Home Thema's 2. Beveiliging en privacy “Privacybewustzijn is de sleutel”
2. Beveiliging en privacy

“Privacybewustzijn is de sleutel”

privacybewustzijn
Achtergrond

Juist in deze tijden van afstandsonderwijs is privacybewustzijn belangrijker dan ooit. Maar hoe gaan scholen daar in de praktijk eigenlijk mee om? Privacy officer André Poot van de stichting Christelijk Voortgezet Onderwijs Alblasserwaard Vijfheerenlanden vertelt wat zij doen om de privacy van docenten en leerlingen te beschermen en ook hoe verdraaid moeilijk dat soms is.

Volgens André Poot komt het uitwisselen van persoonsgegevens op een onveilige manier regelmatig voor in de wereld in het onderwijs. “Hoe vaak worden gegevens van leerlingen niet even in een mailtjes gezet en rondgestuurd? Terwijl dat eigenlijk niet de bedoeling is, omdat e-mailen helemaal niet zo veilig is. Op het gebied van informatiebeveiliging en privacy hebben we nog een lange weg te gaan. Wél heb ik sterk de indruk dat de bewustwording omtrent dit onderwerp gedurende de lockdown is toegenomen.”

Veilig werken

Tijdens de eerste lockdown halverwege maart vorig jaar, werden docenten gedwongen om letterlijk van de één op de andere dag hun onderwijs digitaal vorm te geven. Poot: “Binnen onze scholen hebben wij richtlijnen opgesteld en hameren we voortdurend op het gebruik van veilige softwarepakketten. Zo gebruiken we onder meer het leerlinginformatiesysteem Somtoday, Microsoft Teams en met LessonUp kunnen docenten lessen vormgeven en toetsen. Verder zijn we ook heel duidelijk in wat we niet gebruiken, zoals Zoom bijvoorbeeld.”

Check, dubbelcheck

De overgrote meerderheid van de docenten maakt volgens Poot gebruik van de software die de school aanbeveelt. “Er blijft echter altijd een groep docenten die in hun ijver, enthousiasme of onvrede over de bovengenoemde software zélf gaan shoppen op internet. Als docenten andere software willen gebruiken, is de procedure dat ze dat altijd eerst voorleggen aan mij als privacy officer. Ik doe dan een zogeheten Data Protection Impact Assessment (DPIA), dit is een instrument om vooraf de privacy-risico’s van een gegevensverwerking in kaart te brengen. Ook controleer ik of er een verwerkersovereenkomst nodig is of niet. In een verwerkersovereenkomst leggen we vast dat het softwarebedrijf met wie wij in zee gaan zorgvuldig omgaat met de persoonsgegevens die zij verzamelen.”

“Er blijft een groep docenten die in hun ijver, enthousiasme of onvrede over software zélf gaan shoppen op internet. Als docenten andere software willen gebruiken, voer ik altijd een zogeheten Data Protection Impact Assessment (DPIA) uit”

Verwerkersovereenkomsten

Bij het controleren van de verwerkersovereenkomsten, loopt Poot regelmatig tegen problemen aan. “Het probleem is dat de verwerkersovereenkomsten die ik onder ogen krijg, mij zelden tot nooit een geruststellend gevoel geven. Soms gaat het om een product of dienst waarvoor helemaal geen verwerkersovereenkomst nodig is. Of men gebruikt de modelovereenkomst van het privacyconvenant terwijl het niet om een digitaal leermiddel gaat.”

Poot vervolgt: “Wat het meest voorkomt is dat bijlagen bij de overeenkomst slechts gedeeltelijk of zelfs helemaal niet zijn ingevuld. Als ik dan de telefoon pak en de leverancier om opheldering vraag, krijg ik te horen dat ik de eerste ben die hierover klaagt. Iedereen tekent braaf bij het kruisje. En dat is kwalijk want als het misgaat heb je niets aan een onjuiste verwerkersovereenkomst.”

EU vs. VS

Het probleem is dat de materie vaak complex en weinig transparant is. Poot: “Als het gaat over privacy doe je er verstandig aan om de kleine lettertjes goed te lezen. Zo kreeg ik laatst het verzoek van een docent om een bepaald softwarepakket aan te schaffen. Het leek te gaan om een leverancier uit de EU, maar bij het bestuderen van de kleine lettertjes bleek het tóch te gaan om een Amerikaans bedrijf.”

