Privacy in het onderwijs vraagt om regie

sleutelslotDeze week werd bekend dat Edu-IX aan een hack ten prooi was gevallen. Edu-IX is onderdeel van Eduroute, het samenwerkingsverband van educatieve distributeurs en boekhandels. Eduroute verzorgt de ontsluiting van digitaal lesmateriaal. Bij de hack zijn mogelijk persoonsgegevens van leerlingen buitgemaakt.

Het zal niet de laatste keer zijn dat cruciale IT-onderdelen voor het onderwijs onder vuur komen te liggen. Voor scholen is dit een buitengewoon ingewikkeld probleem. Immers, het zijn weliswaar de gegevens van de leerlingen van de school maar tegelijkertijd heeft de school zelf hier geen enkele invloed op. Dit is de andere kant van die op zich zo mooie ‘cloud’ medaille.

Internettechnologie

Internettechnologie heeft er voor gezorgd dat veel complexe toepassingen op een eenvoudige en goedkope manier beschikbaar zijn gekomen voor het onderwijs. Voor e-mail maken we gebruik van Microsoft of Google, de ELO wordt als dienst afgenomen en hoeven we daardoor technisch niet te beheren en applicaties worden via het web gedistribueerd: mikken en klikken! Genoemde technologie heeft er daarmee toe geleid dat de IT-voorziening steeds meer uit een keten bestaat. Met alle risico’s van dien. U moet er blijkbaar maar op vertrouwen dat al die leveranciers hun werk naar behoren doen.

Diginotar

Enkele jaren geleden speelde de Diginotar affaire. Diginotar was door de overheid aangesteld om de websites van diezelfde overheid van certificaten te voorzien dat de betrouwbaarheid van die websites garandeerde. Het bleek echter dat het bedrijf zelf er een hopeloos beveiligingsbeleid op na hield. Met als gevolg dat de systemen werden gehacked. De overheid had (in de aanbesteding) wel degelijk eisen gesteld aan de kwaliteit van de organisatie. Maar diezelfde overheid had vervolgens verzuimd om gedurende de contractperiode deze ‘kwaliteit’ te toetsen. En dan heeft het stellen van eisen dus niet zo heel veel zin.

Bewerkersovereenkomst

Veel scholen zijn in de veronderstelling dat het hebben van een bewerkersovereenkomst met een leverancier wel voldoende is. Maar (zie Diginotar) dat is dus niet zo. Sterker nog, in geval van een datalek zal, indien dit leidt tot een rechtszaak, de rechter waarschijnlijk vragen wat de school zelf voor maatregelen heeft uitgevoerd. Heeft u er, kortom, alles aan gedaan om de betrouwbaarheid en veiligheid te borgen. Het is voor een gemiddelde school echter onmogelijk (en veel te kostbaar) om al die leveranciers te controleren middels audits.

Rol overheid

Ik zie hiervoor een grote rol voor de overheid en de brancheorganisaties. En steviger dan de wijze waarop dit nu gebeurt. Zie het project ‘doorbraak in de keten’ waarin wel degelijk goede afspraken zijn gemaakt over bijvoorbeeld gegevensuitwisseling maar zonder dat dit wordt afgedwongen. We hebben in Nederland toch ook afgesproken dat we in het verkeer rechts rijden? Tot die tijd moet u dus nog steviger aan het stuur zitten. Dat begint bij een goed doortimmerd informatiebeveiligingsplan maar vooral bij het uitvoeren van de controle. Doen dus!

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *