Mijn ouders krijgen een portaal, mag dat?

Een lezer vroeg me:

Onze school (voortgezet onderwijs) is van plan om in schooljaar 2010-’11 een internetportaal te introduceren voor ouders waarop zij onze cijfers, gemiste uren en te laat-briefjes kunnen vinden. Zo kunnen ouders dus precies zien wat wij doen (of beter gezegd niet doen). Nu snap ik dat ouders dat graag willen, maar zeker in de bovenbouw heb je als leerling toch ook een eigen verantwoordelijkheid en bovendien een zekere privacy op school. Kan dit zomaar?

Ja dat kan, ten minste als je nog geen zestien bent. De Wet Bescherming Persoonsgegevens zegt dat de ouders over alles beslissen op het gebied van privacy en persoonsgegevens totdat het kind zestien is (artikel 5 Wbp). Daarna beslist het kind zelf, hoewel het me niet zou verbazen als de school de toestemming simpelweg opeist in het inschrijfformulier.

Als de ouders beslissen, moeten ze wel rekening houden met het Internationaal Verdrag Inzake de Rechten van het Kind, dat bepaalt in artikel 3:

Het belang van het kind moet voorop staan bij alle maatregelen die kinderen aangaan. De overheid moet het welzijn van alle kinderen bevorderen en houdt toezicht op alle voorzieningen voor de zorg en bescherming van kinderen.

De ouders moeten dus wel degelijk het privacybelang van het kind meewegen bij het besluit of dit wel zo wenselijk is. Ik moet zeggen dat ik aarzel bij de vraag of dit hier het geval is. Natuurlijk, als kind heb je een zekere vrijheid en moet je de ruimte hebben om een keer een baaldag te hebben. Maar als ouder moet je ook vroeg kunnen signaleren dat je kind te veel spijbelt of onvoldoendes haalt, zodat je kunt ingrijpen voordat het helemaal misgaat.

De beste kans lijkt me om dit via de leerlingenraad of (met hulp van ouders) de ouderraad aan te kaarten. Misschien zijn er ondergrenzen af te spreken – bijvoorbeeld dat pas bij 3 keer spijbelen in een maand het in het portaal verschijnt.

Arnoud

18 reacties

  1. Arnoud, je reactie gaat vooral over onder de 16. Maar de lezer schrijft “maar zeker in de bovenbouw”. Minimaal 1 jaar ben je 16+, ikzelf was het zelfs anderhalf jaar. Dat artikel 5 is dan niet van toepassing, hoe moet hij hiermee omgaan?

    Ik heb ook nog een vervelende ‘bug’ gevonden: Als ik kleiner dan 16 tik door een punthaakje te gebruiken, valt de complete rest van het bericht weg. HTML-injectie stoppen prima, maar deze methode breekt de reactie.

  2. Zodra het kind 16+ is, beslist het zelf over verwerking van zijn persoonsgegevens. Juridisch is het dan minder spannend – de regels zeggen dat de school dan het kind om toestemming moet vragen, klaar.

    En ik weet niet hoe ik het script aan moet passen zodat je < 16 kunt typen en ook HTML-code in moet kunnen voeren. Typ je < dan wil je een HTML tag invoeren lijkt me. De injectie-check zit juist serverside, daar wordt gefilterd op rare codes.

  3. Niet alles dat technisch mogelijk is, zou ook uitgevoerd moeten worden. Juist als puber wil je ook wel eens uitproberen waar de grenzen liggen. De school heeft dit gedrag -spijbelen, onvoldoendes- als eerste in de gaten en voor hen ligt er dan ook een taak om hier iets mee te doen.

    Dit komt op mij te veel over alsof de school zich wil indekken tegen tegenvallende resultaten van leerlingen: “U had toch al lang kunnen zien via internet dat uw zoon zou blijven zitten, zo vaak spijbelde enz.” Een school dient dit zelf op te pakken met de leerling en eventueel de ouders erbij.

  4. Tja, omdat ik een keer bleef zitten, was ik 16 net voor ik naar de 4e ging. heb dus 3 jaar lang beschikking over mn gegegvens gehad. Bij een familielid zijn ze er nu wel mee bezig, ergens vind ik het verontrustend. Ik weet van dicht bij hoe de gegevens van mn oude school werden verwerkt, en dat was niet erg goed afgeschermd. ben benieuwd hoe de uitwerking zal zijn.

    p.s. Aarnoud, je kan html tags/haken vervangen door de volgende tekens: &lt; &gt; <B>deze tekst is bijvoorbeeld niet vet</B> geen enkele browser zal ze dan nog als html zien.

