Schoolpoort Blog

Persbericht – Schoolpoort in de Tweede Kamer

Dat privacy in het onderwijs een heet hangijzer is, werd het afgelopen half jaar pijnlijk duidelijk. De Tweede Kamer zoekt naar een oplossing en heeft vandaag voor de vaste Kamercommissie Onderwijs de makers van Schoolpoort uitgenodigd vanwege hun visie op privacy. Het basisconcept van Schoolpoort, de ‘digitale kluis’ voor leerlingen, lost niet alleen het privacy probleem op, maar stimuleert ook talentontwikkeling van leerlingen en vereenvoudigt het werk van scholen. De basis is een rigoureuze wijziging van het systeem: maak de leerling zelf eigenaar van zijn onderwijsgegevens.

Eind vorig jaar lekte een rapport uit dat het ministerie van OCW door PwC heeft laten uitvoeren, waaruit bleek dat scholen welwillend zijn, maar dat het in de praktijk vaak misgaat. Niet veel later barstte de bom toen RTL Nieuws ontdekte dat scholen persoonsgegevens delen met grote uitgevers. Ook werd er een lek ontdekt in een van de servers van Basispoort. Duidelijk werd dat de huidige gebruikte informatiesystemen kwetsbaar, onveilig, inefficiënt en niet transparant zijn.

Privacy issue – Alsof jouw LinkedIn account wordt beheerd door je baas

Hoewel er sindsdien stappen zijn gemaakt, zijn de makers van Schoopoort van mening dat het huidige systeem drastisch omgegooid moet worden. Hun oplossing, Schoolpoort, is een digitale kluis die eigendom is van de leerling. Hierin worden alle onderwijsgegevens gedurende de schoolcarrière van de leerling overzichtelijk verzameld. De leerling (of tot 16-jarige leeftijd, de ouders) krijgt de sleutel tot de kluis en daarmee toegang tot het beheer van zijn gegevens. De leerling is dan zelf verantwoordelijk voor het delen van de gegevens met de overheid en bepaalt zelf of zijn gegevens worden gebruikt voor zaken als het vervaardigen van lesmateriaal of het verbeteren van toetsen en examens of voor het delen van bepaalde gegevens met uitgevers. “Volgens ons is de basis van het probleem dat scholen nu nog alle onderwijsgegevens in beheer hebben. Zelf ben je dus geen eigenaar van je leerresultaten, zoals CITO-uitslagen.” Een raar principe, aldus Peter Paul Laumans, een van de vier initiatiefnemers. “Het is jóuw school portfolio. Het is alsof jouw LinkedIn account wordt beheerd door je baas.”

Onderwijsparticipatie – meer dan twee keer een tien-minuten-gesprek

De initiatiefnemers, zelf ook vaders en jarenlang actief in het onderwijs bedachten uit onvrede Schoolpoort. Zij misten betrokkenheid bij de opleiding van hun kinderen en vroegen zich hardop af wat er met de gegevens van hun kinderen gebeurde. Jeroen Schutz, oprichter van Schoolpoort “We zagen de gegevens van onze kinderen terug in soms wel 10 verschillende systemen, maar bijvoorbeeld ook op Facebook en Twitter. Goedbedoeld, maar niet wenselijk. Privacy en procesverbetering in het onderwijs was de aanleiding voor de ontwikkeling van Schoolpoort, maar we zagen ook dat waardevolle informatie niet optimaal werd gebruikt en gedeeld. Op dit moment wordt je als ouders slechts op een paar momenten betrokken bij de vorderingen van je kind: tijdens een tien-minuten-gesprek of snel even tussendoor op het schoolplein.”

In Schoolpoort wordt de informatie overzichtelijk verzameld en verhuist deze in de digitale kluis mee met de leerling gedurende de gehele onderwijscarrière. Nu gaan onderwijsgegevens nog eenvoudigweg verloren omdat de (informatie)systemen van basisonderwijs, voortgezet onderwijs en hoger onderwijs niet goed op elkaar aansluiten. In plaats van ad-hoc informatie – een printje tijdens een oudergesprek – krijgen ouders over meerdere jaren inzicht in de totale ontwikkeling van een kind. Zo kunnen ze zien waar het talent van een kind tot uitdrukking komt en wat een kind nodig heeft.

