‘Doorspelen persoonsgegevens aan educatieve uitgeverijen niet in strijd met de wet’

Foto: Sargasso achtergrond wereldbol

Gisteren hadden we het er al over: educatieve uitgeverijen verzamelen massaal persoonsgegevens van leerlingen en scholen werken daaraan mee.

Volgens staatssecretaris Sander Dekker (Onderwijs) is dat niet in strijd met de wet.

Gelukkig laat de Tweede Kamer het er voorlopig niet bij zitten.

Open artikel

Reacties (25)

#1 Bismarck

“Hij schrijft aan de Kamer dat scholen persoonsgegevens mogen doorgeven als dat nodig is voor het onderwijsproces.”

Ik wacht toch nog even op de uitleg waarom het doorgeven van persoonsgegevens van scholen aan uitgevers noodzakelijk is voor het onderwijsproces. Tot die tijd geef ik Dekker ongelijk en stel ik dat de scholen wel degelijk de wet overtreden.

#2 zmoooc

Natuurlijk is dat niet in strijd met de wet, die zegt daar namelijk niks over. Wel zegt de wet wat over de verantwoordelijkheden van de beheerder van die gegevens, in dit geval de school. Die moet zorgen dat in geval derden toegang hebben tot de gegevens, hetgeen vrijwel altijd het geval is bij softwarediensten, dat er een duidelijke bewerkersovereenkomst met die partij is afgesloten. Of dat zo is staat in het rapport van PwC uit het artikel van gisteren. Dat waren me echter net iets te veel lettertjes.

Echter, verdachtmakingen zoals uit het artikel van gisteren, over de verkoop van dit soort gegevens, lijken me klinkklare nonsens.

En wat Sander Dekker zegt is ook klinkklare nonsens; die scholen moeten wel degelijk fatsoenlijke bewerkersovereenkomsten conform de WBP afsluiten. Hij doet net alsof dat niet zo is; dat is natuurlijk lulkoek.

En ook de term “doorspelen” vind ik in deze nogal suggestief. De scholen nemen een dienst af en voor het functioneren van die dienst zijn die persoonsgegevens nodig. Dat is niks raars, dat is zelfs logisch. Maakt u zich dan liever zorgen om scholen die hun netwerk geoutsourced hebben naar een clouddienst en zich er helemaal niet van bewust zijn dat ze een bewerkersovereenkomst met MS Azure of Amazon AWS moeten afsluiten om daarop hun Excel-administratie te mogen opslaan.

#3 McLovin

@2: “De scholen nemen een dienst af en voor het functioneren van die dienst zijn die persoonsgegevens nodig. Dat is niks raars, dat is zelfs logisch” kan je dat ook even uitleggen?

|En daarnaast ben ik erg benieuwd naar wat die uitgeverijen aan gegevens nu ontvangen? Alleen voor en achternaam van kind of meer? Dat is mij nog niet geheel duidelijk.

En de aanname dat uitgeverijen die gegevens niet doorspelen aan vierden vind ik ietwat voorbarig en naïef.

Als ik die software goed snap zijn het oefen sommetjes en taal oefeningen. Waarom dat “in de cloud”, online weet ik hoe het allemaal heet moet snap ik niet.Uitgeverij kan toch gewoon software pakketje dat past bij de boekjes leveren aan scholen dat offline kan werken? Kindje vult naam in en leraar kan precies volgen wat kindje doet. Waarom er überhaupt iets richting uitgeverijen moet? online update op zijn tijd prima maar daar hoeven de uitgeverijen toch verder niks van de kinderen te weten? U snapt ik ben een digibeet.

#4 Grûtte Pier

Artikel 8 – Recht op eerbiediging van privé familie- en gezinsleven

1. Een ieder heeft het recht op respect voor zijn privé leven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie.
2. Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan voor zover bij wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.

Hoe past dat hier in?

#5 Inca

@2, ik vind dat helemaal niet logisch, die persoonsgegevens. Ik vind het ook niet logisch dat er zulke verregaande gegevens worden bijgehouden, zelfs niet als dat geanonimiseerd zou gebeuren.

