AP waarschuwt voor privacyrisico’s in het onderwijs

Logo Autoriteit Persoonsgegevens

Op 4 november 2021 trad de Autoriteit Persoonsgegevens (AP) naar buiten met 3 documenten: een analyse “Digitalisering in het onderwijs 2021” en twee brieven naar de betrokken ministers.

De AP signaleert drie belangrijke trends en risico’s:
monitoring van leerlingen en studenten;
afhankelijkheid van grote leveranciers;
meer uitwisseling van gegevens in samenwerkingsverbanden.   

In de brieven roept de AP de ministers op om als stelselverantwoordelijken voor het onderwijs een pakket aan maatregelen te nemen, zodat onderwijsinstellingen in de praktijk kunnen zorgen voor veilig onderwijs. De AP is van mening dat de reactie op deze brief nog onvoldoende duidelijk maakt hoe de ministers hier concreet invulling aan gaan geven. Het bericht en de publicaties zijn op de website van de Autoriteit Persoonsgegevens te vinden via deze link.

Het Veilig CloudVaardig project in retrospect.

Hoe het begon

Stefan Kooman (cloud specialist bij BIT) en Fred Hage (ICT-consultant bij de Rijksoverheid) hebben in oktober 2019 het initiatief genomen om een cloud gebaseerde omgeving (gebaseerd op o.a. Nextcloud en Moodle) voor het basisonderwijs in te richten en er subsidie bij het SIDN-fonds voor aan te vragen onder de naam Veilig CloudVaardig. Scholen stappen steeds vaker over op publieke educatieve clouddiensten, die gratis of met grote kortingen worden aangeboden aan het onderwijs. Aan dit soort clouddiensten kleven echter grote bezwaren, met name op privacygebied.

Stefan en Fred kwamen met het idee om een cloudomgeving te realiseren waar scholen zelf de baas blijven over de data. Het Veilig CloudVaardig project sloot goed aan op de missie die de werkgever van Stefan zich gesteld heeft en BIT in Ede ondersteunde al snel het project door virtuele machines, andere clouddiensten en vergaderfaciliteiten beschikbaar te stellen. Aan de hand van blogs in interviewstijl geven Stefan en Fred toelichting op het project, dat helaas de beoogde concrete doelstelling, minimaal 3 – 5 scholen die gebruik maken van een open source private cloud als leeromgeving, niet heeft mogen bereiken in 2020 of 2021.

Waarom zijn jullie begonnen met het project Veilig CloudVaardig?

Fred Hage: “In juli 2019 publiceerde Privacy Company drie hernieuwde onderzoeken (DPIA’s) voor de inkooporganisatie SLM Microsoft Rijk, die wilde weten of de producten die ze voor de rijksoverheid afnemen van Microsoft, intussen wel aan de privacywetgeving (AVG) voldeden. Er bleken zaken verbeterd, maar de conclusie was dat er nog steeds risico’s bestaan. Tevens moesten organisaties die niet tot de Rijksoverheid behoren en andere versies gebruiken dan de specifieke producten die Microsoft voor SLM-Rijk had aangepast, nog steeds rekening houden met hoge privacyrisico’s, zo viel te lezen. Dit betrof onder andere Office365. Ik verbaasde me erover dat intussen de (mede) door het Rijk betaalde ICT-ondersteuningsinstellingen voor het onderwijs, zoals Kennisnet en SURF, gewoon door bleven (en blijven) gaan met het aanbevelen van dit soort oplossingen voor gebruik op scholen, en dat er daarnaast vrijwel alleen closed source software werd (en nog steeds wordt) aanbevolen en verkocht door onderdeel SURFmarket (,nu SURF, zie verderop), ook als er goede open source alternatieven voor handen zijn. Het ‘pas toe of leg uit’-beleid van de overheid lijkt op geen enkele wijze nageleefd te worden door overheden zelf en blijkbaar ook niet in de onderwijswereld. Terwijl je daar toch juist zou moeten beginnen, met name educatief gezien. Het meest verbazingwekkende vond ik nog het NK Office -voor Office365 van Microsoft, niet Libre Office of Open Office- dat SURF in 2019 organiseerde voor kinderen vanaf 13 jaar, terwijl op dat moment Nederlandse ambtenaren vanwege genoemde DPIA er niet eens mee mochten werken. Waar zijn we in Nederland toch mee bezig?, dacht ik. Toen kwam Stefan langs met zijn jongste spruit en zei: ‘die gaat binnenkort ook naar school, maar wat doe je eraan?’”

