nieuws

Scholen verwaarlozen privacy en beveiliging

School door pacholak (CC)

Scholen verzamelen steeds meer leerlinggegevens en gaan daar onzorgvuldig mee om, concludeert het adviesbureau PricewaterhouseCoopers (pwc). Een onthutsend relaas.

Scholen hebben het beste voor met hun leerlingen. Leerkrachten en schoolleiders zijn ontzettend betrokken bij het welzijn van de kinderen, en ze doen er álles aan om hen maximale zorg en aandacht te geven. Prachtig! Het vervelende is alleen dat al die goede bedoelingen nogal onwenselijke gevolgen kunnen hebben. Scholen gaan er namelijk vanuit dat hoe meer ze van hun leerlingen weten, hoe beter ze hen kunnen begeleiden.

Er worden dus onvoorstelbaar veel gegevens verzameld, bijgehouden, en doorgegeven. Vaak zonder een duidelijk doel (“kan altijd van pas komen”), vaak zonder de benodigde toestemming van de ouders, en soms ook gegevens die helemaal niet verwerkt mógen worden. Zoals ras – waaronder geboorteland-gegevens – en godsdienst. Of documenten die helemaal niet bewaard mogen worden, zoals een kopie van het paspoort. Scholen doen dat allemaal. Niet alle scholen, maar wel veel.

De meeste scholen hebben geen flauw idee van wat wel en niet mag. Laat staan dat ze nog een stapje verder gaan dan de wet, door zélf na te denken over wat nu eigenlijk wenselijk is, en wat misschien wel eens gevaarlijk zou kunnen zijn. Geen tijd. Ze moeten al zoveel.

Dit onthutsende beeld wordt geschetst in een rapport van PricewaterhouseCoopers (pwc), gemaakt in opdracht van het Ministerie van Onderwijs. Het verscheen al in april van dit jaar, maar heeft vreemd genoeg nauwelijks aandacht gekregen. Noch in de media, noch in het parlement. Hoogste tijd dus om er nu eens wél aandacht aan te besteden.

Kernboodschap

Het rapport bevat een ‘kernboodschap’, die uit zes punten bestaat:

1. Geen enkele van de onderzochte scholen wist wat er wel en niet is toegestaan. Ze kennen wel het bestaan van de Wet Bescherming Persoonsgegevens (Wbp) maar niet wat erin staat.

2. Gegevensbeveiliging vindt plaats op basis van ‘gezond verstand’. Lees: toevallige ervaring en toevallige incidenten. Dus niet op basis van echte – technische en juridische – kennis. Daarnaast is het onduidelijk hoe de software-leveranciers, die ook de schooldatabases beheren (‘in the cloud’), precies te werk gaan bij het beveiligen daarvan.

3. De markt voor leerlingvolgsystemen en digitale leermiddelen is in handen van een beperkt aantal partijen. Dat vormt een machtsblok waar individuele scholen geen tegenwicht tegen kunnen bieden. Ze accepteren onderdanig alle voorwaarden van de leveranciers. (Later in het rapport blijkt dat veel van die voorwaarden niet eens wettelijk zijn toegestaan. Maar dat weten scholen allemaal niet.)

4. De leveranciers van leerlingvolgsystemen en digitale leermiddelen hebben talloze gegevens over leerlingen, ouders en docenten in hun beheer. Het is onduidelijk wat ze met die gegevens doen, en met welke partijen die gegevens “gedeeld” worden, zoals het rapport heel netjes zegt. Wat ze bedoelen, is: “aan welke opkopers de gegevens verpatst worden”. Educatieve uitgeverijen hebben er bijvoorbeeld veel belang bij om zo veel mogelijk te weten over hun doelgroep, en willen daar best voor betalen.

5. Het aantal gegevens dat wordt vastgelegd is nu al onvoorstelbaar groot, maar zal binnenkort alleen nog maar verder toenemen. Naarmate er meer vastgelegd kán worden, zál er ook meer vastgelegd worden. Daarnaast zal het vanwege het Passend Onderwijs ook om steeds gevoeliger informatie gaan. Alle problemen van zorgenkinderen – medisch, sociaal, enzovoorts – zullen in de databases van de scholen (en de samenwerkingsverbanden, en de software-leveranciers, etc.) terecht komen.

6. De technische mogelijkheden – en de technische kennis – om grote hoeveelheden gegevens te combineren en te analyseren nemen de laatste tijd sterk toe. Zo kun je allerlei nieuwe informatie over individuele personen te weten komen. Scholen en de overheid maken er nog maar weinig gebruik van, maar dat zal snel gaan veranderen, voorspellen de onderzoekers

Big data

De term staat niet letterlijk in het rapport, maar het laatste punt is dus het zogenaamde big data-probleem. ‘Big data’ is het verwerken van zoveel mogelijk informatie, en het koppelen van bestanden, om verbanden en patronen te ontdekken.

Big data is ongeveer het tegenovergestelde van privacy. Bij privacy gaat het er immers om het aantal gegevens zo veel mogelijk te beperken (jargonterm: dataminimalisatie), terwijl big data precies het omgekeerde doet. Daar wil je juist zo veel mogelijk gegevens verwerken.

