Virtueel lesgeven heeft een enorme vlucht genomen door COVID-19. Het onderwijs is hierdoor voor de nodige uitdagingen komen te staan. Door de coronamaatregelen wordt er namelijk veel van docenten gevraagd. Ze moeten andere lesmethodes toepassen om leerlingen te controleren en te motiveren, om nog maar te zwijgen over de nieuwe technologie waar ze mee moeten leren omgaan om virtueel lesgeven mogelijk te maken. Een ander probleem waar onderwijsinstellingen vaak tegenaan lopen bij virtueel lesgeven is de cyberveiligheid en privacy.
Privacy
Volgens de AVG mogen persoonsgegevens, waar ook online lessen onder vallen, alleen verzameld en verwerkt worden voor een ‘welbepaald, uitdrukkelijk omschreven en gerechtvaardigd’ doel. De onderwijsinstelling moet duidelijk maken wat het doel is van het streamen. Toch zijn er nog veel onderwijsinstellingen die niet altijd even zorgvuldig omgaan met de persoonsgegevens van leerlingen en docenten.
Veel scholen en universiteiten beschikken nog niet over een eigen digitale werkomgeving voor het geven van online lessen. Zij moeten improviseren en maken daarom dankbaar gebruik van gratis videobel-tools. Deze apps maken het mogelijk om op een makkelijke manier toch contact te houden met leerlingen. Hoewel de meeste apps (na veel kritiek) de nodige maatregelen hebben genomen bevatten niet alle videobel-tools end-to-end encryptie, waardoor het mogelijk is om de lessen af te luisteren. Het kan ook voorkomen dat sommige apps meekijken om de tools te verbeteren of dat de data voor commerciële doeleinden wordt gebruikt. Bovendien hanteren gebruikers soms de meest onveilige instellingen omdat dit ‘gemakkelijker’ is of omdat ze niet weten hoe ze instellingen moeten aanpassen.
Verwerkersovereenkomst
Het is daarom belangrijk dat onderwijsinstellingen goed nadenken over de privacyaspecten. Om te controleren welke tool het meest geschikt is voor virtueel onderwijs, publiceerde De Autoriteit Persoonsgegevens een handige keuzehulp voor videobellen. Daarnaast doen onderwijsinstellingen er goed aan om een verwerkersovereenkomst af te sluiten met gedragsregels. In deze regels kan bijvoorbeeld staan dat er geen opnames worden gemaakt van de lessen en alleen de leerlingen de les mogen volgen en niet de ouders. De persoon of functionaris die binnen de onderwijsinstelling toezicht houdt op de toepassing en naleving van de AVG, kan de gedragsregels en verwerkersovereenkomst opstellen.
Docenten kunnen ook het nodige doen om de privacy te waarborgen. Ze kunnen bijvoorbeeld een rustige plek uitkiezen, de achtergrond vervagen en alleen opnames maken indien het écht noodzakelijk is voor de les. Daarnaast kunnen ze ervoor zorgen dat leerlingen niet in beeld hoeven te komen, tenzij dat voor het onderwijsdoel noodzakelijk is. Mocht er teveel gevoelige informatie in beeld komen, dan is het handig dat de docent de camera kan uitzetten om de betreffende leerling in bescherming te nemen.
De technologische maatregelen
Een andere uitdaging is de online veiligheid. Gezien leerlingen en docenten allemaal op een andere locatie werken en verbinding maken met hun eigen netwerk en verschillende apparaten gebruiken, is het aanvalsoppervlak voor cybercriminelen flink groter. Inmiddels zijn er al veel voorbeelden van incidenten. Zo kregen leerlingen van het Erasmus College in Zoetermeer tijdens een les opeens porno en racistische beelden te zien. Bij het Staring College in Lochem werden tientallen scholieren gehackt omdat de leerlingen klikten op een valse link, waarna de hackers hun schoolaccount overnamen om andere leerlingen en leraren uit te schelden. In België werd het Atlas College getroffen door een aanval met ransomware.