  5. Ik wil juist w?l toestaan dat mensen HTML typen, je moet hyperlinks/vet/italics/blockquote en zo kunnen gebruiken immers. Het probleem is dat mensen nu aangeven dat ze het kleinerdanteken willen typen zonder dat dat een HTML code moet worden. Dat gaat niet. ??f ik filter alle < ?f mensen moeten &lt; typen.

  6. Je hebt gelijk, Ikke had de html entity moeten gebruiken, dan was alles in orde geweest. Andere optie is natuurlijk om BBCode te gebruiken. Ik neem aan dat je gewoon een blacklist hebt voor tags.

    maar even ontopic:

    De Wet Bescherming Persoonsgegevens zegt dat de ouders over alles beslissen op het gebied van privacy en persoonsgegevens totdat het kind zestien is
    Kunnen ze er niet heel simpel onderuitkomen door het zo te stellen: Door de gegevens alleen aan de ouders te verstrekken hoeven de ouders toch geen beslissing te nemen? de gegevens worden niet gepubliceerd, alleen aan de gene die er de beslissing over mag nemen.

    het zou echt zorgelijk worden als je de cijfers van jouw kind kon vergelijken met die van zn klasgenootjes

  7. Het argument dat je juist als puber de grenzen wilt verkennen klopt. Daar ben je inderdaad puber voor. Belangrijk is daarbij dan wel dat je dan die grenzen ook echt vindt. Anders kom je later in je leven in de problemen omdat je iets belangrijks (nog) niet geleerd hebt.

    Het is daarom in je eigen belang (en dat van de rest van de samenleving 😉 dat iemand zo af en toe tegen je zegt “stop, nu ga je er overheen”. En dan bij voorkeur op een vriendelijke maar besliste manier.

    Dat laatste lukt echter alleen als het tijdig is. Als het veel te laat is, kom je in een situatie die een stuk vervelender is. Omdat je dan te maken krijgt met de gevolgen. Daar leer je dan ook iets van. Maar het is voor jezelf toch echt prettiger om iets te leren zonder die gevolgen.

    Dus om heel eerlijk te zijn, zo’n beroerd idee vind ik het niet om ouders op de hoogte te houden. Maar praat er vooral over zou ik zeggen. Met je ouders, met school… goed plan. Zorg ervoor dat ze je serieus nemen! Daar heb je “recht” op, wat mij betreft.

  8. Heeft dit eigenlijk wel iets met internetrecht te maken?

    Of de school heeft het recht de cijfers en absenties etc. met de ouders te overleggen (en vice versa mogen ouders daarom vragen), of dat mag niet. Of dat via internet of op een ouder avond gebeurt, lijkt me dan eigenlijk niet relevant.

    Het verschil zit’em misschien in hoe te bepalen ‘wat goed voor het kind is’? Bij een ouderavond kan de leerkracht naar eigen inzicht afwegen wat wel, en wat niet te vertellen en hoe. In voorgelegd systeem lijkt alles automatisch te gaan en zo’n gebrek aan nuance en context zal mogelijk niet goed voor de belangen van het kind zijn.

    Toch denk ik dat internet wel op een positieve manier ingezet kan worden om de driehoeksrelatie tussen kind, ouder en leerkracht te verbeteren. Dat kan echter alleen als alle drie de partijen daar inspraak in hebben.

  9. @Urlax: klopt, de leerling is de betrokkene. De Wbp gaat v??l verder dan alleen publicatie. Voor elke verwerking, zeg maar elke handeling met zijn persoonsgegeven, is toestemming nodig. (Of je moet aantonen dat de verwerking nodig is voor de uitvoering van een overeenkomst of wettelijke plicht, of dat de verwerking absoluut noodzakelijk is voor een dringend eigen belang dat boven de privacy moet gaan.)

  10. Scholen leggen tegenwoordig de verantwoordelijkheid teveel bij leerlingen. Maar als een leerling veel spijbelt, dan weet een schoolinspecteur de ouders ineens wel te vinden en met een beetje pech krijgen ze nog een boete ook. Ik ben dus als ouder hardstikke blij met deze voorziening, maar mijn dochter ook. Regelmatig hebben wij, vooral in het examenjaar, bekeken hoe het er voor stond. Waar moeten we ons aandacht op vestigen, welke vakken kan je beter herkansen. Mijn dochter vertelde ook eerlijk de reden waarom ze afwezig was bij een les; ze moest een keer optreden als getuige bij een mishandeling tussen scholieren. Dit stond ook netjes vermeld op haar portal.