Stefan Kooman: “De basisschool waar mijn kinderen naar toe gaan, is vorig jaar Chromebooks gaan inzetten voor het onderwijs. Je denkt op zo’n moment; “Wat houdt dat allemaal in?”. Ik was in die periode voor het hosten van mijn eigen data net overgestapt van Owncloud naar Nextcloud en had gezien dat je met de daarin geïntegreerde tool (Collabora Online) ook gezamenlijk on-line aan documenten als teksten en spreadsheets kunt werken. Vlak voor de herfstvakantie ging ik met mijn jongste zoon op de fiets naar een kinderboerderij en bracht ook een bezoek aan een oud-collega. Toen publieke cloud, onderwijs en privacy ter sprake kwamen, waren we het snel eens; we kunnen ons er lang over blijven verbazen, maar zolang er geen alternatieve cloudoplossing is voor scholen, verandert er zeker niets.”

“Zolang er geen alternatieve cloudoplossing is, verandert er zeker niets.”


Wat is het doel van dit project; wat willen jullie ermee bereiken?

FredHage vertelt: “Het is voornamelijk bedoeld als wake-up call. Om aan te kaarten dat er privacy issues spelen ten aanzien van online leren op het primair onderwijs (PO) en voortgezet onderwijs (VO). Dit is bij een beperkte groep mensen wel bekend, maar het grote publiek, ook de bestuurders en leraren in het onderwijs en de ouders, staan hier meestal niet bij stil. Ook in de professionele ICT-wereld, die het onderwijs ondersteunt en diensten op ICT-gebied levert, wordt als het over voldoen aan deze regels gaat, meestal klakkeloos verwezen naar de online teksten van de internetgiganten zelf over privacy, waarvan bekend is dat ze niet aan de EU-regels op dit gebied voldoen. De Nederlandstalige teksten zijn bovendien letterlijke vertalingen van een algemene verklaring gericht op de EU-regelgeving (GDPR), die geen rekening houden met specifieke nationale wetten, zoals de AVG in Nederland. Zelfs toen in juli 2020 het EU-VS Privacy Shield ongeldig werd verklaard, nu net één van de belangrijkste pijlers waarop die verklaringen over privacy van Google en Microsoft zich baseren, deden zowel de vanuit de overheid betaalde onderwijsondersteunde organisaties op ICT-gebied (SIVON, Kennisnet) aanvankelijk alsof hun neus bloedde.

We hopen te bereiken dat er aandacht komt voor online leeromgevingen die uiteindelijk wel volledig voldoen aan de Nederlandse privacy wetgeving (AVG) en het Open Source beleid. Naast privacy is data­soevereiniteit een belangrijk punt. We maken onszelf de laatste jaren meer en meer afhankelijk van een handjevol techgiganten. De data (en commerciële diensten daar omheen) worden veelal in de Verenigde Staten gehost en vallen onder Amerikaanse wetgeving. Inmiddels hebben we gezien wat voor een macht de Amerikaanse president heeft. Als je als land, om wat voor reden dan ook een conflict krijgt, zou de president als machts- /pressiemiddel kunnen kiezen voor het onmogelijk maken van toegang tot die data en diensten. Dit is geen sprookje, want het overkwam al gebruikers van Adobe Photoshop in Venezuela en GitHub gebruikers in o.a. Syrië en Iran. Wij vinden het daarom belangrijk dat deze dienst­verlening in eigen beheer en verwerking van privacy-gevoelige data het liefst in eigen land (of in ieder geval de Europese Unie) plaatsvindt. Al vanaf het begin betitelen we daarom ons Veilig CloudVaardig initiatief als de Gaia-X voor het onderwijs.”