“Dan gaan bij mij de alarmbellen rinkelen. Want de EU en de Verenigde Staten hebben een moeizame relatie als het gaat om bescherming van persoonsgegevens. Het Safe Harbor-verdrag, dat de EU en de VS met elkaar hadden afgesloten om de privacy van EU-burgers te waarborgen, is in 2016 vervangen door het EU-VS- Privacyshield. Maar ook het EU-VS-Privacyshield is in 2020 door het Europees Hof van Justitie ongeldig verklaard. Dat betekent dat er op dit moment geen actief verdrag is dat de privacy-rechten van Europese burgers in de VS beschermt.”

Risico’s rondom persoonsgegevens

De risico’s die docenten en leerlingen lopen als er onzorgvuldig met hun persoonsgegevens wordt omgegaan kunnen groot zijn. “Je gegevens kunnen worden doorverkocht aan commerciële partijen die je dan vervolgens actief benaderen”, zegt Poot. “Wat ook zeer kwalijk is, is dat leerlingen op basis van de antwoorden die zij in een toets geven bijvoorbeeld geprofileerd worden. Ze krijgen dan een labeltje opgeplakt en wie weet wat daar verder mee gebeurt? Verder komt het ook regelmatig voor dat leveranciers hun data niet goed beschermen. Als ze dan gehackt worden, dan kunnen criminelen de e-mailadressen van docenten en leerlingen bijvoorbeeld gebruiken om phishing-mails rond te sturen.”

“Wat ook zeer kwalijk is, is dat leerlingen op basis van de antwoorden die zij in een toets geven bijvoorbeeld geprofileerd worden. Ze krijgen dan een labeltje opgeplakt en wie weet wat daar verder mee gebeurt?”

Proctoring: toets afnemen met digitaal toezicht

Afstandsonderwijs is per definitie al een inbreuk op je privacy. Ook dat is een onderwerp waar scholen mee te maken hebben. Poot: “Docenten en leerlingen werken vanuit huis, en dat is best ingrijpend. Wij hebben ouders daarom allerlei tips gestuurd om afstandsonderwijs zo veilig mogelijk in te vullen. Idealiter zorg je voor een rustige omgeving, zonder al te veel afleiding van ouders of broertjes en zusjes. Maar dat is natuurlijk niet voor iedereen weggelegd.”

Ook bij online toetsen is privacybewustzijn belangrijk. Tot op heden hebben we voor de bovenbouw alle toetsen nog op school kunnen geven waarbij we de RIVM-richtlijnen natuurlijk niet uit het oog verliezen. Onze voorkeur gaat uit naar toetsen op school. Wel is het zo dat in de werkgroep IBP van de VO-raad waar ik deel van uitmaak, door één van de leden de vraag is neergelegd hoe er binnen de werkgroep tegen proctoring wordt aangekeken.”

Mediawijsheid en privacybewustzijn

De komende jaren zal er technisch van alles mogelijk worden. De scheidslijn tussen werk, school of huis dreigt daarmee steeds meer te vervagen. Volgens Poot moet het privacybewustzijn van docenten en leerlingen daarom verder omhoog. Dat is de sleutel. We kunnen technisch van alles verzinnen, maar het begint ermee dat jij zorgvuldig omgaat met je eigen persoonsgegevens. Daarom juich ik het ontzettend toe dat er op onze scholen les wordt gegeven in mediawijsheid. Dat mag wat mij betreft een standaard vak worden op alle scholen.”

Delen:
Trending topics
Onderwijsstandpunten 14 grootste politieke partijen
Stem voor goed onderwijs: dit moet je weten
Schrijf je in voor onze Breens Nieuwsbrief

Schrijf je in voor onze Breens Nieuwsbrief

Ontvang wekelijks kennis en inspiratie over digitalisering en innovatie in het onderwijs in je mailbox.

Door op de button te klikken, meld je je aan voor de nieuwsbrief en ga je akkoord met de voorwaarden van Breens.

Bedankt voor je aanmelding voor de nieuwsbrief van Breens.nl, het kennis- en inspiratieplatform voor onderwijsprofessionals. Je ontvangt binnenkort de eerstvolgende editie in je mailbox.  We wensen je veel leesplezier! Het team van Breens.nl