Meer weerbaarheid nodig tegenover de techreuzen

In recordtijd hebben scholen hun online onderwijs ingericht. Een hele prestatie. Maar de noodgedwongen spoed betekent ook risico’s, bijvoorbeeld door gebrek aan afspraken met leveranciers over de omgang met (leerling)gegevens. Terwijl schoolleiders wel juridisch verantwoordelijk zijn voor wat daarmee gebeurt. “Denk erom: gratis bestaat niet.”

Zodra vorig jaar maart bekend werd dat er een schoolsluiting aan kwam, haastten scholen zich om hun online onderwijs goed in te richten. “Scholen hebben heel voortvarend leveranciers van educatieve applicaties ingeschakeld”, vertelt Raymond Wannee, functionaris gegevensbescherming (fg’er) bij stichting De Haagse Scholen. “Normaal zou je veel meer tijd nemen om die te checken en goede afspraken te maken over de omgang met gegevens.” Keuzes werden niet altijd goed afgewogen, zag Ymkje Koster, adviseur privacy bij Kennisnet. “Sommige docenten kozen voor middelen die ze al kenden en makkelijk vonden. Terwijl de school misschien geen afspraken had met zo’n leverancier en niet wist of de privacy goed geregeld was.” Zo kozen sommige scholen voor Zoom in een periode waarin veiligheidsproblemen bij deze aanbieder volop in het nieuws waren.

Google: te machtig?

Zorgen zijn er ook over de invloed van Google en andere grote techaanbieders, verder aangewakkerd door de scores van Google Workspace for Education op een veiligheidscheck (Data Protection Impact Assessment). Scholen bleken geen of onvoldoende grip te hebben op wat er met leerlinggegevens gebeurt. “Terwijl ze daar juridisch verantwoordelijk voor zijn”, zegt Chris Zintel, beleidsadviseur informatiebeveiliging bij Kennisnet. “Zíj moeten bepalen wat er wel en niet mee mag gebeuren. Dat is niet aan een groot techbedrijf als Google.”

Als schoolbestuur ben je echter geen partij voor zo’n moloch. Om toch een vuist te kunnen maken, hebben schoolbesturen zich verenigd in coöperatie SIVON, dat samen met de ministeries van Onderwijs en Justitie gesprekken voert met Google. De uitkomsten zijn nog niet bekend. Maar, zegt Zintel, “als het hele Nederlandse onderwijsveld zegt dat wij aanpassingen verwachten, mag je ervan uitgaan dat dat tot resultaat leidt.”

De overheid mengt zich steeds actiever in het gesprek en snapt dat het belangrijk is, ziet Zintel. ”Of ze ook snappen hoe groot het is, wat er op schoolniveau ligt en wat je landelijk zou moeten organiseren? Dát gesprek moeten scholen, politiek, clubs als wij en OCW de komende tijd voeren.”

Privacy-convenant en quickscan

Bij de keuze van een leverancier voor digitale onderwijsmiddelen kunnen scholen het privacy-convenant gebruiken dat PO-Raad, VO-raad en MBO Raad samen met leveranciers ontwikkelden. Wie zich hierbij aansluit, conformeert zich aan een basisset van regels. “Partijen die dit convenant ondertekenen, komen overeen hoe de beveiliging moet zijn en beloven geen reclame los te laten op gebruikers”, vertelt Koster. Wannee: “Dat garandeert niet dat het bedrijf zich er ook aan houdt, maar het is een belangrijke eerste stap. Op die basis kun je met de privacy-contactpersoon van de leverancier een goede verwerkingsovereenkomst sluiten.”

