AP waarschuwt voor privacyrisico’s in het onderwijs

Logo Autoriteit Persoonsgegevens

Op 4 november 2021 trad de Autoriteit Persoonsgegevens (AP) naar buiten met 3 documenten: een analyse “Digitalisering in het onderwijs 2021” en twee brieven naar de betrokken ministers.

De AP signaleert drie belangrijke trends en risico’s:
monitoring van leerlingen en studenten;
afhankelijkheid van grote leveranciers;
meer uitwisseling van gegevens in samenwerkingsverbanden.   

In de brieven roept de AP de ministers op om als stelselverantwoordelijken voor het onderwijs een pakket aan maatregelen te nemen, zodat onderwijsinstellingen in de praktijk kunnen zorgen voor veilig onderwijs. De AP is van mening dat de reactie op deze brief nog onvoldoende duidelijk maakt hoe de ministers hier concreet invulling aan gaan geven. Het bericht en de publicaties zijn op de website van de Autoriteit Persoonsgegevens te vinden via deze link.

Eindelijk duidelijkheid: Google-cloud is niet geschikt voor het onderwijs, maar desondanks gedoogbeleid!

Vorig jaar, in juni 2020, blogden we al over de motie Wiersma in de Tweede Kamer. En eindelijk, na bijna een jaar is duidelijk dat we in 2019 niet voor niets met het Veilig CloudVaardig project zijn begonnen, omdat de twee meest gebruikte cloudplatformen die op in de Nederlandse scholen worden gebruikt van Microsoft en Google, niet aan de AVG (privacywetgeving) voldoen. De brief die de minister van Onderwijs op 1 maart 2021 naar de Tweede Kamer stuurde over de resulaten van de onderzoeken (DPIA’s), laat weinig ruimte voor twijfel: “Uit deze DPIA’s blijkt dat er privacyrisico’s zijn bij het gebruik van Google G Suite en G Suite for Education.” Lees meer over de bevindingen bij de DPIA’s in de weblog van de Privacy Company, die eerder ook de onderzoeken voor het Rijk naar de Microsoft cloudproducten uitvoerde.

SIVON en Kennisnet waren al lang op de hoogte

Zodra duidelijk werd dat we ondersteuning door het SIDNfonds zouden krijgen, hebben we SIVON al in december 2019 gevraagd of we op het OnderwijsInzicht congres dat ze in januari 2020 voor schoolbesturen en ICT-verantwoordelijken organiseerden, over ons toen net gestarte VeiligCloudVaardig (VCV) project mochten vertellen en er scholen vragen om mee te gaan doen aan ons project. We wilden natuurlijk graag aan andere ICT-ers uitleggen waarom we VCV gestart waren, omdat ook toen al duidelijk was dat er bij de doelgroep van het congres weinig bekend was over de privacyrisico’s bij de techgiganten. We waren er echter niet welkom. Gelukkig heeft professor José van Dijck ons project nog wel genoemd in haar “college” over de platformisering van het onderwijs.

We waren een paar weken later wel welkom voor een overleg in Zoetermeer. Dit gesprek verliep in een zeer prettige en positieve sfeer en hier bleek dat deze door de overheid betaalde onderwijskundige professionals wel degelijk op de hoogte waren van de privacygevaren van de cloudplatformen die in het Nederlands onderwijs steeds populairder worden. We werden ook gewaarschuwd dat het basisonderwijs nu net de allerlastigste groep zou zijn om met iets nieuws voor aan te komen op dit gebied.

Slecht signaal: continuïteit(sangst) belangrijker dan privacy

Ook toen in juli 2020 met het Schrems II-arrest, waar Google en Microsoft zich op beriepen als het over veilig verwerken van (privacygevoelige) gegevens gaat, volledig onderuit gehaald werd door het Europese Hof, hield de onderwijswereld zich stil. Veel te druk ook met #lesopafstand, Teams opschalen en andere Corona-ellende toen. En wat geven Surf, Kennisnet en SIVON ook nu weer een alarmerend slecht signaal af, door onderwijsinstellingen aan te raden gewoon door te gaan met het gebruik van Google Workspace for Education en alleen scholen die overwegen over te stappen op de Google cloud nu adviseren die beslissing nog even uit te stellen. De DPIA zelf laat er geen twijfel over bestaan dat op dit moment de wettelijke grondslag compleet ontbreekt voor alle data-inzameling die plaatsvindt. Dit geldt zowel voor de inhoud van de data zelf, als voor de verzamelde metadata.

De Corona-maatregelen lijken een stuk bedreigender voor de continuiteit van het onderwijs en veel schadelijker voor de geestelijke gezondheid van de leerlingen, dan scholen te adviseren zo snel mogelijk over te stappen op wel veilige open source alternatieven. En zo ook meteen te voldoen aan het pas-toe-of-leg-uit verplichting die voor de hele overheid geldt ten aanzien van Open Source. Komt de vrijheid van onderwijs daarmee in gevaar, nee toch?

Sprookjes bestaan nog

SIVON heeft zelfs het lef om net te doen alsof deze organisatie nu opeens de gedoodverfde vertegenwoordiger op privacygebied voor het basisonderwijs en VO zou zijn en is op haar website schoolbesturen gaan vragen een aanmeldformulier in te vullen, waarmee de school SIVON machtigt om namens haar het woord te voeren tegenover Google en Microsoft. Ze zijn er heilig van overtuigd dat ze met deze giganten tot overeenstemming zullen komen. Een beoogde termijn daarvoor wordt wijselijk niet eens genoemd.

Grootmoeder Google, wat fijn dat u privacy voorop stelt..

Zalvende woorden vanuit Google over hoeveel waarde ze wel niet hechten aan privacy, beveiliging en compliance en op een blog verschenen, een dag nadat de Tweede Kamer werd ingelicht, voeden dit waanbeeld. Je zou denken dat de kinderen in groep 1 allang niet meer in dit soort sprookjes geloven, maar blijkbaar worden schoolbesturen op dit gebied nog een stuk naïever ingeschat.