Het is 2018 en er zijn aanwijzingen dat Brexit en de verkiezing van Trump mede het resultaat zijn van online manipulatie op basis van sporen en (meta)data die nietsvermoedende gebruikers van Google en Facebook nalaten tijdens het gebruik van hun computer.
Voor veel mensen zijn online samenwerken en social media al niet meer weg te denken uit het dagelijks leven. Er kan steeds meer en het wordt steeds goedkoper. In veel gevallen zelfs gratis. Weegt de kans op incidenteel misbruik van gegevens misschien gewoon op tegen alle gemak die de technologie levert? En hoe erg is het wanneer bedrijven weten waar je in geïnteresseerd bent als ze je vervolgens een aantrekkelijke aanbieding kunnen doen? Bovendien is in Europa net de AVG van kracht geworden, een Europese wet die onze privacy online moet beschermen.
Maar voor sommigen is de vraag in hoeverre onze democratie is opgewassen tegen beïnvloedingsalgoritmes die eerst en vooral de verdienmodellen van grote technologiebedrijven dienen. Kunnen we vertrouwen op wet- en regelgeving, en op het heilzame effect van concurrentie die malafide bedrijven vanzelf de markt uit werkt? En hoe zit dat op scholen, waar minderjarige kinderen via de leerplicht gedwongen zijn om bepaalde software te gebruiken?
In deze periode wordt in Amsterdam een bijzonder experiment voorbereid. Een nieuwe school wordt opgericht en één van de ouders wil meehelpen om te zorgen dat alle digitale systemen zijn afgestemd op de laatste inzichten over privacy. Niets te vroeg, want wanneer de school in 2020 van start gaat breekt een pandemie uit waarmee scholen in versneld tempo digitaliseren en online lesgeven voor een aantal jaar de norm wordt.
Douwe Schmidt heeft zich eerder beroepsmatig verdiept in de privacy-aspecten van digitale technieken. Hij was betrokken bij Bits of Freedom en Fairphone. Nu is hij als jonge vader op zoek naar een school voor zijn kinderen. “Ik had het geluk dat er een heel nieuwe school werd opgericht. Ik hoefde dus niet allerlei bestaande systemen te vervangen. Het was eigenlijk een heel mooie kans om te proberen vanaf het begin bewuste keuzes te maken.”
Het zou een moeilijk proces worden, maar dat kon Douwe op dat moment niet vermoeden.
Lees hier het hele interview met Douwe.
Privacy in de digitale wereld
In een analoge wereld is privacy een overzichtelijke zaak. Het verzamelen en het delen van gevoelige informatie over iemands gedrag kost tijd en moeite. En het misbruik van vertrouwen kent grote gevolgen voor direct betrokkenen, die door iedereen in een lokale gemeenschap worden gekend.
Hoe anders is dat in de digitale wereld. Software werkt per definitie met gegevens die een gebruiker zelf invoert. Of die gegevens privacygevoelig zijn is sterk afhankelijk van de context. Sinds de komst van het internet en de “cloud” is bovendien niet altijd duidelijk van wie de software is, waar data wordt opgeslagen of met wie de data wordt gedeeld en waarvoor. Zelfs zogeheten metadata kan veel informatie weggeven. Zoals de locatie waarvan en het tijdstip waarop een website wordt geraadpleegd kunnen vertellen of iemand tijdens zijn werk privézaken doet of juist vanuit thuis laat doorwerkt.
Het volgen van gedrag was nog nooit zo goedkoop en niet eerder zo onzichtbaar. “Privacy […] biedt bescherming tegen opdringerige bedrijven of een alwetende overheid. Doel is de machtsbalans tussen individu en maatschappij in evenwicht te houden. Dit is in een democratische rechtstaat niet alleen een individueel belang, maar ook een maatschappelijk belang. Privacy is daarom een grondrecht” schrijft privacyonderzoeker Jaap Henk Hoepman in zijn Blauwe Boekje.
Ook bij het opzetten van een school komt tegenwoordig meer kijken dan het organiseren van docenten, lesmateriaal en een plek om les te geven. Er is een veelheid aan digitale hulpmiddelen die scholen gebruiken: Een leerlingvolg- en administratiesysteem, een elektronische leeromgeving, lesmethoden voor uiteenlopende vakken, toetssoftware, gedeeld documentbeheer in de cloud, tools voor online samenwerken, oudercommunicatieapps, videoconferencing en chatsoftware. Daarnaast worden er vaak nog algemene programma’s gebruikt, zoals het besturingssysteem van de computer, een office pakket, iets om video’s mee te kijken of op het internet te zoeken.
