Het Veilig CloudVaardig project in retrospect.

Hoe het begon

Stefan Kooman (cloud specialist bij BIT) en Fred Hage (ICT-consultant bij de Rijksoverheid) hebben in oktober 2019 het initiatief genomen om een cloud gebaseerde omgeving (gebaseerd op o.a. Nextcloud en Moodle) voor het basisonderwijs in te richten en er subsidie bij het SIDN-fonds voor aan te vragen onder de naam Veilig CloudVaardig. Scholen stappen steeds vaker over op publieke educatieve clouddiensten, die gratis of met grote kortingen worden aangeboden aan het onderwijs. Aan dit soort clouddiensten kleven echter grote bezwaren, met name op privacygebied.

Stefan en Fred kwamen met het idee om een cloudomgeving te realiseren waar scholen zelf de baas blijven over de data. Het Veilig CloudVaardig project sloot goed aan op de missie die de werkgever van Stefan zich gesteld heeft en BIT in Ede ondersteunde al snel het project door virtuele machines, andere clouddiensten en vergaderfaciliteiten beschikbaar te stellen. Aan de hand van blogs in interviewstijl geven Stefan en Fred toelichting op het project, dat helaas de beoogde concrete doelstelling, minimaal 3 – 5 scholen die gebruik maken van een open source private cloud als leeromgeving, niet heeft mogen bereiken in 2020 of 2021.

Waarom zijn jullie begonnen met het project Veilig CloudVaardig?

Fred Hage: “In juli 2019 publiceerde Privacy Company drie hernieuwde onderzoeken (DPIA’s) voor de inkooporganisatie SLM Microsoft Rijk, die wilde weten of de producten die ze voor de rijksoverheid afnemen van Microsoft, intussen wel aan de privacywetgeving (AVG) voldeden. Er bleken zaken verbeterd, maar de conclusie was dat er nog steeds risico’s bestaan. Tevens moesten organisaties die niet tot de Rijksoverheid behoren en andere versies gebruiken dan de specifieke producten die Microsoft voor SLM-Rijk had aangepast, nog steeds rekening houden met hoge privacyrisico’s, zo viel te lezen. Dit betrof onder andere Office365. Ik verbaasde me erover dat intussen de (mede) door het Rijk betaalde ICT-ondersteuningsinstellingen voor het onderwijs, zoals Kennisnet en SURF, gewoon door bleven (en blijven) gaan met het aanbevelen van dit soort oplossingen voor gebruik op scholen, en dat er daarnaast vrijwel alleen closed source software werd (en nog steeds wordt) aanbevolen en verkocht door onderdeel SURFmarket (,nu SURF, zie verderop), ook als er goede open source alternatieven voor handen zijn. Het ‘pas toe of leg uit’-beleid van de overheid lijkt op geen enkele wijze nageleefd te worden door overheden zelf en blijkbaar ook niet in de onderwijswereld. Terwijl je daar toch juist zou moeten beginnen, met name educatief gezien. Het meest verbazingwekkende vond ik nog het NK Office -voor Office365 van Microsoft, niet Libre Office of Open Office- dat SURF in 2019 organiseerde voor kinderen vanaf 13 jaar, terwijl op dat moment Nederlandse ambtenaren vanwege genoemde DPIA er niet eens mee mochten werken. Waar zijn we in Nederland toch mee bezig?, dacht ik. Toen kwam Stefan langs met zijn jongste spruit en zei: ‘die gaat binnenkort ook naar school, maar wat doe je eraan?’”

Stefan Kooman: “De basisschool waar mijn kinderen naar toe gaan, is vorig jaar Chromebooks gaan inzetten voor het onderwijs. Je denkt op zo’n moment; “Wat houdt dat allemaal in?”. Ik was in die periode voor het hosten van mijn eigen data net overgestapt van Owncloud naar Nextcloud en had gezien dat je met de daarin geïntegreerde tool (Collabora Online) ook gezamenlijk on-line aan documenten als teksten en spreadsheets kunt werken. Vlak voor de herfstvakantie ging ik met mijn jongste zoon op de fiets naar een kinderboerderij en bracht ook een bezoek aan een oud-collega. Toen publieke cloud, onderwijs en privacy ter sprake kwamen, waren we het snel eens; we kunnen ons er lang over blijven verbazen, maar zolang er geen alternatieve cloudoplossing is voor scholen, verandert er zeker niets.”