En denk erom, waarschuwt Wannee: ‘gratis’ bestaat niet. “Sommige bedrijven bieden zogenaamd gratis educatieve applicaties aan. Maar zij moeten hun personeel betalen en servers draaiende houden en daarvoor betaal jij met persoonsgegevens.” Die persoonsgegevens zijn nodig om een applicatie te gebruiken, maar ze zijn ook geld waard: ze kunnen worden verhandeld. Daarbij gaat het om basale informatie zoals naam, geboortedatum en emailadres, maar bijvoorbeeld ook de studievoortgang. Daarmee worden profielen van individuen opgesteld. Hoe meer je van iemand weet, hoe beter je kan inschatten in welke producten hij mogelijk interesse heeft. Wannee sluit zelfs niet uit dat langs deze weg de ‘leiders van morgen’ in kaart worden gebracht. “Die informatie is mogelijk in de toekomst veel geld waard. Bijvoorbeeld met het oog op toekomstige werving van deze jongeren.”

Een andere handige tool is de door Kennisnet ontwikkelde privacy quickscan. Deze zet voor de bekendste applicaties op een rij of de aanbieder is aangesloten bij het privacy-convenant en in hoeverre de privacy van leerlingen is gewaarborgd.

Bewustwording onder leraren

Met het maken van goede afspraken met leveranciers ben je er nog niet: leraren moeten de applicaties natuurlijk ook op een veilige manier gebruiken. Daar schort het nog wel eens aan, zegt Koster, omdat er tijdens de coronaperiode geen tijd was om mensen uitgebreid te trainen. Bovendien schaften scholen vaak in korte tijd meerdere applicaties aan. De Vereniging Ons Middelbaar Onderwijs investeert met onder meer een filmpje, werkconferenties en nieuwsbrieven in de bewustwording onder personeel, leerlingen en ouders. Fg’er Martin Gillissen: “Dat is de grootste uitdaging: mensen laten nadenken over wat je waar neerzet, hoe veilig dat is, wie je autoriseert, naar wie je mailtjes stuurt en wie daarin worden genoemd. De ene school heeft dat al beter op orde dan de andere. Wij monitoren de voortgang vanuit ons stafbureau.”

Allernieuwste technologie

Als er een datalek optreedt, is dat vrijwel altijd door menselijk handelen. Gillissen: “Een mail met privacygevoelige gegevens wordt naar de verkeerde ouder gestuurd. Of iemand raakt een laptop kwijt waarop gegevens staan. Als de laptop op internet is aangesloten, kan die van een afstand worden gewiped, schoongeveegd.Maar dan moet wel worden gemeld dat die laptop kwijt is.”

Wannee maakte één keer mee dat een hacker bestanden had versleuteld. “Dat hebben we op tijd kunnen afwenden. Gelukkig, want zo iemand kan je hele systeem stilleggen.” Hij adviseert om een next generation firewall aan te schaffen. “Dat is de allernieuwste technologie, maar die werkt alleen afdoende als je personeel weet hoe het veilig kan werken. Als iemand klikt op een link in een fishing-mail, kan dat alsnog grote gevolgen hebben.” Ook stichting De Haagse Scholen biedt regelmatig trainingen aan over gegevensbescherming.

Netwerk Informatiebeveiliging Privacy

Fg’ers en privacyverantwoordelijken van verschillende schoolbesturen hebben zich verenigd in het netwerk Informatiebeveiliging Privacy (IBP), een initiatief van Kennisnet, SIVON, PO-Raad en VO-raad. Zij delen hun kennis en toetsen samen overeenkomsten met techaanbieders. Als een overeenkomst slecht scoort, kunnen de besturen gezamenlijk in gesprek met die leverancier. Zo werden recent DPIA’s uitgevoerd naar vijf leerling­administratiesystemen, waaronder Parnassys en ESIS. Groepjes van vier hebben, ondersteund door een expert, de risico’s in kaart gebracht. Gillissen, lid van het netwerk: “Uit die vijf DPIA’s blijkt dat om de risico’s te beperken onderwijsinstelling én leverancier verschillende beheersmaatregelen moeten implementeren. Die zijn in de DPIA’s overzichtelijk op een rij gezet. Dit zijn trajecten die niet elke school of bestuur zou kunnen uitvoeren. Maar de kennis komt nu ter beschikking van alle onderwijsinstellingen.”