Data geeft macht, en het lijkt mij persoonlijk heel waarschijnlijk dat de uitgevers die macht rechtstreeks ge/misbruiken om bv lucratieve programma’s te pushen. Heel wat waarschijnlijker dan dat Azure of AWS de gegevens van basisschoolkinderen misbruiken.

#6 Inkwith Barubador

Dat gegevens worden doorgegeven aan uitgeverijen is logisch als dat nodig is voor het onderwijs. Maar dat mag dan ook alleen maar voor die functie. De uitgeverijen mogen het niet voor hun eigen commerciele zaakjes misbruiken.

#7 Grûtte Pier

Ik wil ook inzage in deze data.
Ben namelijk wel benieuwd of de kinderen van Sander Dekker op een ‘witte’ school zitten; de belabberde schoolresultaten van zoontje Dekker; de abjecte ideeën in een opstel van dochter Dekker; hoe vaak Sander Dekker zijn kinderen eerder van school haalt ivm vakanties…

D’r zit vast een smeuïg verhaal in :)

#8 zmoooc

@3

Uitgeverij kan toch gewoon software pakketje dat past bij de boekjes leveren aan scholen dat offline kan werken?

Dat kan wel, maar daarvoor moet de school dan wel een systeembeheerder hebben die zich bezig mag gaan houden met upgrades, gebruikersbeheer, backups, hardwareaanschaf en weet ik veel wat. Dat is op schoolschaalgrootte nogal een kostenpost en bovendien een groter beveiligingsrisico dan e.e.a. overlaten aan de experts. De meeste scholen zullen dergelijke faciliteiten en dergelijk personeel ook gewoon niet in huis hebben.

#9 Grûtte Pier

@8: De wet overtreden uit financieel belang maakt het allemaal nog erger!
Directeur van school rijdt straks in Maserati omdat hij een systeembeheerder bespaart en tevens de privégegevens van je kind verpats heeft?

#10 zmoooc

@9 Waaruit maak je op dat de wet wordt overtreden? Zijn er geen bewerkersovereenkomsten afgesloten? Of roep je gewoon maar wat net als zo’n beetje iedereen inclusief de staatssecretaris? De meest volledige uitspraak hierover is het rapport van PwC en dat lijkt vrijwel uitsluitend op “interviews” gebaseerd te zijn. Het komt niet verder dan dat sommige zaken “mogelijk strijdig” zijn met de WbP, maar in feite is ook dat niet onderzocht. Nergens staat ook maar iets dat uitspraken zoals die van jou kunnen onderbouwen of woordkeuze als “doorspelen” rechtvaardigen.

De enige conclusie die in feite getrokken kan worden is dat e.e.a. waarschijnlijk wat beter gedocumenteerd moet worden.

Verder kunnen we zonder meer gevoeglijk concluderen dat de bureaucratische werkwijze die goedkeuring door WbP en onder goedkeuring werken met persoonsgegevens dusdanig complex is geworden dat het een averechts effect heeft en we waarschijnlijk beter af zijn met eenvoudigere, soepelere maar vooral veel duidelijkere richtlijnen vanuit het WbP. Vind ik dan. Maar dat vind ik altijd al.

Disclaimer: ik heb in het verleden meermalen geacteerd als contractueel eindverantwoordelijke bij de ontwikkeling, levering en het beheer van software waarin zeer privacy-gevoelige informatie werd verwerkt (o.a. online aanmelding bijzonder onderwijs, inclusief allerlei tests en zeer gevoelige medische dossiers en informatie van de ouders), keurig conform alle regels. Ik ben dus redelijk op de hoogte van de complexiteit van de materie, de moeite die eindgebruikers en beheerders (op bv. scholen) hebben met zich aan eindeloze protocollen houden en de houding van afnemers en leveranciers in deze wereld.