“Zolang er geen alternatieve cloudoplossing is, verandert er zeker niets.”


Wat is het doel van dit project; wat willen jullie ermee bereiken?

FredHage vertelt: “Het is voornamelijk bedoeld als wake-up call. Om aan te kaarten dat er privacy issues spelen ten aanzien van online leren op het primair onderwijs (PO) en voortgezet onderwijs (VO). Dit is bij een beperkte groep mensen wel bekend, maar het grote publiek, ook de bestuurders en leraren in het onderwijs en de ouders, staan hier meestal niet bij stil. Ook in de professionele ICT-wereld, die het onderwijs ondersteunt en diensten op ICT-gebied levert, wordt als het over voldoen aan deze regels gaat, meestal klakkeloos verwezen naar de online teksten van de internetgiganten zelf over privacy, waarvan bekend is dat ze niet aan de EU-regels op dit gebied voldoen. De Nederlandstalige teksten zijn bovendien letterlijke vertalingen van een algemene verklaring gericht op de EU-regelgeving (GDPR), die geen rekening houden met specifieke nationale wetten, zoals de AVG in Nederland. Zelfs toen in juli 2020 het EU-VS Privacy Shield ongeldig werd verklaard, nu net één van de belangrijkste pijlers waarop die verklaringen over privacy van Google en Microsoft zich baseren, deden zowel de vanuit de overheid betaalde onderwijsondersteunde organisaties op ICT-gebied (SIVON, Kennisnet) aanvankelijk alsof hun neus bloedde.

We hopen te bereiken dat er aandacht komt voor online leeromgevingen die uiteindelijk wel volledig voldoen aan de Nederlandse privacy wetgeving (AVG) en het Open Source beleid. Naast privacy is data­soevereiniteit een belangrijk punt. We maken onszelf de laatste jaren meer en meer afhankelijk van een handjevol techgiganten. De data (en commerciële diensten daar omheen) worden veelal in de Verenigde Staten gehost en vallen onder Amerikaanse wetgeving. Inmiddels hebben we gezien wat voor een macht de Amerikaanse president heeft. Als je als land, om wat voor reden dan ook een conflict krijgt, zou de president als machts- /pressiemiddel kunnen kiezen voor het onmogelijk maken van toegang tot die data en diensten. Dit is geen sprookje, want het overkwam al gebruikers van Adobe Photoshop in Venezuela en GitHub gebruikers in o.a. Syrië en Iran. Wij vinden het daarom belangrijk dat deze dienst­verlening in eigen beheer en verwerking van privacy-gevoelige data het liefst in eigen land (of in ieder geval de Europese Unie) plaatsvindt. Al vanaf het begin betitelen we daarom ons Veilig CloudVaardig initiatief als de Gaia-X voor het onderwijs.”

Hoe hebben jullie het Veilig CloudVaardig project aangepakt?

VCV = Gaia-X voor onderwijs

Fred: “De subsidieaanvraag hebben we in twee weken gedaan, inclusief een videotrailer van 2 minuten. Het filmpje bleek bij de officiële aftrap van de projecten in de Call ‘Je Data de Baas’ erg te zijn ingeslagen en de hele sessie in Arnhem bij SIDN was zeer stimulerend. We waren wel uniek met ons project, maar stonden niet alleen in onze opvattingen! We hebben beiden geen uitgebreide ervaring met of contacten in het primair onderwijs. Daarin zat voor ons dus nog wel de uitdaging en zijn daarom op zoek gegaan naar partijen die betrokken zijn in het basisonderwijs in Nederland. We hebben de lokale basisscholen benaderd en gesprekken gevoerd met Kennisnet en SIVON . Hier hebben we onze ideeën voorgelegd, in de hoop dat zij met hun kennis en ervaring dit initiatief zouden willen steunen en samen met ons onderwijsinstellingen benaderen voor deelname. Beide organisaties vinden het een mooi initiatief, maar toch niet iets waar ze op dit moment zelf een actieve rol in willen spelen. Kennisnet wil vooral objectief zijn en (mag, naar eigen zeggen,) geen standpunt innemen. SIVON is voornamelijk een inkoopcoöperatie (voor de aangesloten scholen), waar Kennisnet bemensing en inhoudelijke ondersteuning voor levert.”