Welke keuzes maken scholen?
Douwe onderscheidt 4 soorten gebruik van technologie op school. Om te beginnen de infrastructuur van de school zelf. Roosters, administratie en dergelijke. Het is verplicht de voortgang van de leerlingen te monitoren en vast te leggen. Voor de hand ligt daarvoor het gebruik van een digitaal leerlingvolgsysteem.
Dan zijn er nog de leermiddelen in de klas, bijvoorbeeld toetsen, lesmethoden en extra oefeningen. Daarvoor hebben de kinderen een laptop of tablet nodig met een besturingssysteem erop en de gebruikelijke functies om een filmpje te kunnen kijken, een tekst te typen, email te versturen of een webpagina bekijken. Daarnaast zijn er verschillende programma’s speciaal gericht op het onderwijs, waarmee ze bijvoorbeeld sommen kunnen oefenen of toetsen kunnen maken.
Het derde aspect dat Douwe onderscheidt is techniek als doel. Mediawijsheid valt daaronder, of een 3D-printer in de klas.
Ten slotte is er de communicatie met en tussen ouders.
Alle keuzes die een school maakt, hebben gevolgen voor de veiligheid van de schoolkinderen. Zoals Douwe het verwoordt: “Op een school is een veilige leeromgeving heel belangrijk. Het meubilair moet veilig zijn, kinderen moeten niet gewond raken als ze zich door de school verplaatsen. Hetzelfde geldt voor een digitale leeromgeving, ook daar moeten de kinderen veilig zijn. De school heeft een zorgplicht, ook in het digitale domein.”
Hoe veilig is schoolsoftware?
Niet al het gebruik van de data van kinderen is illegaal of ongewenst. Een voorbeeld van legitiem gebruik van data is dat een programma onthoudt welke sommen een kind af heeft gemaakt en welke niet. Vanuit de zorgplicht van de school is het echter niet wenselijk dat het doen en laten van kinderen voor iedereen is in te zien. Om misbruik te voorkomen zijn er verschillende beschermingsmethoden.
Sommige software wordt aangeboden met een speciale onderwijslicentie. Daarin staat onder andere wat de aanbieder van de programma’s wel en niet mag doen met de gegevens van de gebruiker. De privacy van de kinderen zou daarmee gewaarborgd moeten zijn. Die licentie wordt door de aanbieder van de software opgesteld. De school heeft daar geen invloed op.
Naast die onderwijslicenties worden er zogeheten verwerkersovereenkomsten gesloten tussen de school en de aanbieder van de programma’s. In die overeenkomsten staat onder andere wie er verantwoordelijk is voor de gegevens van de kinderen.
In Europa lopen we voorop als het gaat om de bescherming van onze persoonsgegevens. Sinds 2016 is er de Algemene Verordening Gegevensbescherming (AVG), een wet die de persoonsgegevens en de privacy van inwoners moet waarborgen.
Volwassenen kunnen zelf kiezen of hun data gebruikt mag worden en waarvoor. De data van minderjarigen mag in principe niet gebruikt worden, tenzij een bevoegde volwassene, een ouder bijvoorbeeld, daar toestemming voor geeft. Volgens de AVG moeten kinderen tot 18 jaar beschermd worden tegen meekijken op internet en binnen software. Ook mogen ze geen gepersonaliseerde reclames te zien krijgen.
De school is verplicht om een risico-analyse te doen voor het voorkomen van privacyschending. Dat heet een DPIA (Data Protection Impact Assessment, ofwel een gegevensbeschermingseffectbeoordeling). De school moet voor alle gebruik van persoonsgegevens uitzoeken hoe veilig dat is, en waar nodig maatregelen nemen om het veilig te maken.
Wie maken de software?
Voor de basisonderwijsspecifieke software zijn daarbij een paar hele grote spelers. Topicus is het bedrijf achter het leerlingvolgsysteem ParnasSys en de communicatie-app Parro die op veel scholen worden gebruikt.
