Scholen hebben het niet gemakkelijk. Er is een enorme werkdruk, klassen zijn groot en leerlingen en ouders worden steeds mondiger. Om goed overzicht te houden, wordt docenten gevraagd om informatie over en voortgang van leerlingen bij te houden. Dat is een flinke administratieve kluif, die ook veel tijd opslokt. Werden de gegevens van leerlingen vroeger in een schriftje opgeschreven, vandaag gaat alles digitaal. Met als gevolg dat scholen er een verantwoordelijkheid bij hebben: het digitaal beschermen van de privacy van hun leerlingen.
Gevoelige informatie
Dat dit niet van een leien dakje gaat, is logisch. Scholen houden zich bezig met goed lesgeven, en zijn niet ingericht op het inzetten van slimme beveiligingstoepassingen die data loss voorkomen of hackers buiten de deur houden. Ondertussen worden er steeds meer leerling gegevens online opgeslagen. Een goed voorbeeld is het ‘leerlingvolgsysteem’. Hierin worden schoolresultaten, afwezigheid en andere bijzonderheden of persoonlijke eigenschappen van een leerling verzameld. Dat kan ook om zeer gevoelige informatie gaan, zoals over gezondheid of geloofsovertuiging.
Deze gevoelige data verdient goede beveiliging, en daar schort het vaak aan. Begin 2017 meldden zeventig onderwijsinstellingen bij de Autoriteit Persoonsgegevens over data die mogelijk in verkeerde handen zijn gevallen. Volgens de Onderwijsraad neemt het risico op dergelijke incidenten toe. Er is namelijk geen IT-afdeling die aan de bel trekt als het fout dreigt te gaan. Er is geen security manager die aan het bestuur uitlegt waarom uitgaven voor online beveiliging essentieel zijn.
Onderwijsraad
Het gebrek aan inzicht en verantwoordelijkheid is begrijpelijk, maar mag geen excuus zijn. Echter, de taak om dit aan te pakken ligt niet bij de scholen alleen, ook de overheid moet hier een rol spelen, zegt de Onderwijsraad in een artikel in Trouw. De Onderwijsraad schrijft in het rapport ‘Doordacht digitaal’ dat het tijd wordt om standaarden af te dwingen. De overheid moet zorgen dat er standaarden zijn die minimale eisen aan beveiliging stellen. En dat gegevens eenvoudiger én veiliger tussen verschillende schoolsystemen uitgewisseld kunnen worden. ‘Het moet voorkomen dat elke school telkens het wiel opnieuw moet uitvinden.’
De vraag is of de vereiste standaarden het privacy-probleem bij scholen kan oplossen. Natuurlijk is het goed dat onderwijsinstellingen gedwongen worden om na te denken over beveiliging. Echter, minimale beveiligingseisen doen wellicht eerder kwaad dan goed. Die geven namelijk de schijn van veiligheid: de voordeur is op slot, maar het keukenraam staat open. Een gelaagde beveiliging, waarbij Identity en Access Management een belangrijke rol speelt, werkt wél. Het zorgt ervoor dat gegevens alleen ingezien kunnen worden door de juiste personen en dat koppelingen tussen systemen resulteert in een veilige data-uitwisseling.
Rollen en rechten
Gelukkig hebben sommige scholen het al wél goed op orde. De creatieve vakschool SintLucas bijvoorbeeld, maakt gebruik van Modiam. Hiermee wordt aan de hand van rollen en rechten bepaald wie toegang heeft tot welke applicaties en informatie. Leerlingen en medewerkers krijgen een account, waar elk halfjaar een nieuw wachtwoord voor gemaakt wordt. En ze krijgen veilige toegang tot (gekoppelde) cloudapplicaties en leeromgevingen. Zo kan het dus ook. Wie volgt?
Bram Haasnoot, RealOpen IT