Ze vinden het project heel ambitieus, met name omdat het zich richt op het primair onderwijs en dit de meest ‘lastig te bedienen doelgroep’ is. Het primair onderwijs staat onder enorme werkdruk en heeft weinig tot geen tijd voor ICT-ondersteuning. Tevens wordt er in de meeste gevallen een alles-in-1 dienstverlening in de markt afgenomen. Dit betreft niet alleen het leveren van apparaten en het beheer ervan, maar ook de toegang tot internet en digitale (leer)middelen. Voor het Veilig CloudVaardig project ligt dat laatste niet in de scope. Ook zagen we ervan af om te proberen tablets mee te gaan leveren, hoewel Nextcloud had aangegeven dat ze Google wellicht zover zouden krijgen om Chromebooks te leveren waar je niet verplicht met een Google-account op hoeft in te loggen. Daarnaast kregen we de indruk dat privacy geen aandachtspunt is dat in het PO hoog bovenaan de lijst staat. Vrijwel jaarlijks monitort Kennisnet hoe het gesteld is met de informatiebeveiliging en privacy in het PO/VO/MBO. Daaruit blijkt dat beleidsmakers op scholen er wel mee bezig zijn, maar dat dit in mindere mate geldt voor leerkrachten en coördinatoren, die grotendeels dit beleid moeten uitvoeren. Scholen binnenhalen met een deeloplossing die voldoet aan privacywetgeving leek dus niet de juiste manier.

Daarnaast werd opgemerkt dat kinderen zichzelf wel snel alternatieve oplossingen eigen konden maken, maar dat dit niet altijd geldt voor de docent. En als de docent zich er niet comfortabel bij voelt, dan wordt het ook lastig lesgeven. We hebben daarom ruimschoots de tijd genomen (januari – maart 2020) om te brainstormen en scholen te benaderen. Geen van de scholen die we benaderd hebben was in de gelegenheid om aan dit project mee te werken. Ze vonden het bijvoorbeeld wel interessant, maar waren al een andere weg in geslagen, of konden er simpelweg geen tijd voor vrijmaken. Toen brak ook nog de Corona-crisis halverwege maart opeens in alle hevigheid uit, inclusief het sluiten van de scholen. We hebben toen bedacht dat we een ‘killer app’ nodig zouden hebben die zelf op Nextcloud draait als on-line lesprogramma en laat zien waarom juist daar en niet in de publieke cloud van een buiten­landse internetgigant. We kwamen uit op een lesprogramma over online privacy. Daar bleek amper nog aandacht aan te worden besteed in het kader van digitale vaardigheden. We hebben samenwerking gezocht met diverse bedrijven en stichtingen zoals Basicly.co en Waag, om daarmee samen dit lesprogramma te ontwikkelen, maar ook deze samenwerking kwam uiteindelijk niet tot stand.

We hebben ook twee Nextcloudomgevingen opgezet, eentje als uitprobeer/test-omgeving en eentje die zo productierijp als mogelijk is, voor het geval een school wilde beginnen ermee. Al snel bleek Nextcloud regelmatig wijzigingen door te voeren die veel meer waren dan reguliere upgrades, maar veel meer impact hadden. Het platform is sterk in ontwikkeling. Zo wijzigde opeens het default Office platform binnen Nextcloud weer terug naar Collobora Online.