Hoe hebben jullie het Veilig CloudVaardig project aangepakt?

VCV = Gaia-X voor onderwijs

Fred: “De subsidieaanvraag hebben we in twee weken gedaan, inclusief een videotrailer van 2 minuten. Het filmpje bleek bij de officiële aftrap van de projecten in de Call ‘Je Data de Baas’ erg te zijn ingeslagen en de hele sessie in Arnhem bij SIDN was zeer stimulerend. We waren wel uniek met ons project, maar stonden niet alleen in onze opvattingen! We hebben beiden geen uitgebreide ervaring met of contacten in het primair onderwijs. Daarin zat voor ons dus nog wel de uitdaging en zijn daarom op zoek gegaan naar partijen die betrokken zijn in het basisonderwijs in Nederland. We hebben de lokale basisscholen benaderd en gesprekken gevoerd met Kennisnet en SIVON . Hier hebben we onze ideeën voorgelegd, in de hoop dat zij met hun kennis en ervaring dit initiatief zouden willen steunen en samen met ons onderwijsinstellingen benaderen voor deelname. Beide organisaties vinden het een mooi initiatief, maar toch niet iets waar ze op dit moment zelf een actieve rol in willen spelen. Kennisnet wil vooral objectief zijn en (mag, naar eigen zeggen,) geen standpunt innemen. SIVON is voornamelijk een inkoopcoöperatie (voor de aangesloten scholen), waar Kennisnet bemensing en inhoudelijke ondersteuning voor levert.”

Ze vinden het project heel ambitieus, met name omdat het zich richt op het primair onderwijs en dit de meest ‘lastig te bedienen doelgroep’ is. Het primair onderwijs staat onder enorme werkdruk en heeft weinig tot geen tijd voor ICT-ondersteuning. Tevens wordt er in de meeste gevallen een alles-in-1 dienstverlening in de markt afgenomen. Dit betreft niet alleen het leveren van apparaten en het beheer ervan, maar ook de toegang tot internet en digitale (leer)middelen. Voor het Veilig CloudVaardig project ligt dat laatste niet in de scope. Ook zagen we ervan af om te proberen tablets mee te gaan leveren, hoewel Nextcloud had aangegeven dat ze Google wellicht zover zouden krijgen om Chromebooks te leveren waar je niet verplicht met een Google-account op hoeft in te loggen. Daarnaast kregen we de indruk dat privacy geen aandachtspunt is dat in het PO hoog bovenaan de lijst staat. Vrijwel jaarlijks monitort Kennisnet hoe het gesteld is met de informatiebeveiliging en privacy in het PO/VO/MBO. Daaruit blijkt dat beleidsmakers op scholen er wel mee bezig zijn, maar dat dit in mindere mate geldt voor leerkrachten en coördinatoren, die grotendeels dit beleid moeten uitvoeren. Scholen binnenhalen met een deeloplossing die voldoet aan privacywetgeving leek dus niet de juiste manier.