AVG

Basis voor de privacywetgeving is de Algemene Verordening Gegevensbescherming (AVG). “Een veelomvattende wet,” zegt Koster van Kennisnet. “Er zijn veel open normen, dat maakt de toepassing soms lastig. Maar een voordeel is dat de wet breed in te zetten is.” Op sommige gebieden zijn er nog wel onduidelijkheden, vindt Wannee. “Maar de AVG is pas in 2018 in werking getreden en de scherpe randjes moeten er nog af. Dat gebeurt door ervaring en (gerechtelijke) uitspraken. We komen er wel.”

Sociaal veilig

Als je kinderen leert dat de waarden van je school net zo goed gelden in de online omgeving, maak je die omgeving ook in sociaal opzicht veilig, zegt Jaco van den Dool, directeur van OBS De Pijlstaart in Vinkeveen. “Voor de jongeren van nu zit er bijna geen scheidslijn tussen de fysieke en de technologische wereld. Wij benadrukken dat onze gedragsregels ook online gelden. Naar elkaar luisteren, elkaar laten uitpraten, niemand uitsluiten: ook in situaties waar je elkaar niet in de ogen kunt kijken, moet je empathisch met elkaar omgaan. Die boodschap hebben wij ingebouwd in onze lessen mediawijsheid.”

Afhankelijker

Toezicht op sociale veiligheid is één aspect van de taak van bestuurders en schoolleiders op online-gebied. Daarnaast kunnen zij zorgen dat privacy en gegevensbescherming hoog op de agenda komen van hun hele organisatie. Het is hun taak om te zorgen dat hun medewerkers weten hoe ze op dit punt zorgvuldig kunnen werken en om waar nodig te investeren in blijvend bewustzijn. “De ict’ers en fg’ers die wij spreken zijn heel bevlogen, maar hebben vaak maar beperkt de tijd”, zegt Koster. Wannee vult aan: “Dit is ingewikkelde materie en scholen moeten vooral focussen op het geven van onderwijs. Je kunt overwegen om samen met andere scholen een externe aan te trekken. Als je een klein bestuur bent, kun je aspecten van de veiligheid eventueel samen met anderen oppakken.”

Samen sta je sterk, vindt ook Zintel van Kennisnet. “Als we met elkaar zien dat de risico’s verder zullen toenemen en het onderwijs alleen maar afhankelijker zal worden van ict, wat zijn dan de goede dingen om te doen? Die vraag moeten we samen beantwoorden.” _

Meer weten?

• Op aanpakibp.kennisnet.nl staat een overzicht van beveiligingsvraagstukken binnen de school en modeldocumenten

• Meer over het privacy-convenant met leveranciers: www.privacyconvenant.nl/

• De privacy-quickscan is te vinden via http://www.lesopafstand.nl/lesopafstand/privacy-en-beveiliging

Toolkit voor ethische vragen bij digitalisering

Digitalisering heeft impact op waarden als gelijkheid en autonomie. Kennisnet en de PO-raad hebben een toolkit ontwikkeld om het gesprek hierover te ondersteunen. Hierin zijn te vinden: online workshop Bloom (over kansen en risico’s digitalisering in onderwijs), een Ethiekkompas (in paar stappen antwoord op een ethische vraag) en een waardenkader (ter ondersteuning bij gesprekken over visies op digitalisering en waarden). De toolkit staat hier: www.kennisnet.nl/artikel/10885

Kader Primair
Dit artikel heeft in Kader Primair gestaan. AVS-leden ontvangen Kader Primair maandelijks op de mat. Nog geen lid? Bekijk hier eerder verschenen nummers, word lid en ontvang voortaan ook iedere maand een kersvers exemplaar in de brievenbus!

Gerelateerd nieuws