Het SIDN-fonds heeft ons ondersteund

Met wie werken jullie samen?
Het SIDN-fonds heeft ons ondersteund met het toekennen van een subsidie en daarmee publiciteit. We zijn vooral techneuten en zijn daarom ook gaan nadenken over hoe, wat en waar we de omgevingen zouden willen hosten. Stefan Kooman: “Voor mij was die keuze snel gemaakt; ik wilde mijn werkgever BIT erbij betrekken. De mensen bij BIT en de visie die zij hebben sluit heel goed aan bij ons project. We hadden er dan ook niet veel moeite mee om ze te overtuigen ons te steunen. BIT doet dat onder andere door het beschikbaar stellen van de virtuele infrastructuur en het naastgelegen conferentiecentrum BIT-MeetMe. We hadden in het begin meteen ook al oud-collega Bart Geesink enthousiast gemaakt en die heeft ons onder andere geholpen door kritisch en pragmatisch te blijven denken. Bart werkt bij SURF, de coöperatie van MBO’s, hogescholen en universiteiten in Nederland die ICT-diensten ontwikkelt en exploiteert ten behoeve van onderzoek en onderwijs. Tot 1 januari 2021 bestond SURF uit 3 gespecialiseerde onderdelen: SURFnet, SURFmarket en SURFsara. Per 1 januari 2021 zijn deze onderdelen juridisch samengevoegd. Deze organisatie werkt steeds nauwer samen met Kennisnet, een direct door de overheid betaalde organisatie, die vergelijkbare diensten voor het primair en voortgezet onderwijs (PO en VO) verzorgt. SURF is sterk betrokken bij de onderhandelingen over privacy met Microsoft namens de hele onderwijssector. Direct ondersteund door Kennisnet en indirect door SURF wordt er sinds 2019 ook voor het PO en VO aan het opzetten van coöperatieve ICT-ondersteuning voor het PO en VO gewerkt onder de naam SIVON.

Tevens heeft José van Dijck, hoogleraar Media en digitale samenleving aan de Universiteit Utrecht, het VCV-initiatief genoemd tijdens het congres ‘OnderwijsInzicht’ dat Kennisnet, de PO-Raad en VO-raad, in samenwerking met SIVON, in 2020 organiseerde. Ook hebben we nuttige input gehad van Jos Poortvliet van Nextcloud, dat het open source private-cloudproduct ontwikkelt en Nederlandse partners van dit bedrijf. Toen het maar niet lukte om een school of instelling in Nederland mee te laten doen aan een VCV-pilot, hebben we ook niet meer de instellingen in het buitenland verder benaderd, waar Nextcloud al grootschalig in het onderwijs wordt toegepast.

Wat zijn de gevolgen van COVID-19 voor Veilig CloudVaardig?
Gelukkig hebben we er tot op heden zelf geen last van gehad, maar ons project heeft er wel zwaar onder te lijden. Kooman: “Zelf heb ik twee schoolgaande kinderen en dat betekende een enorme aanslag op de beschikbare hoeveelheid tijd.” Fred heeft daar minder last van gehad, maar kreeg in maart 2019 onverwacht grote en langdurige adviesprojecten te verzorgen voor de overheid, die ook nu nog veel van zijn tijd opeisen en mede door de Corona-crisis extra energie en nog meer tijd achter de computer vereisen. De beoogde en hard noodzakelijke uitbreiding van het team met vrijwilligers kwam mede door de lockdown niet van de grond.

Aan de andere kant heeft COVID-19 laten zien hoe belangrijk het is dat ook het primair onderwijs over een goed werkend online leerplatform beschikt. Het was (en is) duidelijk dat dit nog steeds niet overal het geval is. Ook in deze periode hebben we scholen benaderd met alternatieven voor Microsoft Teams, Google Meet, Zoom, etc. maar helaas zonder resultaat. Er wordt de voorkeur gegeven aan oplossingen of tools die ze al kennen of die geïntegreerd kunnen worden met vertrouwde omgevingen. Veelal oplossingen die al in gebruik zijn bij de docenten zelf of bij de bovenschoolse stichtingen en die door externe partijen worden ondersteund. Meer dan ooit was tijd een beperkende factor en dit is van de scholen uit dan ook goed te begrijpen. Het toont echter ook precies aan waar de schoen wringt; alom aanwezige technologieleveranciers zoals Google en Microsoft kunnen dankzij het grootschalige gebruik van hun systemen en platformen snel opschalen en marktaandeel winnen.”