Daarnaast werd opgemerkt dat kinderen zichzelf wel snel alternatieve oplossingen eigen konden maken, maar dat dit niet altijd geldt voor de docent. En als de docent zich er niet comfortabel bij voelt, dan wordt het ook lastig lesgeven. We hebben daarom ruimschoots de tijd genomen (januari – maart 2020) om te brainstormen en scholen te benaderen. Geen van de scholen die we benaderd hebben was in de gelegenheid om aan dit project mee te werken. Ze vonden het bijvoorbeeld wel interessant, maar waren al een andere weg in geslagen, of konden er simpelweg geen tijd voor vrijmaken. Toen brak ook nog de Corona-crisis halverwege maart opeens in alle hevigheid uit, inclusief het sluiten van de scholen. We hebben toen bedacht dat we een ‘killer app’ nodig zouden hebben die zelf op Nextcloud draait als on-line lesprogramma en laat zien waarom juist daar en niet in de publieke cloud van een buiten­landse internetgigant. We kwamen uit op een lesprogramma over online privacy. Daar bleek amper nog aandacht aan te worden besteed in het kader van digitale vaardigheden. We hebben samenwerking gezocht met diverse bedrijven en stichtingen zoals Basicly.co en Waag, om daarmee samen dit lesprogramma te ontwikkelen, maar ook deze samenwerking kwam uiteindelijk niet tot stand.

We hebben ook twee Nextcloudomgevingen opgezet, eentje als uitprobeer/test-omgeving en eentje die zo productierijp als mogelijk is, voor het geval een school wilde beginnen ermee. Al snel bleek Nextcloud regelmatig wijzigingen door te voeren die veel meer waren dan reguliere upgrades, maar veel meer impact hadden. Het platform is sterk in ontwikkeling. Zo wijzigde opeens het default Office platform binnen Nextcloud weer terug naar Collobora Online.

Het SIDN-fonds heeft ons ondersteund

Met wie werken jullie samen?
Het SIDN-fonds heeft ons ondersteund met het toekennen van een subsidie en daarmee publiciteit. We zijn vooral techneuten en zijn daarom ook gaan nadenken over hoe, wat en waar we de omgevingen zouden willen hosten. Stefan Kooman: “Voor mij was die keuze snel gemaakt; ik wilde mijn werkgever BIT erbij betrekken. De mensen bij BIT en de visie die zij hebben sluit heel goed aan bij ons project. We hadden er dan ook niet veel moeite mee om ze te overtuigen ons te steunen. BIT doet dat onder andere door het beschikbaar stellen van de virtuele infrastructuur en het naastgelegen conferentiecentrum BIT-MeetMe. We hadden in het begin meteen ook al oud-collega Bart Geesink enthousiast gemaakt en die heeft ons onder andere geholpen door kritisch en pragmatisch te blijven denken. Bart werkt bij SURF, de coöperatie van MBO’s, hogescholen en universiteiten in Nederland die ICT-diensten ontwikkelt en exploiteert ten behoeve van onderzoek en onderwijs. Tot 1 januari 2021 bestond SURF uit 3 gespecialiseerde onderdelen: SURFnet, SURFmarket en SURFsara. Per 1 januari 2021 zijn deze onderdelen juridisch samengevoegd. Deze organisatie werkt steeds nauwer samen met Kennisnet, een direct door de overheid betaalde organisatie, die vergelijkbare diensten voor het primair en voortgezet onderwijs (PO en VO) verzorgt. SURF is sterk betrokken bij de onderhandelingen over privacy met Microsoft namens de hele onderwijssector. Direct ondersteund door Kennisnet en indirect door SURF wordt er sinds 2019 ook voor het PO en VO aan het opzetten van coöperatieve ICT-ondersteuning voor het PO en VO gewerkt onder de naam SIVON.

Tevens heeft José van Dijck, hoogleraar Media en digitale samenleving aan de Universiteit Utrecht, het VCV-initiatief genoemd tijdens het congres ‘OnderwijsInzicht’ dat Kennisnet, de PO-Raad en VO-raad, in samenwerking met SIVON, in 2020 organiseerde. Ook hebben we nuttige input gehad van Jos Poortvliet van Nextcloud, dat het open source private-cloudproduct ontwikkelt en Nederlandse partners van dit bedrijf. Toen het maar niet lukte om een school of instelling in Nederland mee te laten doen aan een VCV-pilot, hebben we ook niet meer de instellingen in het buitenland verder benaderd, waar Nextcloud al grootschalig in het onderwijs wordt toegepast.