Voor de software die niet specifiek voor onderwijs bedoeld is, zijn er drie grote aanbieders: Google, Microsoft en Apple, waarvan Google het meest gebruikt is. Alle drie bieden ze computers aan met daarop een besturingssysteem en programma’s voor testverwerking, internetbrowsen, clouddiensten, filmpjes kijken en dergelijke.
Daarnaast zijn er talloze kleinere bedrijven die apps en websites met oefenstof of lesmateriaal voor een bepaald vak aanbieden.
Wat staat er in de privacyvoorwaarden?
Over het algemeen hebben de programma’s die ontwikkeld zijn voor onderwijs een generieke onderwijslicentie met daarbovenop nog de verwerkersovereenkomst tussen de school en de softwareleverancier.
Zorgen de onderwijslicenties en verwerkersovereenkomsten voor een goede privacybescherming? En welke software wordt er gebruikt die geen onderwijslicentie heeft? Zijn de kinderen op school echt beschermd tegen meekijkers en commerciële partijen die er met hun data vandoor gaan?
We bekeken de gebruikersvoorwaarden van verschillende aanbieders van software voor onderwijs, en van andere software die in het onderwijs veel gebruikt wordt. Zowel de leerlingvolgsystemen als de meest gebruikte ondersteunende software en besturingssystemen.
We maakten per programma of aanbieder een lijst van criteria. Waren de gebruikersvoorwaarden te vinden? Waren ze in het Nederlands beschikbaar? Zijn er speciale regels voor minderjarigen aangegeven? Laten de voorwaarden toe dat kinderen online worden gevolgd of advertenties krijgen aangeboden? Zijn de relatief strenge regels van de Europese Unie van toepassing of de minder strenge regels van bijvoorbeeld de VS?
Bij de meeste programma’s die speciaal voor het onderwijs gemaakt zijn lijkt privacy m.b.t. de verkoop van data op papier goed geregeld. Bedrijven als Topicus, de makers van Parro en ParnasSys, hebben privacy overal in hun voorwaarden staan, maar in de verwerkersovereenkomst die ze met de scholen afsluiten wordt de verantwoordelijkheid bij de scholen gelegd.
Big Tech
Bij Google, Apple en Microsoft is het andere koek. Hun privacyvoorwaarden zijn verspreid over verschillende, naar elkaar verwijzende documenten. Bij het lezen kom je soms in een labyrint terecht waar het moeilijk is om overzicht te houden, en je telkens op dezelfde pagina’s terug komt. De teksten zijn bovendien lang en in moeilijk juridisch jargon geschreven, waardoor het onwaarschijnlijk lijkt dat een gemiddelde persoon die de voorwaarden moet accepteren er kaas van kan maken.
De drie grote Amerikaanse aanbieders bieden hun diensten wel aan met onderwijslicenties. Als kinderen dan inloggen met hun onderwijsaccount, mogen die aanbieders niet meekijken, geen data van de kinderen opslaan of gebruiken, anders dan wat nodig is om het programma te laten werken.
De kleinere aanbieders hebben vaak helemaal geen onderwijslicentie en beloven niet expliciet om privacyvriendelijk te zijn. Het gaat dan om lesondersteunende software, bijvoorbeeld om sommen te oefenen.
School moet de gaten dichten
Wat opvalt bij Google en Microsoft is dat de school nog van alles moet doen om het gebruik van de software, ook mèt de onderwijslicentie, in overeenstemming te brengen met de AVG. De standaardinstellingen van Google Workspace for Education bieden bijvoorbeeld geen bescherming tegen het gebruik van (meta)data door derde partijen. Daarvoor moet school eerst zelf nog een handleiding van 35 pagina’s doorlopen om allerlei privacylekken uit te zetten. En als die instellingen eenmaal in orde zijn, dan moeten ze bij elke nieuwe update van de programma’s opnieuw worden gecontroleerd. Bij Microsoft is dat ook het geval.
Het is een beetje als een auto waar je zelf nog de bumpers, gordels, hoofdsteunen, airbags, claxon, handrem en knipperlichten in moet monteren, en die bij elke APK weer ongemerkt worden verwijderd.