Succesvolle pilots – leerkrachten zijn geen administratief medewerker meer

Schoolpoort is een laagdrempelig alles-in-een-systeem dat werd ontwikkeld in nauw overleg met ouders, leerkrachten en schoolbesturen. Honderden scholen meldden zich aan voor de pilot en meer dan 75 onderwijsinstellingen nemen deel aan de uitgebreide pilotfase. De reacties zijn uitermate positief. Een van de pioniers, verenigingsdirecteur van 14 basisscholen in de gemeentes Stichtse Vecht en Ronde Venen, vertelt over haar ervaringen tot nu toe: “Ouderbetrokkenheid staat hoog op ons lijstje, maar we worstelden hoe we dit ‘educatief partnerschap’ in de praktijk moesten invullen. Met Schoolpoort zien we dat leraren en ouders sneller en beter met elkaar schakelen omdat ze dezelfde informatie tot hun beschikking hebben. Daarnaast is het een ontlasting van het personeel. Omdat we met één gebruiksvriendelijk systeem werken, met één login, voelen leerkrachten zich geen administratief medewerker meer. Zo kunnen we ons meer concentreren op onze kerntaak: goed onderwijs en is het zelfs een besparing in het budget.”

Internationale interesse

De activiteiten van Schoolpoort blijven niet onopgemerkt bij investeerders. Onlangs ontving het bedrijf extra financiering en inmiddels is er ook vanuit het buitenland interesse getoond voor de applicatie.

Makers van Schoolpoort uitgenodigd door Tweede Kamer

Privacy is een ‘hot issue’ in onderwijs. Eind vorig jaar barstte de bom toen RTL Nieuws diverse misstanden aan het licht bracht daar waar het privacy en veiligheid betrof binnen de onderwijssector. Er bleek een server (computer voor centrale opslag van gegevens) te ‘lekken’ als het ware. Dat was een centrale server van Basispoort; een samenwerking van uitgevers van lesmaterialen in ons land. En dus lagen de gegevens van leerlingen min of meer op straat. Min of meer, want gelukkig bleek dat niemand dat lek nog had ontdekt. 

Hoewel ik een groot voorstander ben van een radicale aanpak ten aanzien van de opslag en beveiliging van gegevens binnen het onderwijs, was de kritiek naar mijn smaak teveel gericht op de uitgevers en op de Staatssecretaris. Het probleem is breder en de verantwoordelijkheid ligt bij (veel) meer partijen; scholen en schoolbesturen zelf niet in de minste zin. De makers van administratieve systemen ontsprongen de dans bovendien. Want hoe hebben die e.e.a. geregeld?

Wat is er aan de hand?

Er is in Nederland de zgn. Leerplichtwet. Die wet bepaalt dat ieder kind verplicht naar school moet vanaf zijn vierde levensjaar. Scholen worden ervoor betaald om die wet ten uitvoer te brengen en als ouder kun je je dus bij een school melden om daar gratis onderwijs voor je kind te regelen. Hier begint het administratieve keten; een school moet een kind inschrijven in haar administratie. Daarmee treedt het tweede proces in werking; de school moet aan de gemeente en aan DUO (Dienst Uitvoering Onderwijs) doorgeven dat een kind geplaatst is. Zo kan de wetgever controleren of kinderen voldoen aan de leerplicht. Aan dit proces ontkomen we niet.

De school administreert dus gegevens van het kind (en diens ouders) en het kind gaat naar school. Nu begint een volgend proces; de school wil leerresultaten van een kind bijhouden. Denk aan rapportcijfers en absentie of schoolfoto’s maar ook aan CITO scores en dergelijke. Hoe langer een kind op school zit, des te meer gegevens er geadministreerd worden.
Voor de administratie maken scholen gebruik van Leerling Administratie Systemen (bijv. Parnayssys of Magister) en Leerlingvolg systemen. Los van de administratieve processen maken scholen tegenwoordig ook gebruik van digitaal lesmateriaal van uitgevers zoals Malmberg, Noordhoff of Thieme Meulenhoff.

De discussie gaat hierover; Van wie zijn de gegevens over een kind in juridisch opzicht? En over welke gegevens hebben we het uberhaupt? Hoe zijn ze beveiligd? Of; Mag een school gegevens delen met uitgevers. En zo ja; wat dan en voor welk doel? En niet in de minste plaats: In hoeverre krijgen ouders zicht op die gegevens?

