Schoolpoort Blog

RTL Nieuws: lek in server met prive gegevens van kinderen.

Door een bekende kwetsbaarheid in ssl 3.0 zijn de vorderingen van vrijwel alle kinderen op de basisschool wekenlang inzichtelijk geweest. Desondanks zou er geen misbruik zijn gemaakt van het lek, zo meldt RTL Nieuws vrijdagavond. Het lek zat in een server die uitgevers gebruiken voor Basispoort, een softwareprogramma waarin de prestaties van basisschoolleerlingen worden opgeslagen. Dat programma is van een gezamenlijke stichting van uitgevers Malmberg, Zwijsen, ThiemeMeulenhoff en Noordhoff.

Een ict-expert tipte RTL Nieuws, die erachter kwam dat het om een bekend lek ging. Het Nationaal Cyber Security Center waarschuwde daar vorige maand al voor. Het gaat om de bug Poodle, een kwetsbaarheid in het ssl 3.0-protocol. Veel browsers en servers zijn daarvoor vatbaar, omdat ze nog steeds de achttien jaar oude versie ondersteunen.

Hoewel het probleem al enkele weken bekend is, werd het lek volgens RTL Nieuws donderdagmiddag pas gedicht. Er zou die tijd geen ongeoorloofd gebruik zijn geconstateerd. Alleen internetgebruikers van verouderde besturingssystemen en browsers, zoals Windows XP en Internet Explorer 6, waren kwetsbaar. Het is de tweede keer in ??n week tijd dat Basispoort in het nieuws is. Eerder gebeurde dat al nadat bleek dat de genoemde uitgevers de vorderingen van vrijwel alle kinderen verwerken met hun software, terwijl ze daarvoor geen toestemming vroegen aan ouders. De vorderingen worden met naam en toenaam opgeslagen.

ICT-deskundige Brenno de Winter vindt het niet kunnen dat een server met zulke gevoelige gegevens zo lang niet goed beveiligd was: “De server is niet up to date. Niet alleen op dit punt. In de uitgeverijen gaat veel geld om. Je zou verwachten dat een site met persoonsgegevens van kinderen aan alle veiligheidseisen voldoet”, zegt De Winter.

Een woordvoerder van het ministerie van Onderwijs laat weten dat het ministerie de zaak ‘op de voet’ volgt. “Maar scholen zijn zelf verantwoordelijk voor de software die ze gebruiken”, zegt de woordvoerder.

Uitgevers willen uitleg geven aan de Kamer dat de gegevens van leerlingen niet zomaar op straat liggen. Dit naar aanleiding van?het bericht van RTL Nieuws dat basisscholen op grote schaal priv?gegevens over leerlingen doorsluizen naar educatieve uitgeverijen. Volgens experts overtreden de scholen en uitgevers daarmee de Wet bescherming persoonsgegevens (Wbp). De Groep Educatieve Uitgeverijen (GEU) wil nu een technische briefing met Kamerleden hoe de gegevensverwerking precies werkt en welke maatregelen de uitgeverijen nemen om de privacy te waarborgen.

Gegevens kinderen op school slecht beveiligd.

Klik HIER om het onderstaande artikel te lezen in Trouw.

De gegevens die er over kinderen en hun ouders aanwezig zijn op school zijn slecht beveiligd en scholen blijken zich lang niet bewust van de risico’s die het administreren van gegevens over een kind met zich meebrengt, zo blijkt uit een onderzoek van Price, Waterhouse & Coopers dat werd uitgevoerd in opdracht van het Ministerie van Onderwijs, Cultuur en Wetenschappen.

Schijnbaar was dit rapport niet voldoende interessant om breeduit te worden uitgemeten in de pers, ondanks de onthutsende bevindingen die we in het rapport terugvinden. Het rapport spreekt namelijk van een enorme hoeveelheid aan informatie die er op een school geadministreerd worden en constateert dat scholen nogal eens zouden kunnen ‘lekken’

Stel je de volgende situatie eens voor: Je kind is een echte brokkenpiloot. Hij stoeit, voetbalt en klimt in bomen en dat levert niet zelden een blauwe plek en de nodige schrammen op. Vorige week nog is hij uit een boom gevallen met als gevolg dat zijn hele rug onder de blauwe plekken zit. Een leerkracht constateert dit en maakt zich (terecht) zorgen. Want zou er sprake kunnen zijn van mishandeling? De leerkracht, met alle goede bedoelingen, maakt er een notitie van in het dossier. Je weet maar nooit waar het goed voor is.