Een tweede probleem van big data is doelbinding. Die is er niet. Een belangrijk privacy-principe – dat ook wettelijk is vastgelegd – is dat je alleen persoonsgegevens mag verzamelen en verwerken als dat een duidelijk doel dient. Terwijl je bij big data vooraf niet weet wat het doel is van al dat koppelen en verzamelen en analyseren. De verbanden en patronen, of zelfs individuele gegevens die je nog niet kende, komen vanzelf, zonder dat je ernaar op zoek was. Zo kan een bepaalde leerling – jouw eigen kind dus – zomaar te boek komen te staan als een crimineel in de dop, of kunnen zijn ouders – jijzelf dus – zomaar verdacht worden van kindermishandeling.

Zie verder: Big data en privacy op de website ‘Pleio’, een soort intranet en discussieplatform van de overheid.

Nuttig toch?

Zoals gezegd: het verzamelen en vastleggen van de meest uiteenlopende persoonsgegevens op scholen, gebeurt met de beste bedoelingen. Het is toch juist heel nuttig om zoiets als de geboorteland-gegevens bij te houden? Dan kun je immers beter inspelen op een mogelijke taalachterstand?

Nee, nee, nee. Het is domweg verboden, en het is ook nergens voor nodig. Op de site van het College Bescherming Persoonsgegeven (CBP) wordt bij wijze van alternatief voorgesteld om te noteren dat zo’n leerling Nederlands als tweede taal spreekt, of dat er thuis geen Nederlands gesproken wordt. (Het is overigens nog maar de vraag of het zo bezwaarlijk is als er thuis geen Nederlands wordt gesproken, maar ja, het CBP weet natuurlijk weinig van taalkunde en meertaligheid, dus dat kun je ze niet kwalijk nemen.)

Wat we zelf vaak meemaken, is dat ouders bij ons klagen dat de school zomaar foto’s van de leerlingen op Facebook plempt. Of op de schoolsite. Leuk toch? Vrolijke momenten moet je delen! Dat is wat de school dan zegt. Waarbij ze ten eerste vergeten dat ouders daar expliciet toestemming voor moeten geven, en zich ten tweede niet realiseren dat er steeds meer gefotoshopte kinderporno gefabriceerd wordt, op basis van foto’s van ‘gewone’ kinderen, afkomstig van sociale media en schoolsites.

En zelfs áls de school vooraf toestemming vraagt aan de ouders (wat wettelijk verplicht is) om foto’s te mogen publiceren, dan nóg kunnen er akelige problemen ontstaan. Bijvoorbeeld wanneer maar één of twee ouders hun toestemming weigeren en de rest niet. Dan zegt de school: okee, maar dan kan uw kind ook niet meedoen met de schoolmusical. Want we willen wel foto’s kunnen maken en kunnen publiceren. Je kunt je de teleurstellingen en pesterijen die dit tot gevolg heeft levendig voorstellen. De school zou dus een stap verder moeten gaan dan de wet, en zelf goed moeten nadenken. De oplossing is overigens simpel: zet die foto’s op een besloten deel van de schoolsite, dan is er geen aap loos. Maar dat weigerde de school in kwestie.

Geen smoking gun

Het rapport van PricewaterhouseCoopers maakt gehakt van de manier waarop scholen omgaan met privacy en beveiliging. Scholen tuigen enorme digitale dossiers op, verzamelen alles wat los en vast zit (ook al is het wettelijk verboden of dient het geen enkel doel), versturen gevoelige gegevens per onveilige email, en laten zich inpakken door hun software-leveranciers. Die ook weer allerlei onwettige dingen doen, en ondoorzichtig bezig zijn.

Heel ernstig allemaal. Maar helaas: geen smoking gun te bekennen. Geen enkel concreet geval van rampspoed, of situaties waarin er echt dingen zijn mis gegaan.

En toch is het belangrijk om iets te doen aan de onveiligheid die inmiddels ontstaan is, en gaandeweg alleen maar zal toenemen. Je kunt 10 keer geblinddoekt de straat oversteken zonder dat je wordt overreden, maar de 11e keer gaat het mis. Dat willen we niet.

Juist scholen hebben een speciale verantwoordelijkheid, omdat leerlingen door hun leeftijd extra kwetsbaar zijn, én omdat ze hun hele verdere leven achtervolgd kunnen worden door uitgelekte of ten onrechte gedeelde gegevens.

Wat kun je doen?

Scholen hebben een speciale verantwoordelijkheid maar ouders ook. Wat kun je zelf doen?

Ten eerste: ken je rechten. Bijvoorbeeld: het recht op inzage, correctie en verwijdering van gegevens. Ook moet de school vertellen welke gegevens ze aan welke personen of instanties hebben doorgegeven. In veel gevallen moet je daar als ouders ook zelf toestemming voor hebben gegeven. Dit alles is vastgelegd in de Wet Bescherming Persoonsgegevens (Wbp). Een handige bron voor leken is www.mijnprivacy.nl van het College Bescherming Persoonsgegevens (CBP), de officiële privacy-waakhond.

Ten tweede: wijs de school op de Privacy Quickscan van Kennisnet. Daarmee kunnen scholen een eerste indruk krijgen van wat ze goed en fout doen. Vraag of de resultaten van die scan gedeeld kunnen worden met de ouderraad of de medezeggenschapsraad. Bekijk die scan ook zelf even. Hij is zeer inzichtgevend, en kan ook dienen als handvat voor ouders om eens te bedenken wat de school allemaal aan het doen is.

Ten derde: meld eventuele problemen, of dingen die er mis zijn gegaan, bij de redactie van Ouders Online. Wij kunnen u adviseren, en hebben toegang tot personen en instanties die iets voor u kunnen doen. Mail naar redactie@ouders.nl.

Dit artikel verscheen eerder op de site van Platformdeelnemer Ouders Online