Volgens de EU en verschillende rechters in andere Europese landen overtreden met name Google en Microsoft inderdaad de wet, ook als het om kinderen gaat. In Denemarken is het gebruik van Google op scholen zelfs verboden totdat Google een aanpassing in de software zou maken. Ze voldeden namelijk niet aan de AVG, en die is in Denemarken dezelfde als in Nederland. Die aanpassing is inmiddels gemaakt. Ze voldeden namelijk niet aan de AVG, en die is in Denemarken dezelfde als in Nederland. In de Duitse deelstaat Baden-Württemberg zijn Microsoft Office 365 en MS Teams verboden op scholen, ook omdat het niet aan de AVG voldoet. Daarom gebruiken de meeste scholen het privacy vriendelijke en opensource pakket BigBlueButton voor online lesgeven, in plaats van Zoom en Microsoft Teams die in Nederland veel worden gebruikt. In BigBlueButton zitten alle functies in die een docent nodig heeft om een digitale les te geven, zonder dat er data naar een aanbieder wordt gestuurd. Een school kan het zelfs op een eigen server installeren en zo niet afhankelijk zijn van een aanbieder van clouddiensten.
Wie helpt?
Er zijn organisaties die proberen het digitale onderwijs veilig te maken.
Kennisnet is een publieke organisatie, gefinancierd door het ministerie van OCW, die als doel heeft de kwaliteit en toegankelijkheid van het onderwijs te verbeteren met ICT, en de risico’s ervan te beperken. Zij onderhandelen met softwarebedrijven en onderwijsinstellingen om te komen tot veilige oplossingen.
Sivon is een coöperatie van schoolbesturen in het primair- en voortgezet onderwijs, waar de leden samen proberen te zorgen voor goede IT oplossingen voor hun scholen. Zij maken bijvoorbeeld risico-analyses van software die op scholen gebruikt wordt en schrijven die lange handleidingen waarmee een school de software veilig kan maken.
En dan is er nog handhaving voor als het wel fout gaat. De Autoriteit Persoonsgegevens (AP) moet in Nederland toezien op de naleving van de AVG. Wie een overtreding op het spoor komt kan het melden bij de AP.
Dat is bijvoorbeeld gebeurd in 2014 bij het bedrijf Snappet, dat laptops met onderwijssoftware verhuurt aan basisscholen. De AP concludeerde: “Snappet heeft de dienst […] onvoldoende beveiligd tegen onrechtmatige verwerking van de persoonsgegevens door onbevoegde derde partijen.” en “Scholen worden onjuist geïnformeerd door Snappet dat de overzichten van resultaten per opgave geen persoonsgegevens zouden bevatten.”
Hoewel er met de AVG heldere richtlijnen zijn gekomen, hebben we na 2014 geen voorbeelden gevonden van ingrijpen van de AP bij onderwijssoftware.
In Nederland is de Coalitie Eerlijk Digitaal Onderwijs een pilotproject gestart om een aantal scholen te helpen met omschakelen naar privacy-vriendelijk onderwijs. Op hun website vind je informatie over wat je als ouder of docent kunt doen, en informatie over wetgeving, voorbeelden van plekken waar het anders gaat en informatie over alternatieven.
Privacyconvenant
Om scholen en softwareaanbieders te helpen met het AVG-bestendig maken van onderwijssoftware is het privacyconvenant in het leven geroepen. Het is een set regels en beloften die de kinderen veilig moeten houden. Aanbieders van onderwijsdiensten kunnen het ondertekenen waarmee ze aangeven zich eraan te houden. Dat gaat in drie stappen: een verklaring van het bedrijf zelf, dan een ‘peer review’ verklaring door een andere partij die naar de privacy van het product heeft gekeken, en dan een onafhankelijke verklaring van een externe autoriteit. Deze toezichthouder bestaat echter nog niet waardoor aanbieders deze laatste stap nog niet kunnen zetten. Vooralsnog is het dus zelfregulering.
Voor ParnasSys is ruim twee jaar geleden de zelfverklaring afgegeven, maar de peer review is uitgebleven. Ook organisaties als Veilig Verkeer Nederland bieden onderwijssoftware aan onder het privacyconvenant, daarover hieronder meer. Apple, Google en Microsoft komen niet voor op de lijst met ondertekenaars.
Wat gebeurt er nou eigenlijk echt?