Wat zijn de gevolgen van COVID-19 voor Veilig CloudVaardig?
Gelukkig hebben we er tot op heden zelf geen last van gehad, maar ons project heeft er wel zwaar onder te lijden. Kooman: “Zelf heb ik twee schoolgaande kinderen en dat betekende een enorme aanslag op de beschikbare hoeveelheid tijd.” Fred heeft daar minder last van gehad, maar kreeg in maart 2019 onverwacht grote en langdurige adviesprojecten te verzorgen voor de overheid, die ook nu nog veel van zijn tijd opeisen en mede door de Corona-crisis extra energie en nog meer tijd achter de computer vereisen. De beoogde en hard noodzakelijke uitbreiding van het team met vrijwilligers kwam mede door de lockdown niet van de grond.

Aan de andere kant heeft COVID-19 laten zien hoe belangrijk het is dat ook het primair onderwijs over een goed werkend online leerplatform beschikt. Het was (en is) duidelijk dat dit nog steeds niet overal het geval is. Ook in deze periode hebben we scholen benaderd met alternatieven voor Microsoft Teams, Google Meet, Zoom, etc. maar helaas zonder resultaat. Er wordt de voorkeur gegeven aan oplossingen of tools die ze al kennen of die geïntegreerd kunnen worden met vertrouwde omgevingen. Veelal oplossingen die al in gebruik zijn bij de docenten zelf of bij de bovenschoolse stichtingen en die door externe partijen worden ondersteund. Meer dan ooit was tijd een beperkende factor en dit is van de scholen uit dan ook goed te begrijpen. Het toont echter ook precies aan waar de schoen wringt; alom aanwezige technologieleveranciers zoals Google en Microsoft kunnen dankzij het grootschalige gebruik van hun systemen en platformen snel opschalen en marktaandeel winnen.”

Hoe zien jullie de toekomst voor Veilig CloudVaardig?
We hebben afgelopen jaar gezien dat het lastig is om voet aan de grond te krijgen in het PO met een ander model voor ICT/Cloud-ondersteuning, waar de scholen zelf tijd in moeten steken en niet naar externe partijen kan worden verwezen om die keuze te verantwoorden. Ouders lijken helemaal nog weinig in de melk te brokkelen te hebben over digitale platformen op school, maar het deel dat ongerustheid vertoont neemt nu wel toe. Zo lijkt de tijd de langzaam maar zeker rijp te worden voor een platform dat aan de ene kant een leeromgeving biedt en meteen meteen laat zien waarom privacy, security en open source samenhangen. Nog meer dan alleen een dubbelrol dus, maar een demo voor zijn eigen bestaansrecht en noodzaak. We voor zien namelijk in de maatschappij steeds meer aandacht ontstaan voor de platformisering ook in het onderwijs, en binnen de onderwijswereld daarnaast over de waarden waar digitalisering in het onderwijs aan zou moeten voldoen. Het gaat namelijk verder dan alleen informatieveiligheid en privacy. Een poll vanuit Veilig CloudVaardig op de LinkedIn-groep van Kennisnet voor ICT-professionals werd verwijderd door een beheerder, terwijl er alleen de vraag werd gesteld hoe belangrijk men het vond dat de telemetriedata die wordt verzonden niet in overeenstemming is met de AVG. Ook werd in de vraag verwezen naar het inmiddels ongeldig verklaarde Privacy Shield, en de motie Wiersma in de Tweede Kamer. Wel bleek dat voordat de enquête werd verwijderd, al bijna 50% van ‘de professionals’ die hadden gereageerd zich zorgen maakte!”

