Privacy company heeft in opdracht van SURF en SLM Rijk een DPIA (privacytoets) uitgevoerd op producten van Microsoft, waaronder Teams, Onedrive en SharePoint. Ook nu moeten – evenals bij Google – door scholen maatregelen genomen worden om deze risico’s te beperken. Binnenkort volgt er meer duidelijkheid over welke maatregelen dit zijn. Scholen staan wederom met hun rug tegen de muur, omdat de afhankelijkheid van Microsoft in het onderwijs groot is. Daarnaast rijst de vraag, what’s next? Hoe kunnen scholen hier het beste mee omgaan?
De geconstateerde risico’s bij Microsoft en Google beperken zich namelijk niet alleen tot Amerikaanse bedrijven zoals Google en Microsoft. Er zijn veel meer softwareleveranciers die gebruik maken van de datacenters in Amerika of andere derde landen die niet onder de AVG-wetgeving vallen. Ook al zijn de cloudleveranciers gevestigd in Nederland of binnen de Europese Economische Ruimte (EER), hun (sub)verwerkers – meestal hostingproviders – zijn dat vaak niet.
Weet u als schoolorganisatie welke leveranciers direct of indirect gegevens doorgeven buiten de EER? En weet u welke gegevens dit betreft?
Dit kunt u alleen weten als u goed bent geïnformeerd door uw leverancier en met deze leverancier een goede en volledige verwerkersovereenkomst hebt afgesloten.
Een ander risico is het onvoldoende kunnen uitoefenen van controle op het verwerken (analyseren) van data over het gebruik en over de gebruikers van een clouddienst (telemetrie* en profiling** ). Deze data is relevant voor het verbeteren, maar ook voor het ontwikkelen of ondersteunen van nieuwe of andere producten en diensten. Waar ligt de grens voor het analyseren en hergebruik van deze data? De belangen van de leverancier en die van de school staan hierbij op gespannen voet met elkaar. Dat geldt zeker voor Microsoft en Google, maar het is inherent aan het ontwikkelen en aanbieden van software door commerciële bedrijven. Dit vraagt wederom om goede afspraken met cloudleveranciers.
De hierboven genoemde risico’s zijn niet alleen voorbehouden aan Google en Microsoft, maar hebben ook te maken met de manier waarop we gebruik maken van ICT. Scholen zijn steeds afhankelijker geworden van allerlei clouddiensten. Waar vroeger het ICT-beheer was belegd bij één partij, hebben scholen nu met meerdere cloudleveranciers te maken die continue doorontwikkelen om hun product beter te maken. De software van gisteren is vandaag alweer verouderd.
Proces inrichten met leveranciers, ontzorgen van scholen
Scholen moeten dus met de leveranciers een proces gaan inrichten om informatiebeveiliging en privacybescherming goed te regelen. Dit is echter geen eenmalige, maar een structurele exercitie. Scholen hebben hiervoor doorgaans onvoldoende kennis en middelen. Dat geldt ook voor het doorvoeren van allerlei technische instellingen die nu opgelegd worden.
Stel je voor dat je een auto koopt, dan zou het toch vreemd zijn als je als consument allerlei instellingen zelf nog moet aanpassen of controleren, voordat je de weg op mag? Gelukkig hebben we dit in Nederland inmiddels goed gereguleerd. Laten we dit ook doen voor de toegang tot de digitale snelweg…
Hiervoor moet in de nabije toekomst in het onderwijs worden bezien hoe we het gesprek tussen scholen en leveranciers over veilige cloudomgevingen en veilige digitale leermiddelen nog beter kunnen organiseren. Hierbij moeten individuele scholen zo veel mogelijk worden ontlast. Initiatieven zoals SURF, SIVON en Edu-K zouden hierbij een belangrijke bepalende en ontzorgende rol dienen te spelen.
Uitkomsten DPIA Microsoft
Lees hier alles over de uitkomsten van de DPIA op Microsoft.
Checklist
Met deze checklist kunnen scholen met de te nemen maatregelen voor Microsoft aan de slag. Uiteraard zullen we jullie hierbij evenals bij Google weer ondersteunen.
*Telemetrie = De overdracht van gegevens voor analysedoeleinden
**Profiling = Het veralgemeniseren van gegevens over een persoon tot profielen met bepaalde kenmerken