Wanneer scholen goed opletten, de handleiding van Sivon volgen en nauwlettend blijven toezien op de apps, plugins of websites die worden gebruikt is de privacy van schoolgaande kinderen op papier beschermd door een indrukwekkend pakket regels: gebruiksvoorwaarden, verwerkersovereenkomsten, het privacyconvenant, een gegevensbeschermingseffectbeoordeling en de AVG.
Maar het is moeilijk te controleren of alle softwarebedrijven zich daar ook aan houden. Bij het gebruik van webdiensten is soms wel te achterhalen of er zogeheten trackers van dataverkopers zoals advertentiebedrijven worden gebruikt.
We vonden drie ouders van basisschoolkinderen bereid om in te loggen met het account van hun kinderen. We keken met Pim (Amersfoort), Geert-Jan (Delft) en Anne Claire (Arnhem) mee terwijl ze de programma’s openden waarmee hun kinderen op school werken en thuis huiswerk maken.
Uit deze steekproef blijkt dat bij veel software, ondanks AVG, privacyconvenant en modelverwerkersovereenkomst, wel iets mis gaat. De rekenmethode Fundament-online (in Delft gebruikt) plaatst trackers van Google en advertentiebedrijven, net als taaloefenen.nl (gebruikt op een school in Amersfoort). En de lesmethode van Veilig Verkeer Nederland (in Arnhem gebruikt) zette de deur open voor allerlei advertentietrackers die met de kinderen meekijken.
De advertentietrackers bij Veilig Verkeer Nederland (heeft het privacyconvenant ondertekend) waren het gevolg van Youtube video’s die gebruikt worden. In een interview lijkt Veilig Verkeer Nederland zich goed bewust van de regels en gevaren. De organisatie zoekt naar manieren om aan de regels te voldoen, maar ook om de verantwoordelijkheid naar de scholen te schuiven:
“Er zijn ongeveer 4300 scholen die gebruik maken van onze lesmethoden. Van groep 1 tot en met 8. We gebruiken wel YouTube filmpjes. We zijn aan het kijken naar een alternatief. Omdat op het moment dat je een YouTube videootje bekijkt in de klas, dan… is je hele zoekgeschiedenis in beeld natuurlijk.
We hebben het [uitfaseren van het gebruik van Youtube] dit voorjaar gepland staan. Dat heeft dan effect in het volgende schooljaar. Privacy regelen we via de verwerkersovereenkomst die we met alle scholen afsluiten. We gaan er natuurlijk vanuit dat de school aan hun kant zo’n overeenkomst ook gewoon goed doorneemt en alvorens te ondertekenen. Veel scholen schermen Youtube zelf ook al af.”
Ook toetsen afnemen blijkt moeilijk zonder de kans op meekijkers. Douwe heeft het geprobeerd. De CITO toets doe je via de browser. Het voordeel van programma’s die in de browser draaien is dat het niet uitmaakt welk besturingssysteem je gebruikt, elke computer heeft een browser. Toch konden de kinderen op de school van Douwe niet inloggen met de schoollaptops waar hij een privacyvriendelijk Linux besturingssysteem op had geïnstalleerd. Een week voor de toets kwamen ze daar achter, en Douwe moest de instellingen zo aanpassen dat de laptop zich voordeed als een Windows computer. Toen lukte het inloggen ineens wel. Op de dag van de toets bleek helaas dat het invullen van de vragen nog steeds niet lukte, en toen moesten er halsoverkop hele stapels Chromebooks geleend worden. “Ik heb CITO gebeld, die hadden duidelijk geen zin in een enkele ouder die het anders wil doen. Ze zeiden alleen maar dat ze het door zouden geven aan hun developers”.
Tenslotte keken we naar de webpagina van de vertrouwenspersoon van een willekeurig gekozen basisschool. Dat doe je meestal als er iets te bespreken is wat vertrouwelijk is. Toch waren er meerdere trackers die meekeken, onder andere van Google, Cloudfare en Amazon. Alle drie bedrijven die data doorverkopen aan adverteerders.
Sluiproutes
Tenslotte bestaan er nog allemaal sluiproutes en achterdeurtjes die ervoor zorgen dat er ook mèt onderwijslicentie toch data verzameld kan worden. Een aantal veelgebruikte diensten valt namelijk buiten die onderwijslicentie en dus buiten de bescherming. Dan denk je misschien, “dan gebruiken de kinderen die diensten toch gewoon niet”, maar dat lijkt bijna onhaalbaar als je weet om welke diensten het gaat.
