Onderwijssoftware krijgt zelfde Microsoftstandaarden als het Rijk

De AVG is sinds 25 mei 2018 van kracht, maar dit betekent niet dat de producten van alle softwareleveranciers hier ook compleet mee in lijn zijn. Om ervoor te zorgen dat scholen met AVG-compliant producten van Microsoft kunnen werken, neemt het onderwijsconsortium –bestaande uit SLBdiensten, SURF en APS IT-diensten – deel aan de Microsoft Klantenraad. Dit doet het consortium samen met onder meer het ministerie van Justitie en Veiligheid en de VNG. Jan Bakker, bestuurslid van SURF, gaat in op het belang van deze Klantenraad.

Het Rijk, de Nederlandse onderwijsinstellingen en de gemeenten hebben ieder hun eigen contracten en commerciële afspraken met softwareleveranciers zoals Microsoft. Maar er zijn ook zaken die op alle drie de (semi)overheidsbranches van toepassing zijn. “Zoals privacyvraagstukken en specifieker het voldoen aan de Algemene verordening gegevensbescherming (AVG, red.)”, legt Jan Bakker uit. “Daarom is er begin dit jaar, met name op initiatief van het ministerie van Justitie en Veiligheid, een Microsoft Klantenraad ingesteld. Samen met andere partijen uit het publieke domein, waaronder de Vereniging van Nederlandse Gemeenten (VNG, red.), maakt ook het onderwijsconsortium deel uit van deze Klantenraad.”

Het mes snijdt binnen de Klantenraad aan twee kanten: de deelnemende partijen staan samen sterk en communiceren één uniforme boodschap richting Microsoft, terwijl Microsoft één contactpunt heeft voor specifieke thema’s. Het belang hiervan komt weer samen rondom de AVG: iets waar het Rijk al langer met Microsoft over in gesprek is. Bakker: “Het Strategisch Leveranciersmanagement Microsoft Rijk (SLM Microsoft Rijk) is het aanspreekpunt voor Microsoft vanuit het Rijk. Aan de hand van een Data Privacy Impact Assessment (DPIA, red.) constateerde zij in 2018 dat bepaalde Microsoftproducten niet strookten met de bepalingen van de AVG. Daarop is vanuit het Rijk actie ondernomen, met resultaat.”

“Dat het Rijk en het onderwijs straks dezelfde privacystandaarden hanteren, geeft veel onderwijsinstellingen een fijn gevoel”

In 2019 zijn diverse technische verbeteringen doorgevoerd, waardoor Office ProPlus en ook Windows 10 Enterprise beter aan de meest recente privacywetgeving voldoen. Zo zijn er nu instellingsmogelijkheden voor beheerders om de verzamelde gegevens tot een minimum te beperken. Dit moet contractueel echter nog wel worden afgerond. “Heel mooi dat dit voor het Rijk werd geregeld, maar als Klantenraad hebben wij aangegeven dat dit ook voor de andere in de raad vertegenwoordigde sectoren moest gelden”, geeft Bakker aan. Microsoft bleek hier gevoelig voor. “Onze juristen kijken nu naar aanvullingen op onze overeenkomst met Microsoft, om ervoor te zorgen dat de door deze partij doorgevoerde verbeteringen ook binnen het Nederlandse onderwijs geïmplementeerd kunnen worden.”

In de praktijk

Bakker benadrukt dat het hierbij niet alleen om papieren aanpassingen gaat. “De routering van de data verandert inderdaad.” Het feit dat het Rijk en het onderwijs straks dezelfde privacystandaarden hanteren, geeft veel onderwijsinstellingen een fijn gevoel. “Dat je een AVG-compliant IT-infrastructuur hebt waar ook het ministerie van Justitie en Veiligheid zijn stempel op heeft gezet, wekt veel vertrouwen.”

Nu is het aan de scholen zelf om de Microsoftproducten op de juiste wijze te implementeren. “Ook de allermooiste technologische toepassingen kunnen een bron van datalekken zijn. Daarom is juist de implementatie de sleutel om te voldoen aan wet- en regelgeving. Hiervoor moeten scholen wel over de juiste kennis en ervaring beschikken.” SURF, SLBdiensten en APS IT-diensten staan de onderwijsinstellingen hierin bij.

“Ook de allermooiste technologische toepassingen kunnen een bron van datalekken zijn”

Auditrechten

Een ander belangrijk punt wat het onderwijsconsortium via de Klantenraad van Microsoft wil regelen, zijn de auditrechten. “Microsoft acht het niet wenselijk wanneer, naast het Rijk, ook scholen en gemeenten ieder apart audits uit gaan voeren, om te testen of de Microsoftproducten en -dienstverlening inderdaad voldoen aan wet- en regelgeving.” Als belangenbehartiger van de onderwijsinstellingen is het ook voor het onderwijsconsortium efficiënter om audits gemeenschappelijk uit te voeren. “Ik verwacht dan ook dat we hier op korte termijn afspraken over kunnen maken vanuit de Microsoft Klantentraad.”

Op de vraag of er een vergelijkbare aanpak richting andere vendoren zoals Google in het verschiet ligt, geeft Bakker aan: “De samenwerking met het Rijk smaakt naar meer. Het is dus aannemelijk dat een partij als Google op korte termijn ook in beeld komt.” Volgens hem zijn dit echter geen nationale kwesties. “Uiteindelijk dienen onderwerpen zoals privacy op Europees niveau geborgd te zijn en zou je je hier als eindgebruiker eigenlijk niet druk over moeten maken. De Nederlandse Autoriteit Persoonsgegevens is hierover dan ook in gesprek met de European Data Protection Board.”