Aanpak Privacy en Informatiebeveiliging in het onderwijs moet beter

Sinds de inwerkingtreding van de AVG-wetgeving op 25 mei 2018 lijkt de bewustwording m.b.t. (online) privacy en goede beveiliging van informatie, ook wel IBP genoemd, enorm te zijn toegenomen t.o.v. een paar jaar geleden

Dit concludeerde softwareontwikkelaar Smile tijdens IPON 2020 (onderwijsbeurs voor innovatie en ICT). Het overgrote deel van de onderwijsinstellingen (65%) vindt dat zij hun IBP-beleid op orde hebben. Een kleiner deel vindt van niet (17%), of vindt dat hier nog ruimte is voor verbetering (18%). Smile waarschuwt dat ondanks deze optimistische cijfers onderwijsinstellingen kritisch moeten blijven en dat er nog altijd flinke stappen zijn te maken.

Tool voor hulp met IBP

Smile, specialist in het ontwikkelen van online hulpmiddelen voor grip op risico’s, heeft samen met koplopers in het onderwijs een tool ontwikkeld om scholen te helpen met hun IBP-aanpak. Een paar jaar geleden signaleerde Smile dat veel onderwijsinstellingen moeite hebben om overzicht te bewaren en de juiste prioriteiten te stellen. Een gemiddelde school kan soms wel tot een paar honderd verschillende ICT-systemen gebruiken. Hoe complexer het ICT-landschap wordt, hoe groter het risico dat er ergens iets misgaat.

Toch liet Smile’s peiling zien dat de meeste respondenten daar niet zo bang voor zijn. Ruim 63% van de ondervraagden geeft aan dat de grootste belemmerende factor voor een adequaat IBP-beleid het gedrag en de bewustwording van de mensen zelf is. Een incident kan al ontstaan omdat iemand per ongeluk op een verkeerd linkje heeft geklikt. Maar die kans op en het effect van zo’n datalek wordt volgens Smile enorm onderschat, dat bewijst ook de huidige actualiteit rondom gehackte informatie in het onderwijs, keer op keer.

Zo durfde slechts 35% van de ondervraagden toe te geven dat er ook wel eens een incident heeft plaatsgevonden. Bovendien gaven sommigen aan het op dat moment niet nodig te vinden dit te melden bij de Autoriteit Persoonsgegevens (AP). Een nog groter deel van de ondervraagden (37%) ontkent dat er ooit iets is gebeurd en een deel (28%) weet het eigenlijk niet. Er wordt nog weinig urgentie gevoeld en er is nog veel onwetendheid over wie er toegang kan krijgen tot gevoelige data.

Kloof tussen werkvloer, directie en ICT zorgelijk

Wendy Geurkink, commercieel directeur van Smile: “Dit is voor ons op zich een herkenbaar maar zorgelijk beeld. We zien ook anno 2020 nog steeds een klassieke kloof tussen de werkvloer, directie en ICT. Men zegt dat IBP-beleid voldoende op de agenda staat, maar we zien dat ‘Privacy en security first’ in de praktijk nog zelden een echt directie-onderwerp is. Wil het dat zijn, dan moet een school wel beschikken over de juiste inzichten en tools om prioriteiten te kunnen stellen. Juist dat ontbreekt nog vaak. Onze barometer laat zien dat 9% eigen tools gebruikt om overzicht te bewaren, terwijl slechts 30% professionele tools van derden gebruikt. Het meest gemiste onderdeel van een dergelijke tool is een dashboard voor realtime overzicht en analyse, als voedingsbodem voor prioriteren en beleid. We willen laten zien dat we juist op die punten het een stuk makkelijker kunnen maken voor onderwijsinstellingen.”

Technologiestrijd om plek in klaslokaal

Op IPON 2020 werd duidelijk dat de strijd om het klaslokaal in de basis door drie concurrerende tech-giganten wordt gevoerd: Microsoft, Google en Apple. In de periferie een enorm aanbod van digitale oplossingen zoals nieuwe AI-toepassingen en applicaties die binnen deze of andere overkoepelende platforms worden aangeboden.

ICT-ers in het onderwijs noemen het met recht een ‘oerwoud’ van digitale middelen. En dus moeten scholen op z’n minst kritisch kijken naar de keuzes die zij maken voor bepaalde platforms en vervolgens de verwerkersovereenkomsten die zij met deze partijen sluiten over het gebruik en opslag van data uit de klas, bijvoorbeeld gerelateerd aan de schoolprestaties van een kind. Slechts 7% van de ondervraagden tijdens de beurs gaven aan zich op regelmatige basis zorgen te maken over wat er allemaal mis kan gaan rondom IBP in het onderwijs. Meer dan de helft (52%) zei dat zij zich helemaal nooit zorgen maken hierover.

Smile biedt IBP-oplossing voor onderwijsinstellingen

Geurkink: “Zolang als niemand zich hardop de vraag stelt hoe logisch het eigenlijk is dat we de sleutel tot een kinds schoolprestaties weggeven aan een Amerikaanse techreus is er nog een lange weg te gaan. Vanuit Smile bieden we geen alternatieven. Wel maken we het makkelijker om de potentiele risico’s goed in beeld te brengen. Met onze oplossing heb je bijvoorbeeld snel inzicht in welke typen persoonsgegevens worden gebruikt en kun je risicoanalyses (DPIA’s) uitvoeren en incidenten monitoren. Dit maakt het makkelijker om prioriteiten te stellen en te zien waar je aanvullende maatregelen moet treffen.

Bovendien bieden wij toegang tot een actieve gebruikerscommunity die erg bereid is om kennis met collega-onderwijsinstellingen te delen. Zo bieden wij voor zowel het MBO als VO/PO een volledig voor-ingevuld verwerkingsregister, en worden er zelfs model verwerkersovereenkomsten gedeeld om het makkelijker te maken voor elkaar. Het AP heeft dan wel aangekondigd het onderwijs nog niet als hoge prio te zien[1] in 2020, wij denken dat dit een kwestie van tijd is, zo bewijst ook het nieuws van vandaag weer[2]. Wij helpen het onderwijs graag om te werken aan de benodigde stappen.”

Scholen kunnen een gratis informatiepakket aanvragen via smile.nl/onderwijs.

[1] Dit blijkt uit een recent persbericht.
[2] Artikel