Hoe zien jullie de toekomst voor Veilig CloudVaardig?
We hebben afgelopen jaar gezien dat het lastig is om voet aan de grond te krijgen in het PO met een ander model voor ICT/Cloud-ondersteuning, waar de scholen zelf tijd in moeten steken en niet naar externe partijen kan worden verwezen om die keuze te verantwoorden. Ouders lijken helemaal nog weinig in de melk te brokkelen te hebben over digitale platformen op school, maar het deel dat ongerustheid vertoont neemt nu wel toe. Zo lijkt de tijd de langzaam maar zeker rijp te worden voor een platform dat aan de ene kant een leeromgeving biedt en meteen meteen laat zien waarom privacy, security en open source samenhangen. Nog meer dan alleen een dubbelrol dus, maar een demo voor zijn eigen bestaansrecht en noodzaak. We voor zien namelijk in de maatschappij steeds meer aandacht ontstaan voor de platformisering ook in het onderwijs, en binnen de onderwijswereld daarnaast over de waarden waar digitalisering in het onderwijs aan zou moeten voldoen. Het gaat namelijk verder dan alleen informatieveiligheid en privacy. Een poll vanuit Veilig CloudVaardig op de LinkedIn-groep van Kennisnet voor ICT-professionals werd verwijderd door een beheerder, terwijl er alleen de vraag werd gesteld hoe belangrijk men het vond dat de telemetriedata die wordt verzonden niet in overeenstemming is met de AVG. Ook werd in de vraag verwezen naar het inmiddels ongeldig verklaarde Privacy Shield, en de motie Wiersma in de Tweede Kamer. Wel bleek dat voordat de enquête werd verwijderd, al bijna 50% van ‘de professionals’ die hadden gereageerd zich zorgen maakte!”

Ooit zal er ook door SIVON iets anders onder “Veilig Internet” worden verstaan, dan alleen de internetaansluiting

En hoe ziet VCV de toekomst in bredere zin, nu het project formeel gestopt is?
Ons project is subsidietechnisch en gezien de persoonlijke en professionele omstandigheden van de initiatiefnemers eigenlijk ten einde, maar de missie is nog lang niet volbracht. We zouden het liefst zien dat dit idee breder ondersteund zou worden, niet alleen in het onderwijsveld, maar ook bij de ouders en de kinderen en dat het zo een vervolg krijgt dat het verdient. Ooit zal ook een coöperatieve vereniging voor basisscholen en voortgezet onderwijs zoals SIVON onder “veilig internet” niet alleen de dataverbinding van het schoolpand verstaan, maar de complete digitale leeromgeving, daar zijn we van overtuigd! Aangezien BIT heeft aangeboden de voorzieningen gedurende minimaal drie jaar in stand te houden, hebben we vooralsnog de Nextcloud omgevingen, de website en het Twitteraccount nog in stand gehouden. Fred heeft als Computable Expert voor het tweede jaar op rij deelgenomen aan de jury van de Computable Awards en de ingezonden onderwijsprojecten streng op privacy-aspecten beoordeeld. En zo nu en dan gaat er nog een berichtje uit op Twitter of in de LinkedIn groep van onderwijs­professionals van Kennisnet. We waren ook blij dat er door het SIDNfonds werd ingezet op een tweede ronde van “Je data de baas”.

Ook zal ook wel weer eens een kritische blog in Computable verschijnen over privacy en het onderwijs in 2021 en erna en is ons verhaal intussen verschenen in Het Onderwijsblad. En er is nieuwe hoop: er is een groep ontstaan met vergelijkbare ideeën en idealen, vanuit bekende partijen waar we al mee in contact waren, zoals Freedom Internet en Waag, maar waar nu ook scholen bij zijn betrokken. We proberen onze ervaringen en wellicht voorzieningen met deze groep te delen en wie weet wat hier nog voor moois uit voortkomt! De toenemende maatschappelijke aandacht voor de macht en onze afhankelijkheid van de marktmodellen van de tech-giganten, zal dit zeker stimuleren. Internet wordt ook door de Verenigde Naties erkent als basisvoorziening. Dat Rusland ons land en de EU kan gijzelen bij stijgende prijzen voor aardgas op de wereldmarkt, leidt nog steeds tot grotere ophef, dan een marktmodel voor internet waarbij enorm grote buitenlandse bedrijven steeds meer en nauwkeuriger data nodig hebben om advertenties te kunnen verkopen. Maar het tij is wel aan het keren, laten we hopen ook snel voor de meest kwetsbare maatschappelijke sectoren, zoals het basisonderwijs in Nederland.