  11. Zelf maak ik mij niet zo druk om dat ouders de portaal kunnen bekijken. Waar ik mij meer zorgen om maak is dat onbevoegden mogelijk toegang kunnen krijgen tot de gegevens van het portaal. Mijn grootste vrees gaat dan uit naar de zwakkere leerlingen wiens prive-gegevens door slechte beveiliging in verkeerde handen kunnen vallen. Wie toegang krijgt tot een dergelijke portaal kan in theorie gewoon een slachtoffer uitzoeken die mogelijk misleid kan worden om “iets” te doen. Wat dat dan is, maakt weinig uit. Mogelijke slachtoffers voor loverboys? Misschien een sukkel die zijn bankrekening wil delen? Heeft iemand rijke ouders die wel losgeld willen betalen? Een dergelijke portaal kan gevoelige informatie bevatten die niet in verkeerde handen mag vallen. Beveiliging is mijn specialiteit en in het algemeen dient de beveiliging in overeenstemming te zijn met de waarde van de gegevens die het moet beschermen. Helaas zie ik veel te vaak dat dergelijke persoonsgegevens veel te zwak beschermd worden waardoor het interessant wordt om hier in te breken…

    Oh, nog een puntje. Kind is 13 en de ouders gaan scheiden. Moeder krijgt volledige voogdij maar de vader weet toegang te krijgen tot de portaal en kan zo meekijken met de resultaten van zijn kind. Is dat dan wel gewenst?

  12. het probleem is dat jij als ouder een stukje authoriteit krijgt wat je niet hebt ‘verdiend’. ik zeg niet dat je er als ouder geen recht op hebt, maar moeite is er ook niet geweest.

    Ik heb al eerder gezegd dat ik ben blijven zitten. dat is lang geleden, maar goed: ik zat ver weg op school. mn ouders valt niets te verwijten. het had aan het licht kunnen komen als mn ouders een portal hadden gehad. maar dat had weinig geholpen, ik volgde wel bijna alle lessen. het probleem is dat ik amper huiswerk maakte en geen hulp wou bij het maken ervan. iets vaker naar boven lopen had kunnen helpen, maar is het niet mijn schuld als ik zei dat het af was terwijl dit niet zo was?

    moet je als ouder alles van je kind dubbelchecken? en kop thee en een praatje doen volgens mij meer goed. @wim: natuurlijk is er het geval mosterd, waarbij kind jarenlang slachtoffer van een loverboy is geweest, zonder dat moeder van school te horen kreeg dat ze bijna alle lessen miste. dit schijnt later niet waar te zijn geweest, maar ik krijg het idee dat steeds minder ouders de moeite nemen om op hun kind te letten en liever even de portal checken alsof het hun email-inbox is. “mail gecheckt? forum gecheckt? oh, kind gecheckt? dan kan ik weer lekker verder met mn eigen dingen”

    beveiliging is een ander verhaal, waar ik me mede zorgen over maak. heb uit eerste hand meegemaakt dat deze Kwalitatief Uitermate Teleurstellend kan zijn. (weet niet of ik de details hier kwijtkan:P)

  13. @wim 13- Ouders hebben 13 jaar geleden een pact gesloten door samen een kind te krijgen, dus beiden lijken me recht te hebben op de schoolresultaten van hun kind. Kind is minderjarig en valt nog steeds onder de verantwoording van ouders, ook al zijn deze gescheiden. Het jammere van gescheiden ouders is dat hun conflict altijd over de rug van hun kinderen gespeeld word.

    Ouders hebben ook de verantwoording om te zorgen dat hun kinderen goed terecht komen, en als dat dan ook controle is op schoolresultaten.. het zijt zo. Met de puberteit denken kinderen dat ze de hele wereld aan kunnen, helaas is dat in sommige gevallen dus niet zo. Ik vind ook dat je als ouderzijnde je kind moet begeleiden in hun schoolresultaten. Waar zitten de knelpunten, waarom spijbel je, word je misschien gepest dat je spijbelt, hoe komt het dat je voor dat vak een onvoldoende heb, maak je je huiswerk wel .. dat zijn toch vragen waar je als ouder antwoorden op wilt hebben, niet uit nieuwsgierigheid, maar omdat je bezorgd bent om het welzijn van je kind en denkt aan hun toekomst. Tegenwoordig ben je nergens meer zonder diploma. Onze maatschappij stelt hoge eisen als je later een leuke boterham wilt verdienen. En daar doen de meeste ouders het voor, lijkt me.