Op basis van mijn ervaringen en het onderzoek van PwC acht ik de beschuldigingen die spreken uit de toon van de reacties en de artikelen hier op sargasso volstrekt ongefundeerd en nodeloos angstzaaiend. Ja, er is ruimte voor verbetering. Nee, er is geen enkele reden om aan te nemen dat de betrokkenen niet zorgvuldig met deze informatie om zouden spreken. En de gedachte dat de betrokkenen gegevens aan derden zouden doorspelen is al helemaal vergezocht en nergens op gebaseerd. Sjeumig. Stelletje paranoide probleemzoekers.

#11 zmoooc

@4 Ik mag trouwens hopen dat die quote van het EVRM door wikipedia is vertaald en niet de officiele wettekst is. Spelfouten. Sjeumig. Het enige recht wat je daaraan kunt ontlenen is een herseninfarct in je spellingskwab. En, nee, dat heeft hier NIETS mee te maken. Einde.

#12 Inca

@10, mijn ervaring is volstrekt anders – dat er rondom IT zelden ook maar het minste beetje toezicht is op behoorlijke omgang met privacygevoelige gegevens, dat iedereen maar wat doet. Mijn ervaring met IT in het onderwijs is dat het voornamelijk heel slecht is, en mijn ervaring met de uitgevers is dat ze een behoorlijk dwingend kartel zijn dat allerminst in het belang van de scholen, leerlingen of goede lesmiddelen handelt. (En op de middelbare scholen heb je Magister. En dat is ook een grote verzameling wtf’s.)

Het uitgebreid doorsturen van zeer gedetailleerde gegevens lijkt me in dat opzicht gewoon een probleem, waar bovendien niet echt een noodzaak voor is. Laten we gauw gaan investeren in eenvoudiger systeembeheer op de plek waar het hoort, ipv dat uit handen te geven aan anonieme machten waar niemand zicht op heeft.

#13 Grûtte Pier

Van de website basispoort.nl

Op de website http://www.basispoort.nl plaatst Basispoort cookies voor het gebruik van Google Analytics. Binnen de Basispoortdienst wordt hiervan geen gebruik gemaakt.

Juist ja, dus de Amerikanen luisteren sowieso (gedeeltelijk) mee!

@10

Stelletje paranoide probleemzoekers

Edward Snowden?
iCloud?
Dropbox?

Waar is dat rapport van PwC terug te lezen?

#14 zmoooc

@13 Er staat een directe link in het originele artikel achter de link waar dit vervolgartikel mee begint. Verplichte stof om hier uberhaupt een letter te mogen typen:p

En ik zie niet in wat Snowden, iCloud, Dropbox hiermee te maken hebben. Het bevestigt wel mijn tenlastelegging waar je op reageert met die opsomming:p

EDIT: Overigens zou ik ook liever zien dat Google Analytics daar niet rondhangt. Echter, zonder nader onderzoek kun je niet concluderen dat er ook gevoelige informatie die kant op zou gaan. De inlogpagina staat in ieder geval op een ander domein met andere cookies en zonder Google Analytics. Maar lijkt me verder een terechte constatering van iets dat beter kan en waar waarschijnlijk uberhaupt niet over is nagedacht. Maar dat er over een heleboel niet genoeg is nagedacht moge duidelijk zijn; dat komt ook duidelijk naar voren uit het rapport van PwC en staat niet ter discussie. De conclusies en zelfs vermoedens van kwaadwillendheid waarop dit artikel is gebaseerd en waar de reacties vanuit gaan lijkt me nog steeds ongefundeerd, evenals de conclusie dat over de verwerking van persoonsgegevens ook niet afdoende is nagedacht.

#15 zmoooc

@12

Mijn ervaring met IT in het onderwijs is dat het voornamelijk heel slecht is, en mijn ervaring met de uitgevers is dat ze een behoorlijk dwingend kartel zijn dat allerminst in het belang van de scholen, leerlingen of goede lesmiddelen handelt.