Dit is wat er in de wet staat:

  • De betrokkene heeft het recht zich vrijelijk en met redelijke tussenpozen tot de verantwoordelijke te wenden met het verzoek hem mede te delen of hem betreffende persoonsgegevens worden verwerkt. De verantwoordelijke deelt de betrokkene schriftelijk binnen vier weken mee of hem betreffende persoonsgegevens worden verwerkt.
  • Indien zodanige gegevens worden verwerkt, bevat de mededeling een volledig overzicht daarvan in begrijpelijke vorm, een omschrijving van het doel of de doeleinden van de verwerking, de categorieën van gegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën van ontvangers, alsmede de beschikbare informatie over de herkomst van de gegevens.
  • Voordat een verantwoordelijke een mededeling doet als bedoeld in het eerste lid, waartegen een derde naar verwachting bedenkingen zal hebben, stelt hij die derde in de gelegenheid zijn zienswijze naar voren te brengen indien de mededeling gegevens bevat die hem betreffen, tenzij dit onmogelijk blijkt of een onevenredige inspanning kost.
  • Desgevraagd doet de verantwoordelijke mededelingen omtrent de logica die ten grondslag ligt aan de geautomatiseerde verwerking van hem betreffende gegevens.

Maar met het bovenstaande is het vraagstuk rondom eigendom niet beslecht. Ik ben van mening dat als we het systeem veranderen, we dan problemen rondom privacy kunnen oplossen. En de manier om dat te doen is, volgens ons, door de gegevens in eigendom te geven bij de leerling (of diens wettelijk vertegenwoordiger). Dat is nu niet zo. Vaak hebben ouders of leerlingen zelfs niet eens zicht op hun eigen gegevens.

Daarom hebben wij Schoolpoort ontwikkeld; geheel voor eigen rekening en risico. Schoolpoort geeft een leerling een digitale kluis. Daarin zitten de gegevens van die leerling. En daar waar dat wettelijk verplicht is, deelt de leerling (of de ouder) een gegevens met de overheid. Zoals bijvoorbeeld het gegeven op welke school dit kind zit.

Hiermee komen we op een tweede onderwerp; willen ouders en/of leerlingen dat uitgevers van lesmateriaal of makers van toetsen en examens zicht krijgen op de gegevens van een leerling? Als ouder zeg ik: ja, want ik wil niet dat mijn kind wordt afgerekend op een CITO eindtoets of op een eindexamen. Dat zijn momentopnamen. Ik wil als ouder een totaalbeeld over meerdere jaren zien en kunnen ontdekken hoe mijn kind zich ontwikkeld. Ik wil kunnen zien waar zijn/haar talenten tot uitdrukking komt. Als ik dus zicht heb op de gegevens van mijn kind dan wil ik die best delen met uitgevers zodat er een ‘analyse’ kan worden gemaakt. Want voor mij is een 5 geen slecht cijfer, zeker niet als ik weet dat andere kinderen gemiddeld een 3 scoren. Dat is waar een uitgever, samen met de school, aan zou kan bijdragen. Dat noemen we ‘benchmarking’. Zolang ik gegevens anoniem kan delen, zie ik vooral de voordelen! Maar ‘anoniem’ is dan wel het toverwoord.

Daarom heeft Schoolpoort een digitale kluis; de gegevens van een kind worden opgeslagen en ouders bepalen wat ermee kan/mag gebeuren. En als ze willen delen dan ziet een uitgever niet wie het kind is; alleen een nummer, gekoppeld aan wat dat kind geleerd heeft. De grote uitgevers zijn trouwens uberhaupt niet geinteresseerd in hoe mijn kind heet en waar die woont; zij leven van het verkopen van lesmaterialen aan scholen. Zij hebben niet als doel om jou als ouder plots een hypotheek, verzekering of vakantie aan te bieden als gevolg van het ‘profiel’ van jouw kind.

Wij hebben uitgesproken ideeen over de manier waarop we kunnen omgaan met privacy en we hebben veel grote plannen voor de toekomst! Inmiddels hebben we veel scholen die er net zo over denken als wij en die zich dus aansluiten bij Schoolpoort. Overigens niet alleen omwille van privacy; scholen vinden het ook heel erg handig dat wij hen een volledig ‘alles-in-een’ systeem (ook wel Single Sign On genoemd) bieden. Daardoor neemt de administratieve druk voor leerkrachten af en zo houden zij meer tijd over voor datgene waar zij voor staan; kinderen helpen leren om te leren. Bovendien besparen scholen (veel) budget met Schoolpoort.

We waren er al er trots op dat Staatssecretaris Dekker ons gevraagd heeft mee te praten over transparantie. En we zijn er trots op om door de vaste Kamercomissie van de Tweede Kamer te worden uitgenodigd om onze visie over dit onderwerp ten gehore te brengen. Wij knokken al jaren voor meer transparantie en voor aandacht voor privacy. We blijven de discussie voeren en we blijven de politiek benaderen en voeden. Bovendien blijven we bezig met het mobiliseren van ouders (en leerlingen) die ook het eigendom van eigen gegevens willen. Al heel veel scholen staan hiervoor open; zo komen we misschien samen tot een nieuwe benadering en tot een oplossing.