  14. Het probleem van beveiliging weet ik uit persoonlijke ervaringen. Beveiliging is namelijk altijd iets dat mensen in de weg zit want het betekent extra inlogcodes en vertragende inlogpagina’s. Deze site is eigenlijk al een mooi voorbeeld van dergelijke shechte beveiliging, aangezien ik geen wachtwoord nodig heb en zo’n beetje iedere naam kan invullen die ik wil. Okay, de site gebruikt een email adres ter identificatie maar iedereen die mijn email adres weet kan namens mij hier discussieren. Maar ja, wat is de waarde van de posts hier? Valt onder entertainment en educatie. Als ik Wim niet ben maar iemand anders dan maakt het voor het geheel hier nog niets uit, tenzij die ander mij hier probeert zwart te maken. Mooie voorbeelden van slechte beveiliging heb ik wel. Een vorige werkgever wilde van een 3rd-party een USB dongle mechanisme gaan gebruiken om de software die we verkochten te beveiligen. Mijn taak was het om eerst een evaluatie te doen. Wat doe ik? Ik kijk op Google hoe eenvoudig dat ding te kraken was en kwam meer dan 100.000 links tegen over dat onderwerp. Kennelijk was het heel eenvoudig en was het niet meer dan een wassen neus. Ofwel, we besloten iets anders te doen. En dat andere was het wiel opnieuw uitvinden. Twee engineers kregen de opdracht om iets uit te werken. Ik had een redelijk goed model en de ander had iets bedacht waat ik eenvoudig gaten in kon schieten. Maar ja, hij was ook vriendjes met een van de managers. Die manager koos dus voor zijn ontwerp maar wilde dat ik het ging implementeren… Mijn middelvinger richting zijn gezicht gaf meteen aan hoe ik daar over dacht. Als ze een slecht ontwerp wilden implementeren dan moeten ze daar maar zelf de verantwoording voor nemen. Leuk, zaak escaleerde en tja… Uiteindelijk kreeg ik toch gelijk, dankzij andere managers die er nu ook bij betrokken raakten. (En twee maanden later werd die andere engineer ontmaskerd als een oplichter die bij zijn CV het een en ander erbij verzonnen had… Exit engineer, bijna exit manager…) Ik heb recentelijk ook te maken gehad met een project waarbij alle gebruikers een unieke sleutel krijgen. En die sleutel is hun email adres! Was totaal niet over nagedacht! Ging ook goed in het begin, totdat er situaties ontstonden waarbij klanten twee maal opgenomen moesten worden in het systeem. Dat ging dus niet, tenzij ze twee email adressen hebben. Bij T-Mobile hebben ze ook zo’n systeem, waarbij je abbonnement aan je email adres is gekoppeld. Tja, de meeste mensen hebben namelijk maar 1 abbonnement. Laat ik toevallig zelf twee abbonnementen bij T-Mobile hebben… Eentje voor een USB dongle voor mijn laptop en een tweede voor mijn mobiele telefoon. Is geen beveiligings-probleem maar wel jammer dat ze op die manier koppelen en accounts dus niet samen kunnen voegen. Maar goed, het kan erger. Bij veel sites kun je gebruikers-accounts inzien met url’s als https://www.iusmentis.com/profile/1966 of zo. Als je dan met dat laatste nummer zou spelen dan zou je opeens de gegevens van andere bezoekers in kunnen zien! Ik ben dan 1966, jij bent 1988 en Arnoud is dan 1000 of zo.

    Nee, Arnoud… Die link is fictief! Maak je maar niet druk. Ik heb je site niet gehacked. 😛

  15. voorbeelden van slechte systemen kennen we inderdaad allemaal. incompetente managers vast ook. maar ik snap het probleem niet van de url. die bestaat al: http://blog.iusmentis.com/?wp-subscription-manager=1&email=#mijn-email#&key=#hashcode#

    nu kan ik natuurlijk op jouw naam zoeken of je ergens op een forum aanwezig bent waar je wel je mail hebt weergegeven. en dan hopen dat het hier dezelfde is. en dan kan ik je subscriptions bewerken! woei. overigens vraagt die link om een wachtwoord, dus als Aarnoud hier wachtwoorden had gewild, had hij dat gekund.

    mijn mening, als je veiligheid wilt gebruik je een veilig systeem, en anders niet. deze site probeert gewoon open te zijn, en dat is ze gelukt. anders was ik waarschijnlijk niet begonnen met reageren hier.