Juist. Dus des te meer reden om een oplossing buiten de scholen te kiezen. En absoluut eens met wat je zegt over de houding en rol van de lesmateriaaluitgevers; ik ben ze – in ieder geval in hun huidige verschijningsvorm – ook liever kwijt dan rijk. Dat ze daarom ook maar hun eigen ruiten in zouden gooien door niet uiterst zorgvuldig met deze data om te springen lijkt me een volstrekt ongefundeerde conclusie die bovendien niet gedragen wordt door de feiten, voor zover die uberhaupt bekend zijn.

#16 Mario

Laatste audit een jaar geleden (hoog tijd, dus!).
Een paar weken terug waren er nog problemen met SSL 3.0.
**ttp://info.basispoort.nl/Nieuws/TabId/4361/art/1314/basispoort-is-veilig.aspx

En…geen aansprakelijkheid voor basispoort.

“Basispoort is evenmin aansprakelijk voor enige schade als gevolg van het niet nakomen van enige overeenkomst (waaronder mede begrepen maar niet beperkt tot overeenkomsten tussen de School en uitgeverijen, ict-dienstverleners en schoolleveranciers) in het kader vande Basispoortdienst.”
**ttp://info.basispoort.nl/Portals/76/PUBMOD/594/Basispoort_gebruikersovereenkomst_versie1%202_inwerking%201%20%20augustus%202014.pdf

Volgens mij hangt twitter ook aan die site te zuigen.

#17 Inca

@15, de aanname dat ze hun eigen ruiten zouden ingooien als ze onzorgvuldig zouden zijn lijkt mij dan weer volstrekt ongefundeerd – van alle incompetentie in de IT heeft volgens mij alleen Diginotar zichzelf de das omgedaan. De rest mag allemaal vrolijk blijven zitten.

#18 zmoooc

Maargoed. Googlend op het uittreksel uit de Gebruikersovereenkomst waaruit @16 quote kom ik hier uit:

http://www.dehorn.eu/home/het-klokhuis

En daar staat dat die gebruikersovereenkomst de bewerkersovereenkomst (tussen school en basispoort; basispoort is bewerker van de gegevens van de school) in de zin van de WbP is. Nou heb ik geen tijd om die helemaal uit te pluizen, maar lijkt dat me in beginsel een redelijke (dus niet “uitmuntende”:pp) bewerkersovereenkomst die vrij duidelijk alle mogelijke beschuldigingen waar hierboven sprake van is weerlegt. Wel kun je je afvragen wat een school bezielt om een dergelijke overeenkomst te tekenen; de verantwoordelijkheid voor de veiligheid van de gegevens is er zeer duidelijk in beschreven. Echter, de aansprakelijkheid lijkt volledig bij de scholen gelegd te worden. Maar dat moeten ze lekker zelf weten (voor zover ze die keuze hebben gezien de positie die de uitgevers in het schoollandschap innemen).

@16

Een paar weken terug waren er nog problemen met SSL 3.0.

Vergezochte maar veelgebruikte stelling, niet alleen betreffende de beveiliging van Basispoort. Het risico van SSL 3 wordt schromelijk overdreven; tenzij je zelf onverantwoordelijk antieke software gebruikt waarvan je dondersgoed weet dat je dat niet meer moet gebruiken, is er niks aan de hand, want dan praat je browser al lang geen SSL 3 meer.

“Dit geldt alleen voor internetgebruikers die sterk verouderde besturingssystemen en browsers gebruiken, zoals Windows XP en Internet Explorer 6.”

#19 Mario

“tenzij je zelf onverantwoordelijk antieke software gebruikt”

Windows XP – waarvan nog steeds relatief veel gebruik van wordt gemaakt.
IE6 – waarvan tevens nog door meerdere gebruik van wordt gemaakt. (onvoorstelbaar, maar waar)

Hoewel er zeker een inhaalslag wordt gemaakt met het upgraden van beide, blijft het hoe dan ook risicovol.

Vergeet niet, dat lang niet iedereen over voldoende geld beschikt om een OS op te waarderen. Let wel, bijv. stichting Leergeld geeft al dan niet gebruikte computers aan mensen met een smalle beurs en schoolgaande kinderen.