Jeroen Schutz – CEO Digiloket; het bedrijf achter Schoolpoort

RTL Nieuws: lek in server met prive gegevens van kinderen.

Door een bekende kwetsbaarheid in ssl 3.0 zijn de vorderingen van vrijwel alle kinderen op de basisschool wekenlang inzichtelijk geweest. Desondanks zou er geen misbruik zijn gemaakt van het lek, zo meldt RTL Nieuws vrijdagavond. Het lek zat in een server die uitgevers gebruiken voor Basispoort, een softwareprogramma waarin de prestaties van basisschoolleerlingen worden opgeslagen. Dat programma is van een gezamenlijke stichting van uitgevers Malmberg, Zwijsen, ThiemeMeulenhoff en Noordhoff.

Een ict-expert tipte RTL Nieuws, die erachter kwam dat het om een bekend lek ging. Het Nationaal Cyber Security Center waarschuwde daar vorige maand al voor. Het gaat om de bug Poodle, een kwetsbaarheid in het ssl 3.0-protocol. Veel browsers en servers zijn daarvoor vatbaar, omdat ze nog steeds de achttien jaar oude versie ondersteunen.

Hoewel het probleem al enkele weken bekend is, werd het lek volgens RTL Nieuws donderdagmiddag pas gedicht. Er zou die tijd geen ongeoorloofd gebruik zijn geconstateerd. Alleen internetgebruikers van verouderde besturingssystemen en browsers, zoals Windows XP en Internet Explorer 6, waren kwetsbaar. Het is de tweede keer in ??n week tijd dat Basispoort in het nieuws is. Eerder gebeurde dat al nadat bleek dat de genoemde uitgevers de vorderingen van vrijwel alle kinderen verwerken met hun software, terwijl ze daarvoor geen toestemming vroegen aan ouders. De vorderingen worden met naam en toenaam opgeslagen.

ICT-deskundige Brenno de Winter vindt het niet kunnen dat een server met zulke gevoelige gegevens zo lang niet goed beveiligd was: “De server is niet up to date. Niet alleen op dit punt. In de uitgeverijen gaat veel geld om. Je zou verwachten dat een site met persoonsgegevens van kinderen aan alle veiligheidseisen voldoet”, zegt De Winter.

Een woordvoerder van het ministerie van Onderwijs laat weten dat het ministerie de zaak ‘op de voet’ volgt. “Maar scholen zijn zelf verantwoordelijk voor de software die ze gebruiken”, zegt de woordvoerder.

Uitgevers willen uitleg geven aan de Kamer dat de gegevens van leerlingen niet zomaar op straat liggen. Dit naar aanleiding van?het bericht van RTL Nieuws dat basisscholen op grote schaal priv?gegevens over leerlingen doorsluizen naar educatieve uitgeverijen. Volgens experts overtreden de scholen en uitgevers daarmee de Wet bescherming persoonsgegevens (Wbp). De Groep Educatieve Uitgeverijen (GEU) wil nu een technische briefing met Kamerleden hoe de gegevensverwerking precies werkt en welke maatregelen de uitgeverijen nemen om de privacy te waarborgen.

Gegevens kinderen op school slecht beveiligd.

Klik HIER om het onderstaande artikel te lezen in Trouw.

De gegevens die er over kinderen en hun ouders aanwezig zijn op school zijn slecht beveiligd en scholen blijken zich lang niet bewust van de risico’s die het administreren van gegevens over een kind met zich meebrengt, zo blijkt uit een onderzoek van Price, Waterhouse & Coopers dat werd uitgevoerd in opdracht van het Ministerie van Onderwijs, Cultuur en Wetenschappen.

Schijnbaar was dit rapport niet voldoende interessant om breeduit te worden uitgemeten in de pers, ondanks de onthutsende bevindingen die we in het rapport terugvinden. Het rapport spreekt namelijk van een enorme hoeveelheid aan informatie die er op een school geadministreerd worden en constateert dat scholen nogal eens zouden kunnen ‘lekken’

Stel je de volgende situatie eens voor: Je kind is een echte brokkenpiloot. Hij stoeit, voetbalt en klimt in bomen en dat levert niet zelden een blauwe plek en de nodige schrammen op. Vorige week nog is hij uit een boom gevallen met als gevolg dat zijn hele rug onder de blauwe plekken zit. Een leerkracht constateert dit en maakt zich (terecht) zorgen. Want zou er sprake kunnen zijn van mishandeling? De leerkracht, met alle goede bedoelingen, maakt er een notitie van in het dossier. Je weet maar nooit waar het goed voor is.