  16. @Urlax, daarvoor moet je dus wel mijn email adres weten plus de extra hashcode. Overigens heb ik iets meer dan 30 email adressen in gebruik, een aantal dat in het verleden nog wel eens hoger is geweest. Ik ben verder niet al te aktief op diverse forums en heb daarnaast een stuk of vijf naamsgenoten die ook aktief zijn op het Internet. Dat zorgt wel voor iets meer beveiliging. 🙂 En inderdaad, deze site is erg open maar wilde desondanks niet die link hier verraden. 🙂 Maar als je beneden op de site kijkt zie je “Beheer uw abonnementen” staan en die verwijst naar de link die je net doorgaf. Klik erop en er wordt gevraagd om authenticatie maar dat kun je weg-cancellen. Wat je vervolgens te zien krijgt heeft eigenlijk geen waarde voor hackers. Zoals ik al aangeeft moet beveiliging overeen komen met de waarde van hetgeen beschermd moet worden. Mijn vuilnis berg ik op in een vuilniszak om te zorgen dat het bij elkaar blijft. Dat anderen erin rommelen is niet zo erg, als ze de boel maar schoon houden. De gemeente heeft wel iets extra gedaan om vuilnis te beschermen tegen rondsnuffelende mensen door containers in de straat te plaatsen waar alles in gedumpt kan worden. Dan blijft alles ook weer beter bij elkaar en heeft nog steeds maar weinig met beveiliging te maken. Belangrijker is mijn auto, die ik wel op straat neerzet, maar dan wel op slot en bij voorkeur zonder dat mijn kostbaarheden zichtbaar zijn. Ik ken iemand die in een cabriolet rijdt en daarbij wel eens parkeert met het dak omlaag. Maar ja, handschoenenkastje is leeg en er ligt niets van waarde in, plus men heeft nog steeds de contactsleutel nodig om ermee weg te rijden. (Hij baalde alleen na een onverwachte hoosbui, en doet hem sindsdien wel dicht…) Mijn huis is nog iets beter beschermd. De donkere achterkant heeft een speciale lamp die aangaat als deze beweging detecteerd. Bezoekers kunnen zo zien waar ze lopen en alle bewoners kunnen dan zien wie er loopt. Best handig. Daarnaast staat mijn computer onzichtbaar opgesteld vanaf het raam, zodat deze niet snel opvalt. Verder natuurlijk nog de nodige sloten op deuren en ramen maar als ik alles afweeg is de beveiliging van mijn huis voldoende in overeenstemming met de waarde van hetgeen ik in huis heb. Maar dan mijn eigen website… Ik heb een eigen site die ik voornamelijk voor eigen gebruik heb. Het geeft mij de mogelijkheid om overal gegevens van thuis op te kunnen vragen en het systeem is goed beveiligd. Wat leuker is, de webserver die ik gebruik heeft maar 2 GB aan RAM en een 5400 toeren schijf waardoor het niet erg snel is. Betekent ook dat het geen grote aantallen bezoekers aan kan zonder dat het netwerk vastloopt maar ook dat is ingecalculeerd! Het is immers alleen bedoeld voor persoonlijk gebruik! Ik verwacht niet meer dan 1 bezoeker. 😀 Daarnaast, mocht de server worden gehacked dan kan dit nog weinig schade opleveren. De data staat op een netwerk-share en de server heeft hier alleen leesrechten op. Je moet dan weer een beveiliging verder kraken. En zo gevoelig is de informatie erop nou ook weer niet. Voornamelijk mijn eigen code van diverse projecten, een groot aantal plaatjes en een paar e-books in HTML vorm. Maar mijn werkgever houdt zich bezig met het bijhouden van financiele gegevens over diverse klanten. Die gegevens moeten juist weer extra scherp beveiligd zijn want als een hacker zo een verzameling Burger Service Nummers in handen krijgt… Ouch! Dergelijke schade kan in theorie een heel bedrijf een faillisement in jagen…

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.