Ooit zal er ook door SIVON iets anders onder “Veilig Internet” worden verstaan, dan alleen de internetaansluiting

En hoe ziet VCV de toekomst in bredere zin, nu het project formeel gestopt is?
Ons project is subsidietechnisch en gezien de persoonlijke en professionele omstandigheden van de initiatiefnemers eigenlijk ten einde, maar de missie is nog lang niet volbracht. We zouden het liefst zien dat dit idee breder ondersteund zou worden, niet alleen in het onderwijsveld, maar ook bij de ouders en de kinderen en dat het zo een vervolg krijgt dat het verdient. Ooit zal ook een coöperatieve vereniging voor basisscholen en voortgezet onderwijs zoals SIVON onder “veilig internet” niet alleen de dataverbinding van het schoolpand verstaan, maar de complete digitale leeromgeving, daar zijn we van overtuigd! Aangezien BIT heeft aangeboden de voorzieningen gedurende minimaal drie jaar in stand te houden, hebben we vooralsnog de Nextcloud omgevingen, de website en het Twitteraccount nog in stand gehouden. Fred heeft als Computable Expert voor het tweede jaar op rij deelgenomen aan de jury van de Computable Awards en de ingezonden onderwijsprojecten streng op privacy-aspecten beoordeeld. En zo nu en dan gaat er nog een berichtje uit op Twitter of in de LinkedIn groep van onderwijs­professionals van Kennisnet. We waren ook blij dat er door het SIDNfonds werd ingezet op een tweede ronde van “Je data de baas”.

Ook zal ook wel weer eens een kritische blog in Computable verschijnen over privacy en het onderwijs in 2021 en erna en is ons verhaal intussen verschenen in Het Onderwijsblad. En er is nieuwe hoop: er is een groep ontstaan met vergelijkbare ideeën en idealen, vanuit bekende partijen waar we al mee in contact waren, zoals Freedom Internet en Waag, maar waar nu ook scholen bij zijn betrokken. We proberen onze ervaringen en wellicht voorzieningen met deze groep te delen en wie weet wat hier nog voor moois uit voortkomt! De toenemende maatschappelijke aandacht voor de macht en onze afhankelijkheid van de marktmodellen van de tech-giganten, zal dit zeker stimuleren. Internet wordt ook door de Verenigde Naties erkent als basisvoorziening. Dat Rusland ons land en de EU kan gijzelen bij stijgende prijzen voor aardgas op de wereldmarkt, leidt nog steeds tot grotere ophef, dan een marktmodel voor internet waarbij enorm grote buitenlandse bedrijven steeds meer en nauwkeuriger data nodig hebben om advertenties te kunnen verkopen. Maar het tij is wel aan het keren, laten we hopen ook snel voor de meest kwetsbare maatschappelijke sectoren, zoals het basisonderwijs in Nederland.

Eindelijk duidelijkheid: Google-cloud is niet geschikt voor het onderwijs, maar desondanks gedoogbeleid!

Vorig jaar, in juni 2020, blogden we al over de motie Wiersma in de Tweede Kamer. En eindelijk, na bijna een jaar is duidelijk dat we in 2019 niet voor niets met het Veilig CloudVaardig project zijn begonnen, omdat de twee meest gebruikte cloudplatformen die op in de Nederlandse scholen worden gebruikt van Microsoft en Google, niet aan de AVG (privacywetgeving) voldoen. De brief die de minister van Onderwijs op 1 maart 2021 naar de Tweede Kamer stuurde over de resulaten van de onderzoeken (DPIA’s), laat weinig ruimte voor twijfel: “Uit deze DPIA’s blijkt dat er privacyrisico’s zijn bij het gebruik van Google G Suite en G Suite for Education.” Lees meer over de bevindingen bij de DPIA’s in de weblog van de Privacy Company, die eerder ook de onderzoeken voor het Rijk naar de Microsoft cloudproducten uitvoerde.