Beveiligingsplan
Om cyberincidenten te voorkomen doen onderwijsinstellingen er goed aan om virtueel lesgeven op te nemen in hun beveiligingsplan. En zo de nodige maatregelen te nemen. Denk hierbij bijvoorbeeld aan maatregelen zoals een Virtual Private Network (VPN). En aan bewustwordingstrainingen voor iedere docent en leerling. Een VPN creëert een veilige tunnel tussen de werkplek en de ICT-omgeving van de school. Hierdoor kunnen zowel docenten als leerlingen veilig toegang krijgen tot data op het netwerk van de school. Zorg er daarnaast voor dat iedereen zoveel mogelijk gebruik maakt van multi-factor authenticatie (MFA) en dwing sterke wachtwoorden af. MFA is een stuk veiliger omdat naast een gebruikersnaam en wachtwoord ook nog een extra code ingevoerd moet worden die zich per loginsessie aanpast.
Deze code kan verkregen worden via een speciaal apparaatje met afleesscherm. Of via een App zoals Authy, Google Authenticator of RSA SecureID. Op deze wijze wordt inloggen een stuk veiliger, want zelfs als je wachtwoord onderschept wordt zal de cybercrimineel nog altijd in bezit moeten komen van de extra gegeneerde code om in te kunnen loggen. Uiteraard moet er naast deze additionele maatregelen ook worden gedacht aan maatregelen die wellicht voor de hand liggend zijn zoals: het installeren van endpointsoftware, oplossingen voor het beschermen van mobiele apparaten, back-ups en het downloaden van beveiligings- en andere updates.
Het belang van bewustwording
Bovenal is het van belang dat leerlingen en docenten de risico’s niet onderschatten. De meeste cyberinbreuken gebeuren door menselijke fouten. Docenten zijn bijvoorbeeld al snel geneigd om applicaties te gebruiken die niet zijn goedgekeurd door de IT-afdeling. Daarnaast mailen docenten vaak inloggegevens of links door van de videotool. Hierdoor is de kans groot dat gevoelige gegevens onbedoeld worden blootgesteld, wat de kans op misbruik groter maakt.
Soms worden gegevens buiten de beveiligde applicaties om opgeslagen en uitgewisseld. Ook hiermee wordt de kans op datalekken aanzienlijk vergroot. Leerlingen zijn daarentegen vaak erg actief op sociale media. Ze delen bijvoorbeeld screenshots via social media van hun thuiswerksituatie. Soms zijn daarop links, telefoonnummers of andere gegevens te zien die je liever niet met de wereld deelt.
Om menselijke fouten te voorkomen is het verstandig om leerlingen en docenten voor te lichten over cyberveiligheid. Leraren kunnen hier een belangrijke rol in spelen. Zij zullen daarom moeten worden bijgeschoold om leerlingen meer richting, stimulans en inhoudelijke bagage te geven op het gebied van cybersecurity.
Onderwijsinstellingen kunnen dit realiseren door docenten structureel te trainen. Door steeds opnieuw aandacht te besteden aan het gewenste gedrag blijft het onderwerp top-of-mind. En wordt er gewerkt aan een positieve beveiligingscultuur. Een e-learning training, zoals de G DATA Security Awareness Training, is hier ideaal voor.
Hoewel er voor onderwijsinstellingen nog veel te verbeteren is, ben ik ervan overtuigd dat de maatregelen die ze nemen steeds beter worden. Tenslotte zal lesgeven op afstand in de toekomst alleen maar toenemen. Door snel in te spelen op de huidige ontwikkelingen met een gedegen beveiligingsplan en bewustwording kunnen risico’s beter worden afgedekt. Zo kunnen onderwijsinstellingen veiliger en beter virtueel lesgeven.
Dirk Cools, Country Manager BeLux en Frankrijk bij G DATA CyberDefense