Edu-V bij webinar ‘Klaar voor Digitaal Veilig Onderwijs?’ van ParnasSys
Steeds meer scholen werken met leerlingvolgsystemen, apps en online leermaterialen waarin persoonsgegevens van leerlingen worden verwerkt. Maar hoe veilig zijn deze systemen en de koppelingen die ze gebruiken eigenlijk? Tijdens het webinar ‘Klaar voor digitaal veilig onderwijs?’, georganiseerd door ParnasSys en tot stand gekomen in samenwerking met de PO-Raad en Edu-V, lichtte H-P Köhler, teamleider doorontwikkeling en beheer van het Edu-V afsprakenstelsel, toe hoe het Edu-V keurmerk scholen en leveranciers helpt digitaal onderwijs veiliger en overzichtelijker te maken. In dit artikel lees je de belangrijkste vragen en antwoorden.
Waarom is het Edu-V keurmerk gelanceerd?
‘Scholen gebruiken soms wel 100 tot 200 verschillende applicaties, die lang niet altijd goed samenwerken. Dat levert soms risico’s op voor dataveiligheid en kan extra administratief werk geven. Het Edu-V keurmerk op een product geeft aan dat de applicatie voldoet aan belangrijke privacy en security-afspraken en dat de gegevensuitwisseling volgens afgesproken standaarden wordt uitgevoerd.’
Komt dit keurmerk ook weer op het bordje van schoolbestuur, leraren en ict’ers?
‘Integendeel: het keurmerk helpt juist om keuzes eenvoudiger te maken. Scholen kunnen in één oogopslag zien of een applicatie voldoet aan de afspraken die onder het Edu-V keurmerk hangen. Ze hoeven dat dus niet allemaal zelf te toetsen.’
Hoe verhoudt Edu-V zich tot het normenkader IBP?
‘Het Normenkader Informatiebeveiliging en Privacy (IBP) is veel breder en richt zich op alle digitale toepassingen binnen een school. Het geeft input aan beleid en professionalisering binnen het domein van Privacy en Security. Edu-V richt zich specifiek op de applicaties die scholen gebruiken en de gegevensuitwisseling tussen die applicaties. Bijvoorbeeld het veilig uitwisselen van leerlinggegevens en toetsresultaten. Met Edu-V krijgen scholen meer regie over hun data en bepalen ze zelf waar de informatie naar toe mag. Kortom met Edu-V werken we aan het normenkader, maar dit moet gezien worden als een onderdeel binnen een breder pakket aan activiteiten waar scholen aan werken.’
Wat merken schooldirecteuren concreet van het keurmerk?
‘Op dit moment zijn er zeven keurmerken uitgereikt aan producten, vooral in het voortgezet onderwijs. Binnenkort komen daar nieuwe keurmerken bij, ook voor het basisonderwijs. In het Edu-V keurmerkregister zie je als school welke producten al een keurmerk hebben en welke leveranciers bezig zijn om het te verkrijgen. Als directeur kun je straks in de bronsystemen zien wie welke gegevens krijgt. Scholen moeten expliciet toestemming geven (‘consent’) voor gegevensuitwisseling. Dat kan veel beter op maat. De uitwisseling wordt dus veel gerichter: je deelt niet meer gegevens dan strikt noodzakelijk is en doet dat op een veilige manier.’
Vervangt het keurmerk de verwerkersovereenkomsten?
‘Nee. De modelverwerkersovereenkomst is een onderdeel van Edu-V. Boven de verwerkersovereenkomst hangt het Privacy Convenant. De afspraken die daarbij zijn gemaakt, zijn overgenomen door Edu-V in het afsprakenstelsel. Edu-V voert bovendien een extra controle uit op de verwerkersovereenkomst, samen met stichting SIVON.’
Wat merkt de gebruiker van de gestandaardiseerde gegevensuitwisseling, moet je dan koppelingen opnieuw leggen?
‘Ja, maar tegelijkertijd creëren we uniformiteit. Dat geeft de scholen juist het stuur in handen voor wat betreft de privacy van gegevens. Het betekent concreet dat je weet dat alle leveranciers op dezelfde manier werken. Het is belangrijk dat leveranciers hun gegevensuitwisseling en privacy goed op orde hebben en aanbieden aan scholen. Maar je blijft als school en leerkracht natuurlijk zelf verantwoordelijk om zorgvuldig om te gaan met privacy. Scholen moeten het uiteindelijk zelf doen. Uiteindelijk ligt de verantwoordelijkheid tussen de verwerker en de verantwoordelijke.’
Zit er een geldigheidsduur aan het keurmerk en kan het worden kwijtgeraakt?
‘Het keurmerk maakt deel uit van een afsprakenstelsel dat we samen met scholen en leveranciers ontwikkelen en beheren. Bij nieuwe ontwikkelingen, zoals AI, starten we bijvoorbeeld een nieuwe werkgroep op. Daarin onderzoeken we samen welke aanvullende afspraken we moeten maken om het keurmerk stabiel en betrouwbaar te houden. Vervolgens maken we afspraken over het tijdstip waarop we deze wijzigingen gaan implementeren, zodat alle leveranciers hun keurmerk kunnen behouden. Er is een nalevingsprotocol en een klachtencommissie waarmee we de naleving bewaken. Wie zich niet houdt aan de afspraken, kan het keurmerk verliezen.’
Hoe verhoudt het keurmerk zich tot internationaal opererende partijen?
‘Eén van onze uitgangspunten is dat de afspraken die we maken echt leunen tegen wat er internationaal gebeurt. Het is weliswaar een Nederlands afsprakenstelsel, maar de technische afspraken die daaronder zitten sluiten aan bij internationale standaarden, dus we doen geen dingen die daar ver van afwijken. Natuurlijk zijn er ook verwerkersovereenkomsten die je met zulke partijen moet afsluiten; dat kan afwijken van bijvoorbeeld het Privacy Convenant, maar het blijft veilig. Tegelijkertijd is het voor Edu-V een uitdaging om grote internationale partijen zoals Microsoft en Google een onderdeel te laten zijn van het keurmerk. Daar wordt actief aan gewerkt.’
Tot slot
Binnen Edu-V werken scholen en leveranciers samen aan digitaal veilig onderwijs. Het maakt het werken met digitale leermiddelen eenvoudiger en veiliger. Leveranciers gaan aan de slag met het keurmerk, scholen zullen vervolgens stap voor stap de voordelen in de praktijk gaan ervaren. Daarmee past het in een bredere beweging naar digitaal veilig onderwijs.
Bovenstaande informatie kwam ter sprake tijdens een webinar dat werd georganiseerd door ParnasSys. Wil je het hele webinar terugkijken? Vraag dan de link aan bij ParnasSys.