De administratiesystemen van scholen staan bomvol met informatie zoals bijvoorbeeld medische gegevens en geloofsovertuiging maar ook het vermoeden van huiselijk geweld of mishandeling. Het is bijzonder hoe weinig aandacht hier eigenlijk voor is. De opmerking over de blauwe plekken van je zoon staat inmiddels ook in het dossier. Zoiets kan, onder net even de verkeerde omstandigheden, plots tendentieus worden gebruikt en dat zijn zaken waarvoor we moeten waken.

Het gaat niet alleen om dergelijke situaties. Scholen maken namelijk ook lustig gebruik van Facebook om foto’s te delen en schromen er niet voor om kinderen met naam en toenaam te noemen. Een voorbeeld daarvan uit mijn eigen directe omgeving spreekt boekdelen; Moeder X is gescheiden en vader is gewelddadig. Moeder heeft het contact met vader verbroken en is gevlucht naar een stad 100 km verder. Via de rechter is er een omgangsverbod en moeder en kind hebben een geheim adres. U voelt hem al aankomen; 2 jaar later plaatst de school een foto met naam en toenaam van het kind. ‘Kijk; hier is kindje Janneke M.G. Schmidt van 5 uit groep 2 van Basisschool de Sufferdjes in Bussemerliede’. Vader staat enkele weken later aan het hek van de school. Zoiets doet een school niet expres, het gebeurt gewoon. Juf was gewoon even vergeten dat Janneke een geheim adres heeft.

De meeste scholen administreren hun gegevens via een van de vier grotere ‘spelers’ op het gebied van leerlingenadministratie en leerlingvolgsystemen. Scholen lijken ervan uit te gaan dat het allemaal wel goed zit met de verwerking van gegevens. ‘Dat zullen ze toch wel geregeld’ hebben lijkt zo ongeveer over de hele linie binnen het onderwijs te leven. Men maakt zich er dus in feite geen zorgen om.

Het incident met Snappet doet dit verhaal inmiddels weer een beetje opleven; Snapper ‘verhuurt’ tablets aan zo’n 400 scholen en werd in Augustus 2014 door het College Bescherming Persoonsgegevens op de vingers getikt op grond van de Wet Bescherming Persoonsgegevens. Zonder het echt duidelijk kenbaar te maken (zo luidt althans de mening van het CBP), maakte Snappet gebruik van de gegevens. Snappet ontkent en zegt in feite dat er niets aan de hand is. In de privacyovereenkomsten met scholen (zie onderaan) hebben zij namelijk de verantwoordelijkheid voor gegevens bij scholen ondergebracht.

Recentelijk is ook we Wet Passend Onderwijs ingevoerd. Alle kinderen moeten een plek krijgen op een school die past bij hun kwaliteiten en mogelijkheden. Ook als zij extra ondersteuning nodig hebben. Dit zou kunnen betekenen dat er dadelijk in de systemen van scholen steeds meer medische gegevens gaan worden opgenomen. Dat is iets waarbij we goed moeten stil staan.

Ik ben ondernemer en ik reis door het hele land. Daarbij bezoek ik beroepshalve veel scholen en schoolbesturen en spreek regelmatig over dit onderwerp met schooldirecties. Daarbij merk ik dat er steeds meer aandacht wordt besteed aan het juiste gebruik van digitale middelen, internet, facebook en twitter. Kanttekening; Ik bezoek vooral scholen en schoolbesturen die vooruitstrevend zijn op het gebied van ICT dus mijn ‘veldwerk’ is niet representatief.

Dit is en blijft een interessante discussie; wie is er eigenlijk verantwoordelijk? Is dat de partij die een digitaal middel ter beschikking stelt of is dat de school? En in hoeverre is er toestemming nodig van ouders. En hoe regelen we dan die toestemming van ouders? De situatie rondom Snappet doet de situatie weer oplaaien. Laten we ditmaal de discussie levendig houden en zorgen voor oplossingen!

Het rapport van Price, Waterhouse en Coopers treft u hier aan: http://www.rijksoverheid.nl/documenten-en-publicaties/rapporten/2014/09/10/nulmeting-privacy-en-informatiebeveiliging-in-het-primair-en-voortgezet-onderwijs.html