooit hebben gehoord.

Deze dynamiek maakt de PowerSchool-zaak belangrijk, los van het geldbedrag. Het is een gedocumenteerd voorbeeld van de kloof tussen juridische naleving en echte transparantie. Dat de tracking naar verluidt vijf jaar lang zonder openbare bekendmaking doorging, onderstreept hoe weinig inzicht ouders en studenten doorgaans hebben in wat schoolplatforms werkelijk doen.

Dit probleem beperkt zich niet tot passieve tracking. Zoals de ShinyHunters-inbraak bij Canvas liet zien, omvat blootstelling van studentgegevens zowel heimelijke surveillance als actieve cyberaanvallen. Toen bij dat incident bijna 275 miljoen studentrecords gevaar liepen, werd opnieuw duidelijk dat de edtech-sector van meerdere kanten tegelijk kwetsbaar is.

Hoe verborgen toetsaanslag- en communicatietracking werkt

Voor lezers die niet bekend zijn met de techniek is het de moeite waard te begrijpen hoe dit type tracking in de praktijk werkt. Scripts voor tracking door derden worden doorgaans tijdens het ontwikkelproces door de platformontwikkelaars ingebed. Wanneer een gebruiker een pagina laadt, worden die scripts automatisch op de achtergrond uitgevoerd. De gebruiker ziet niets bijzonders.

Scripts voor het loggen van toetsaanslagen kunnen invoer in realtime registreren en vastleggen wat iemand typt nog voordat diegene op ‘verzenden’ klikt. Hulpmiddelen voor sessiereplay kunnen muisbewegingen, scrollgedrag en klikpatronen opnemen om precies te reconstrueren wat een gebruiker tijdens een sessie deed. Onderschepping van communicatie kan optreden wanneer berichten die via het interne systeem van een platform worden verstuurd, via de infrastructuur van een derde partij lopen voordat ze hun bestemming bereiken.

Hiervoor is geen speciale toegang tot een apparaat nodig. Het gebeurt in de browser, binnen het platform zelf. Standaard antivirussoftware slaat er niet op aan. Ouderlijk toezicht blokkeert het niet. Zelfs privacygerichte browserextensies detecteren het mogelijk niet als de scripts diep in de eigen code van het platform zijn geïntegreerd.

Daarom is toestemming en transparantie op contractniveau, tussen scholen en leveranciers, zo belangrijk. Tegen de tijd dat een student Naviance opent, is de datapijplijn al aangelegd.

Wat gezinnen kunnen doen om edtech-surveillance te beperken

De PowerSchool-schikking zal niet de laatste in zijn soort zijn. De adoptie van edtech blijft toenemen en de financiële prikkels om gedragsdata te verzilveren blijven sterk. Toch staan gezinnen niet helemaal machteloos.

Vraag om de data-inventaris. Onder FERPA hebben ouders van leerlingen onder de 18 het recht om toegang tot onderwijsgegevens te vragen. Scholen moeten ook een lijst kunnen overleggen van externe leveranciers waarmee ze studentgegevens delen. Het opvragen van die lijst laat scholen weten dat gezinnen opletten.

Bekijk het technologiebeleid van de school elk jaar opnieuw. Veel schooldistricten actualiseren hun beleid voor aanvaardbaar gebruik en gegevensbescherming bij het begin van elk schooljaar. Door deze documenten te lezen, al is het maar op hoofdlijnen, kun je te weten komen welke platforms er worden gebruikt en welk gegevensgebruik wordt vermeld.

Maak gebruik van browserbescherming waar mogelijk. Hoewel gezinnen zich vaak niet kunnen afmelden voor school-voorgeschreven platforms, kunnen studenten die persoonlijke apparaten voor schoolwerk gebruiken, profiteren van privacygerichte browsers of extensies die de uitvoering van scripts van derden beperken, voor zover die hulpmiddelen de vereiste platformfuncties niet verstoren.

Betrek schoolbesturen en bestuurders. De meest effectieve bescherming op lange termijn komt voort uit institutionele verantwoording. Vragen van ouders tijdens vergaderingen van het schoolbestuur over leverancierscontracten en data-audits zorgen voor druk om sterker toezicht te houden.

Blijf op de hoogte van edtech-incidenten. De PowerSchool-zaak en de ShinyHunters-inbraak bij Canvas maken deel uit van een breder patroon. Het besef dat datalekken en surveillance van studenten geen incidentele gebeurtenissen zijn, maar terugkerende problemen, vormt de basis om betere bescherming te eisen.

De schikking van $17,25 miljoen tegen PowerSchool is een betekenisvol resultaat, maar de werkelijke betekenis zit in wat het blootlegt over gangbare praktijken in de industrie. Als een platform dat miljoenen studenten vijf jaar lang gebruikten onzichtbare trackingsoftware kon inbedden, dan is de vraag die gesteld moet worden niet alleen wat Naviance deed, maar ook wat andere edtech-platforms op dit moment mogelijk aan het doen zijn. Gezinnen, docenten en beleidsmakers hebben allemaal een rol te spelen om antwoorden te eisen – vóór de volgende schikking, niet erna.