Dit artikel is onlangs gepubliceerd in het magazine ‘Achter de schermen’ van APS IT-diensten.
Digitalisering van het onderwijs is al jaren aan de gang, maar is door corona in een stroomversnelling geraakt. Bij het lesgeven maken leerkrachten steeds vaker gebruik van digitale tools. Dat brengt risico’s met zich mee. Volgens Tonny Plas, eigenaar van adviesbureau Privacy op School, moeten scholen zich bewuster zijn van deze risico’s, zodat ze zich er beter tegen kunnen wapenen.
Onlangs schreven onderwijsministers Slob en Van Engelshoven een brief aan de Tweede Kamer waarin zij hun zorgen uitten over de privacyrisico’s die gepaard gaan met het gebruik van Google-producten. Aanleiding hiervoor waren de resultaten van een Data Privacy Impact Assessment (DPIA) waar maar liefst acht hoge dataprotectierisico’s’ aan het licht kwamen. “Het onderwijs maakt veel gebruik van Google-producten”, zegt Plas. “Niet gek, want ze zijn gratis, gebruiksvriendelijk en goed. Er bestaan natuurlijk al langer zorgen over de manier waarop big tech-giganten als Google omgaan met onze gegevens. En die schaduwkant wordt nu belicht.”
Metadata
Google ziet zichzelf als enige verwerkingsverantwoordelijke voor metadata. Zij bepalen dus zelf voor welke doeleinden zij deze data gebruiken. Plas: “Dat betekent dus dat je als school helemaal geen zeggenschap meer hebt over je eigen data, terwijl je er wél verantwoordelijk voor bent dat er zorgvuldig met die data wordt omgegaan. Dat is absurd en daarom moet hierover een brede maatschappelijke discussie gevoerd worden. Bijvoorbeeld over hoe we dit in de toekomst anders kunnen regelen, zodat we minder afhankelijk zijn van de Googles van deze wereld. Daarvoor moeten we als maatschappij fors investeren in goede en betaalbare alternatieven voor het onderwijs. En moeten we nóg meer werk maken van bewustwording bij directies, schoolbesturen, medewerkers én kinderen over waarom het zo belangrijk is dat we veilig omgaan met onze gegevens.’
Werken aan bewustwording
Op scholen wordt veel informatie vastgelegd in systemen en daarmee vormen ze een aantrekkelijk doelwit voor criminelen. “Handel in data is big business”, zegt Plas. “Zorg dat je medewerkers zich hiervan bewust zijn. Dat begint al met de manier waarop je omgaat met wachtwoorden. Ik kom vaak op scholen. Als ik dan aan de kinderen vraag waar de juf haar wachtwoord bewaart, dan zegt de hele klas in koor: ‘Onder het toetsenbord!’. Herkenbaar, natuurlijk omdat het illustratief is voor de wijze waarop we in het algemeen met onze gegevens omgaan. Verder is het belangrijk om alert te zijn op phishing mails. Train jezelf om phishing mails te herkennen. Er zijn verschillende kenmerken waar je op kunt letten. Dat is niet eenvoudig, want de manier waarop phishing mails zijn opgesteld wordt steeds geraffineerder.”
Niet mailen, maar delen
Een andere quick-win is: niet mailen, maar delen. Plas: “Bewaar documenten en bestanden op één veilige plek en laat ze daar staan. In plaats van een document te kopiëren en als bijlage te versturen, kun je je documenten beter in een e-mail delen door middel van een linkje. Zo voorkom je dat een document snel vermenigvuldigt en er verschillende kopieën op plekken staan waar je er geen controle meer over hebt. In het verlengde hiervan, zie ik dat veel scholen allerlei informatie zowel op papier als digitaal bewaren. Dat is niet alleen dubbel werk, het is ook een extra risico. Eén digitale versie moet genoeg zijn. Verder wil ik een lans breken om altijd te werken met twee-factor-authenticatie. Dat is een eenvoudige manier om de toegang tot je systemen beter te beveiligen. Het is misschien een beetje omslachtig, maar ik zie dat steeds meer scholen op deze manier werken en dat is een goede zaak.”
Opgeruimd staat netjes
Verder ziet Plas nog wel een aantal uitdagingen waar scholen echt mee aan de slag moeten. “Scholen moeten een strenger autorisatiebeleid voeren, zodat veel duidelijker is wie welke rechten heeft. Het is logisch dat de leerkracht van een klas toegang heeft tot alle informatie in het leerlingvolgsysteem, maar waarom zouden onderwijsassistenten of invalleerkrachten diezelfde rechten hebben? Waar scholen ook mee aan de slag moeten, is de bewaartermijn van alle gegevens die door de jaren heen worden bijgehouden. Wij doen veel risicoanalyses op leerlingadministratiesystemen die van alles verzamelen en vastleggen. Probleem is echter dat veel van deze systemen niet ontworpen zijn om informatie te verwijderen. Inmiddels zijn alle systemen wel voorzien van updates waarmee dat wel kan, maar in de praktijk gebeurt het opschonen van informatie nog veel te weinig.”
Digitale vs. industriële revolutie
“Als we het hebben over de digitalisering van onze maatschappij, zie ik veel parallellen met de industrialisering. Toen werd er niet nagedacht over de schadelijke effecten voor het milieu. Bij automatisering zie ik hetzelfde gebeuren: enerzijds plukken we er de vruchten van, anderzijds wordt onze afhankelijkheid steeds groter. Niet alleen in het onderwijs, maar ook privé. We geven onze gegevens veel te makkelijk weg en vragen onszelf onvoldoende af aan wie we ze afstaan en wat zij ermee doen. Iedereen kent de advertenties die worden getoond naar aanleiding van jouw zoekopdrachten. Dat lijkt onschuldig en misschien zelfs handig, maar zo kan het dus ook gaan met het nieuws dat je voorgeschoteld krijgt. Zo kun je beeldvorming creëren en mensen beïnvloeden. Dan wordt het al heel snel, heel eng.”.