SIVON en Kennisnet waren al lang op de hoogte

Zodra duidelijk werd dat we ondersteuning door het SIDNfonds zouden krijgen, hebben we SIVON al in december 2019 gevraagd of we op het OnderwijsInzicht congres dat ze in januari 2020 voor schoolbesturen en ICT-verantwoordelijken organiseerden, over ons toen net gestarte VeiligCloudVaardig (VCV) project mochten vertellen en er scholen vragen om mee te gaan doen aan ons project. We wilden natuurlijk graag aan andere ICT-ers uitleggen waarom we VCV gestart waren, omdat ook toen al duidelijk was dat er bij de doelgroep van het congres weinig bekend was over de privacyrisico’s bij de techgiganten. We waren er echter niet welkom. Gelukkig heeft professor José van Dijck ons project nog wel genoemd in haar “college” over de platformisering van het onderwijs.

We waren een paar weken later wel welkom voor een overleg in Zoetermeer. Dit gesprek verliep in een zeer prettige en positieve sfeer en hier bleek dat deze door de overheid betaalde onderwijskundige professionals wel degelijk op de hoogte waren van de privacygevaren van de cloudplatformen die in het Nederlands onderwijs steeds populairder worden. We werden ook gewaarschuwd dat het basisonderwijs nu net de allerlastigste groep zou zijn om met iets nieuws voor aan te komen op dit gebied.

Slecht signaal: continuïteit(sangst) belangrijker dan privacy

Ook toen in juli 2020 met het Schrems II-arrest, waar Google en Microsoft zich op beriepen als het over veilig verwerken van (privacygevoelige) gegevens gaat, volledig onderuit gehaald werd door het Europese Hof, hield de onderwijswereld zich stil. Veel te druk ook met #lesopafstand, Teams opschalen en andere Corona-ellende toen. En wat geven Surf, Kennisnet en SIVON ook nu weer een alarmerend slecht signaal af, door onderwijsinstellingen aan te raden gewoon door te gaan met het gebruik van Google Workspace for Education en alleen scholen die overwegen over te stappen op de Google cloud nu adviseren die beslissing nog even uit te stellen. De DPIA zelf laat er geen twijfel over bestaan dat op dit moment de wettelijke grondslag compleet ontbreekt voor alle data-inzameling die plaatsvindt. Dit geldt zowel voor de inhoud van de data zelf, als voor de verzamelde metadata.

De Corona-maatregelen lijken een stuk bedreigender voor de continuiteit van het onderwijs en veel schadelijker voor de geestelijke gezondheid van de leerlingen, dan scholen te adviseren zo snel mogelijk over te stappen op wel veilige open source alternatieven. En zo ook meteen te voldoen aan het pas-toe-of-leg-uit verplichting die voor de hele overheid geldt ten aanzien van Open Source. Komt de vrijheid van onderwijs daarmee in gevaar, nee toch?

Sprookjes bestaan nog

SIVON heeft zelfs het lef om net te doen alsof deze organisatie nu opeens de gedoodverfde vertegenwoordiger op privacygebied voor het basisonderwijs en VO zou zijn en is op haar website schoolbesturen gaan vragen een aanmeldformulier in te vullen, waarmee de school SIVON machtigt om namens haar het woord te voeren tegenover Google en Microsoft. Ze zijn er heilig van overtuigd dat ze met deze giganten tot overeenstemming zullen komen. Een beoogde termijn daarvoor wordt wijselijk niet eens genoemd.

Grootmoeder Google, wat fijn dat u privacy voorop stelt..

Zalvende woorden vanuit Google over hoeveel waarde ze wel niet hechten aan privacy, beveiliging en compliance en op een blog verschenen, een dag nadat de Tweede Kamer werd ingelicht, voeden dit waanbeeld. Je zou denken dat de kinderen in groep 1 allang niet meer in dit soort sprookjes geloven, maar blijkbaar worden schoolbesturen op dit gebied nog een stuk naïever ingeschat.