De administratiesystemen van scholen staan bomvol met informatie zoals bijvoorbeeld medische gegevens en geloofsovertuiging maar ook het vermoeden van huiselijk geweld of mishandeling. Het is bijzonder hoe weinig aandacht hier eigenlijk voor is. De opmerking over de blauwe plekken van je zoon staat inmiddels ook in het dossier. Zoiets kan, onder net even de verkeerde omstandigheden, plots tendentieus worden gebruikt en dat zijn zaken waarvoor we moeten waken.

Het gaat niet alleen om dergelijke situaties. Scholen maken namelijk ook lustig gebruik van Facebook om foto’s te delen en schromen er niet voor om kinderen met naam en toenaam te noemen. Een voorbeeld daarvan uit mijn eigen directe omgeving spreekt boekdelen; Moeder X is gescheiden en vader is gewelddadig. Moeder heeft het contact met vader verbroken en is gevlucht naar een stad 100 km verder. Via de rechter is er een omgangsverbod en moeder en kind hebben een geheim adres. U voelt hem al aankomen; 2 jaar later plaatst de school een foto met naam en toenaam van het kind. ‘Kijk; hier is kindje Janneke M.G. Schmidt van 5 uit groep 2 van Basisschool de Sufferdjes in Bussemerliede’. Vader staat enkele weken later aan het hek van de school. Zoiets doet een school niet expres, het gebeurt gewoon. Juf was gewoon even vergeten dat Janneke een geheim adres heeft.

De meeste scholen administreren hun gegevens via een van de vier grotere ‘spelers’ op het gebied van leerlingenadministratie en leerlingvolgsystemen. Scholen lijken ervan uit te gaan dat het allemaal wel goed zit met de verwerking van gegevens. ‘Dat zullen ze toch wel geregeld’ hebben lijkt zo ongeveer over de hele linie binnen het onderwijs te leven. Men maakt zich er dus in feite geen zorgen om.

Het incident met Snappet doet dit verhaal inmiddels weer een beetje opleven; Snapper ‘verhuurt’ tablets aan zo’n 400 scholen en werd in Augustus 2014 door het College Bescherming Persoonsgegevens op de vingers getikt op grond van de Wet Bescherming Persoonsgegevens. Zonder het echt duidelijk kenbaar te maken (zo luidt althans de mening van het CBP), maakte Snappet gebruik van de gegevens. Snappet ontkent en zegt in feite dat er niets aan de hand is. In de privacyovereenkomsten met scholen (zie onderaan) hebben zij namelijk de verantwoordelijkheid voor gegevens bij scholen ondergebracht.

Recentelijk is ook we Wet Passend Onderwijs ingevoerd. Alle kinderen moeten een plek krijgen op een school die past bij hun kwaliteiten en mogelijkheden. Ook als zij extra ondersteuning nodig hebben. Dit zou kunnen betekenen dat er dadelijk in de systemen van scholen steeds meer medische gegevens gaan worden opgenomen. Dat is iets waarbij we goed moeten stil staan.

Ik ben ondernemer en ik reis door het hele land. Daarbij bezoek ik beroepshalve veel scholen en schoolbesturen en spreek regelmatig over dit onderwerp met schooldirecties. Daarbij merk ik dat er steeds meer aandacht wordt besteed aan het juiste gebruik van digitale middelen, internet, facebook en twitter. Kanttekening; Ik bezoek vooral scholen en schoolbesturen die vooruitstrevend zijn op het gebied van ICT dus mijn ‘veldwerk’ is niet representatief.

Dit is en blijft een interessante discussie; wie is er eigenlijk verantwoordelijk? Is dat de partij die een digitaal middel ter beschikking stelt of is dat de school? En in hoeverre is er toestemming nodig van ouders. En hoe regelen we dan die toestemming van ouders? De situatie rondom Snappet doet de situatie weer oplaaien. Laten we ditmaal de discussie levendig houden en zorgen voor oplossingen!

Het rapport van Price, Waterhouse en Coopers treft u hier aan: http://www.rijksoverheid.nl/documenten-en-publicaties/rapporten/2014/09/10/nulmeting-privacy-en-informatiebeveiliging-in-het-primair-en-voortgezet-onderwijs.html