Google biedt een totaalpakket aan voor het onderwijs, met daarop een onderwijslicentie. Maar de zoekmachine van Google valt niet onder de licentie, en Youtube (ook eigendom van Google) ook niet. Dus als een kind een zoekopdracht doet via Google, en wie doet dat niet, dan wordt de data van het kind alsnog verzameld en kan deze worden gebruikt. Kijken de kinderen in de klas een filmpje, dikke kans dat dat met Youtube gebeurt.
Google Maps valt ook niet onder de onderwijslicentie, net zo min als de geavanceerde spellingchecker en automatische vertalingen.
Gebruikt een school Chromebooks, dan valt het gebruik daarvan alleen onder de onderwijslicentie als de school de laptops in beheer heeft, niet als het laptops van thuis komen.
Apple heeft geen eigen diensten uitgezonderd van de licentie. Het kind logt in op de computer met een persoonlijk account waarop een onderwijslicentie zit, en alles wat het van Apple gebruikt, dus het officepakket, de Safari-webbrowser, het besturingssysteem, dat valt allemaal onder die licentie. Gaat het kind via de Safari-webbrowser echter naar Google Search of naar een website met trackers erop, dan valt dat buiten de Apple licentie. Google betaalt Apple 18 miljard dollar per jaar om Google de default zoekmachine te maken., met als doel de data binnen te halen om aan adverteerders te verkopen. (https://www.theverge.com/2023/10/26/23933206/google-apple-search-deal-safari-18-billion)
Wie ziet erop toe dat kinderen deze diensten niet gebruiken voor hun werk op of voor school? Handige apps en lesondersteunende software worden buiten toezicht van wie dan ook makkelijk gedeeld door leerlingen zelf of door docenten die geen dienst hoeven in te (laten) kopen wanneer die gratis en online te gebruiken is.
Scholen missen de menskracht en de kennis om de privacy van kinderen op school voldoende te beschermen
Als Douwe het niet op zich had genomen had de school het zich niet kunnen permitteren om opensource software te gaan gebruiken waarvan de veiligheid is te controleren. “Er is een constant gebrek aan geld en aan menskracht. Docenten bezwijken al onder de werkdruk, extra tijd stoppen in de keuzes voor software zit er niet in.”
Veel hulp van buitenaf was er ook niet te vinden. Er is nergens een club die een set van open source onderwijsgereedschappen bij elkaar heeft gezocht, met een makkelijke handleiding erbij.
“Steeds het verhaal opnieuw moeten doen is bovendien vermoeiend”, zegt Douwe. “Elk jaar zijn er nieuwe docenten aan wie opnieuw uit moet worden gelegd welke keuzes er worden gemaakt en waarom. Ze kiezen voor gemak.”
Bij gebrek aan eigen expertise op scholen moeten ouders en kinderen vertrouwen op de beschermingsmaatregelen van de AVG en het privacyconvenant maar deze worden beperkt nageleefd en nauwelijks gehandhaafd.
Ouder Pim is niet geschrokken maar wel bezorgd:
“Ik was er bang voor dat het erger zou zijn. Ik heb me er voorheen niet in verdiept, eigenlijk uit gemakzucht. Je verwacht ook dat school ermee bezig is, en ik weet ook dat dat zo is. Op school is bijvoorbeeld wel aandacht voor digitale geletterdheid, vooral over opletten voor oplichters. Mijn dochter van 10 begint wel weerbaar te worden, maar weet niet of dat door haar ouders komt of door school. Het lastige is, hoe vertaal ik zoiets naar haar wereld? Ik denk dat de volwassenen dit op moeten lossen.
Het blijft zorgwekkend. We bouwen een afhankelijkheid van big tech op en dat maakt je chantabel. Dit zou in EU verband moeten worden aangepakt.”
In Amsterdam is het experiment uiteindelijk niet overeind gebleven. Douwe bood onder andere alternatieven voor de roosters en de administratie, op een eigen server van de school, en voor digitaal lesgeven. Toen deze laatste service niet goed genoeg werkte heeft het schoolmanagement àlles vervangen door Microsoft Teams.