Tweede Kamer nu ook bezorgd over het voldoen van digitale leermiddelen aan de GDPR

De tekst van de motie luidt:

MOTIE VAN HET LID WIERSMA
Voorgesteld 16 juni 2020
De Kamer,
gehoord de beraadslaging,
constaterende dat scholen zelf een afweging mogen maken met welke partijen zij in zee gaan als het gaat om digitale leermiddelen en zij hiervoor logischerwijs veelal kiezen voor “gratis” producten;

constaterende dat er momenteel strenge Europese regels gelden die de privacy van leerlingen beschermen, maar dat het uiteindelijk de verantwoordelijkheid is van scholen en aanbieders om hier verder goede afspraken over te maken en deze in de praktijk te brengen;


van mening dat het niet wenselijk is om de verantwoordelijkheid van
dergelijke afspraken volledig bij scholen en aanbieders te beleggen;


verzoekt de regering, met de Autoriteit Persoonsgegevens in gesprek te gaan om te inventariseren welke digitale leermiddelen er momenteel door scholen worden gebruikt en of deze volledig voldoen aan de strenge Europese regels die gelden voor de privacy van leerlingen, en hierover de Kamer te informeren voor 1 oktober 2020,


en gaat over tot de orde van de dag.
Wiersma

SIDN Fonds steunt Veilig CloudVaardig!

SIDN Fonds steunt Veilig CloudVaardig!

Op 18 december maakte het SIDN Fonds bekend welke ingediende projecten zij gaat ondersteunen in het kader van de call “Je data de baas”. Ons voorstel Veilig CloudVaardig (VCV), een pionier-project waarin we een op Nextcloud en andere Open Source gebaseerde digitale leeromgeving voor scholen gaan opzetten volgens het Privacy by Design principe, is één van de projecten waar subsidie en andere ondersteuning aan is toegezegd.

Team VCV kijkt er naar uit om deel uit te gaan maken van deze gelijkgestemde community en natuurlijk vooral om zo met nog meer vertrouwen het eerste cloudgebaseerde onderwijsplatform in Nederland neer te kunnen zetten dat wel de privacy van de gebruikers respecteert . Kijk hier welke projecten nog meer worden gesteund in deze call van het SIDNfonds.

SIVON en Kennisnet onderzoeken gemeenschappelijk uitvoeren van DPIA’s voor publieke clouddiensten

Op 13 november 2019 maakt SIVON bekend dat ze samen met Kennisnet, de PO- en VO-raad en SURF de mogelijkheden om gezamelijk DPIA’s uit te voeren voor het inzetten van met name de “gratis” clouddiensten voor het onderwijs van Microsoft, Google en Apple wil gaan onderzoeken.

De voorzitter van SIVON stelt: “Met de verkenning naar DPIA’s willen we scholen ondersteunen bij hun informatiebeveiliging en privacy. Door de krachten te bundelen in SIVON, nemen we scholen werk uit handen. DPIA’s zijn namelijk erg kostbaar en arbeidsintensief, terwijl het belangrijk is om de privacyrisico’s in kaart te hebben. Alleen dan weten scholen waar ze aan toe zijn en kunnen ze doordachte keuzes maken.”

inzicht in de privacyrisico’s ontbreekt

Om de privacy van leerlingen optimaal te waarborgen, is het essentieel dat scholen inzicht krijgen in de risico’s bij het gebruik van producten en diensten van de grote technologiebedrijven. Na een DPIA gericht op Office 365 en Windows10 van Microsoft door Privacy Company eind 2018, in opdracht van NLM Rijk, is wel duidelijk geworden dat met name de versleutelde, niet te controleren en wel privacy gevoelige gegevens bevattende telemetriedata van dit soort cloudproducten niet aan de eisen van de AVG voldoen. We zijn erg benieuwd wanneer dit onderzoek gereed is en wat vervolgens die gemeenschappelijk uitgevoerde DPIA’s gaan opleveren voor de scholen.

logo SIVON

Missie en Visie

SIVON wil de schoolbesturen in Nederland zorgeloos laten bouwen op hoogwaardige, toekomstbestendige en voor onderwijsdoeleinden geschikte (ict-) kennis, producten en diensten waarmee ze hun onderwijsambities kunnen realiseren tegen een optimale prijs-kwaliteitverhouding.