Ouwe bak en een leuke Linuxdistro is voor veel mensen gewoon een stap te ver. Die blijven hangen aan verouderde systemen, terwijl ze er net achter zijn gekomen hoe de aan/ uit functie werkt.

Daarbij, is het “slechts” een kwestie van tijd tot een of andere slimmerik de (reeds) geimplementeerde beveiligingslagen kraakt. Alles is te kraken, zoals je waarschijnlijk weet.

#20 Inca

Tsja, dus…
– het is volkomen logisch dat scholen hun data uitbesteden want systeembeheer is moeilijk
– vervolgens is het hun eigen schuld dat ze oude software gebruiken want dan hadden ze maar betere systeembeheerders moeten hebben.

Kwenie, maar als we die competente systeembeheerders toch nodig hebben binnen de scholen, dan kunnen ze toch ook wel een simpel servertje onderhouden?

#22 Grûtte Pier

@18: ”Het risico van SSL 3 wordt schromelijk overdreven”

Bagatelliserend spreken over een serieus beveiligingslek van een database met privégegevens van meer dan een miljoen kinderen + ouders + schoolresultaten en wat al niet meer…

” ik heb in het verleden meermalen geacteerd als contractueel eindverantwoordelijke bij de ontwikkeling, levering en het beheer van software waarin zeer privacy-gevoelige informatie werd verwerkt”

Hmm, juist ja… verbaast me niets dat je het verband met iCloud enz. niet ziet.

@19: ”Daarbij, is het “slechts” een kwestie van tijd tot een of andere slimmerik de (reeds) geimplementeerde beveiligingslagen kraakt”

Exactly!

#23 Henk van S tot S

Zelfs al zou het doorspelen van gegevens van leerlingen, niet tegen de wet zijn, dan wordt het tijd dat die wordt aangepast.
Bovendien is het ook hoogst onpersoonlijk onfatsoenlijk van de scholen die dit doen.
Wat die uitgevers betreft:
Hacken die gasten en hun boekjes voor iedereen gratis op het internet zetten; gedragen ze zich vast beter ;-)

@12:
Slecht “computeronderwijs”:

Tja! Het zou natuurlijk mooi zijn indien Slijmerig Sander zich daar eens mee bezig zou houden.
Misschien moet hij dit in Nederland bevorderen:
http://www.emerce.nl/opinie/nederlandse-ictonderwijs-achterhaald
Zelf een goed initiatief van hem verwachten lijkt me te veel gevraagd ;-)

#24 Mario

@23

Het lastige is en blijft, dat dit soort ideetjes wordt uitgedacht door een aantal (al dan niet politieke) onbenullen die een leuk prestigieus projectje willen hebben.

Waarop vervolgens mensen met de allerbeste intenties (en de zwakste schakels) dit ten uitvoer brengen met allerlei bandages. Drempels ter beveiliging opgooien is prima, uiteraard, maar een breekijzer en die zijn gewoon weg.

Maar goed, bij mij zal er een zekere mate van bias zijn, aangezien ik besef dat geen enkele beveiliging ‘veilig’ is (te maken).

Bij mij mogelijk bias, bij anderen een gigantische blinde vlek als het aankomt op het beveiligen van data.

Bij Sony dacht men ook hyperveilig te zijn. We zijn inmiddels op dit punt aangekomen: http://www.nu.nl/film/3946441/gezinnen-sony-pictures-medewerkers-bedreigd-hackers.html
(Het is overigens NIET gezegd dat Korea achter die hack zit. De door de hackers gebruikte teksten schijnen nogal op een vertaling van google translate te lijken. Zo ik begreep.)

#25 Henk van S tot S

@23:
Correctie 2e zin: ”Bovendien is het ook hoogst onpersoonlijk onfatsoenlijk van de scholen die dit doen.”
Moet zijn:
Bovendien is het ook hoogst onfatsoenlijk van die scholen, om persoonlijke gegevens door te spelen.”

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

| Registreren

*
*
*