Donkere wolken in de cloud

De duistere kant van cloudcomputing werd dit weekend weer eens pijnlijk duidelijk. In een artikel op Follow The Money werd de gebrekkige wijze waarop de privacy is geregeld (of eigenlijk niet is geregeld) bij een aantal grote leerlingvolgsystemen uit de doeken gedaan. De conclusies zijn niet mals, het is niet al te best gesteld met die privacy.

Voordat u nu meteen in blinde paniek raakt: de gegevens van uw leerlingen liggen niet op straat. In die zin valt het mee. Maar er wordt meer gedeeld dan u in eerste instantie denkt. Zo maken educatieve onderwijsmiddelen die door gebruikers worden aangeschaft blijkbaar geen onderdeel uit van het privacy convenant. Dus bepaalde informatie mag klaarblijkelijk worden gedeeld met uitgevers. Nog ernstiger is dat aan de ‘achterkant’ zaken, zowel technisch als juridisch, dusdanig zijn ingericht dat in het uiterste geval de (Amerikaanse) inlichtingendiensten kunnen meelezen. En nog veel meer van dit soort mankementen. De vraag is of je als school dit kan voorkomen. U hebt immers keurig met zo’n leverancier een verwerkersovereenkomst getekend en daarmee lijkt de boel toch prima geregeld. Dus niet.

Diginotar

Het deed mij denken aan de beruchte Diginotar affaire. Dit bedrijf was door de overheid aangesteld om certificaten voor overheidssites te beheren. Zodat u en ik zeker weten dat als wij naar de site van de belastingdienst gaan deze site veilig is. Het bleek echter dat het bedrijf het IT-beheer zo slecht op orde had dat het werd gehacked. Het punt was dat de overheid weliswaar na een aanbesteding de opdracht aan Diginotar had gegund maar daarna nooit heeft gecontroleerd of het bedrijf wel aan de normen voldeed.

Risico’s

Nu is het voor een individuele school natuurlijk ondoenlijk om zo’n onderzoek zoals in het artikel geschetst uit te voeren. Maar doordat steeds meer software als dienst wordt afgenomen dient u zich wel bewust te zijn van de risico’s. De grootste risico’s zitten echter vaak veel dichter bij huis. Denk aan de wijze waarop informatie tussen systemen wordt uitgewisseld. Zaken waar u wel grip op kan en moet houden. Maar dat vraagt dus om specifieke kennis.

Van beheer naar regie

De verschuiving van beheer naar regie betekent dat u flink moet investeren in andere kennis, kunde en vaardigheden. Uw IT-afdeling verandert naar een IT-regiebureau. En een kenmerk van een IT-regiebureau is dat u niet alle noodzakelijk expertise ook daadwerkelijk zelf in huis haalt. Een IT-architect? Een expert op het vlak van privacy? Allemaal rollen die u enkele keren per jaar inhuurt. U dient vooral regie te voeren en kritisch te zijn. De toepassing van cloudcomputing biedt heel veel voordelen, ook voor het onderwijs. Maar het kent wel een keerzijde. Juist daar moet u zich goed van bewust zijn.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *