Wetsvoorstel moet digitaal leren met nepnaam veiliger maken

Kinderen die op school met digitale lesmethoden werken, hoeven niet meer hun eigen naam in te vullen. Dat stond in het papieren AD afgelopen weekend. De ministerraad heeft namelijk ingestemd met een wetsvoorstel van die strekking, hoewel exacte details nog ontbreken. Kort gezegd komt het erop neer dat bij gebruik van clouddiensten door scholen moet worden gewerkt met pseudoniemen of codes, zodat bij datalekken niet gelijk alle details van de leerlingen op straat liggen. Het idee is loffelijk maar moet dat nu echt zo met een wet?

De tekst van het wetsvoorstel wordt helaas pas openbaar nadat de Raad van State er advies over heeft gegeven, dus het is nog even speculeren. Ik hoop op een voorstel dat gewoon zegt, scholen mogen alleen pseudonimeen van leerlingen aan leveranciers doorgeven. In combinatie met een verbod voor leveranciers om meer dan dat te vragen. Het is immers echt nergens voor nodig om werkelijke persoonsgegevens van leerlingen te hebben om een dienst aan een school te leveren.

Ik ben een beetje bang dat er komt te staan dat de leverancier ontvangen persoonsgegevens moet pseudonimiseren. (Of, nog erger, dat dit in overleg moet worden vastgesteld.) Want dan schiet je er weinig mee op, dan is die brondata er nog steeds en dus blijft de kwetsbaarheid bestaan.

En ja ik weet het, de Privacyverordening roept op tot pseudonimiseren en staat toe dat dit gebeurt door de partij die vervolgens gaat werken met de gepseudonimiseerde gegevens. Het is niet verplicht dat je de sleutel en de pseudonieme data in aparte bedrijven bewaart. Dus het zou legaal zijn als een dienstverlener zo gaat werken, en het wetsvoorstel zou dan weinig toevoegen behalve dan dat dit móet in plaats van slechts een beste praktijk te zijn. (Sorry, de tekst van de Verordening is wat raar.)

Je kunt je natuurlijk sowieso afvragen wat dit wetsvoorstel gaat toevoegen bovenop die Verordening. Want ook daar staat al in dat je persoonsgegevens zo veel mogelijk moet beperken, dat je bij voorkeur pseudonimiseert dus en natuurlijk dat je adequaat beveiligt en daar afspraken over maakt met je verwerkers (voorheen je bewerkers), zoals die clouddienstverleners dus. Hooguit zou dat dan nog zijn dat het black letter law wordt in plaats van ahem een beste praktijk, of een richtsnoer van de toezichthouder waar een leverancier van kan zeggen dat zij toch alternatieve feitenandere inzichten hebben over hoe het zo veilig mogelijk te doen.

Arnoud

21 reacties

    1. Dat gaat goed. tot ze als onderdeel van het onderwijsprogramma ‘social media’ een account moeten aanmaken op Facebook. Als je dat anoniem onder een nepnaam doet dan word je door Facebook keihard afgestraft.

    2. Dat lost alleen weinig op voor de scholen en uiteindelijk de leerling zelf: hoe goed gaan zn oefeningen? Waar heeft hij ‘nog extra hulp nodig, hoe vordert het? Deze gegevens wil je als school terug hebben van alle leveranciers van methodes waar je leerling online mee werkt. Dat gaat dan alleen efficiënt als je dat technisch gekoppeld hebt, middels een nummer, waarvan je als school weet wie dat is, maar de leverancier niet. De meeste denken bij pseudoniem aan een naam, terwijl de implementatie een nummer betreft.

  1. Ik vraag me toch af wat nu het verschil is tussen 1742913487, dude638 of Jan de Groot. Zodra een pseudoniem wordt gebruikt dan worden alle gegevens aan dat pseudoniem gekoppeld. De informatie die zo verzameld wordt is niet anders.

  2. Het systeem zal wel zodanig worden opgezet dat je elke keer bij het inloggen wordt gevraagd om je e-mailadres in te voeren zodat je je account kunt herstellen, net zolang tot je het wegklikken zat bent en je je e-mailadres invoert.

  3. Ik zou voorstander zijn om gebruik te maken van federated authenticatie, dus waarbij studenten inloggen bij de school, en niet bij de afgenomen dienst. Net zoals je bijvoorbeeld bij Stackoverflow.com kan inloggen met je Facebook of Google account.

    Dit soort federatieve authenticatie is vrij gebruikelijk bij universiteiten en hogescholen. Voor de techneuten: waar Facebook en Google gebruik maken van Oauth2, maken universiteiten gebruik van SAML2. Het platform waar de identityproviders (IdP) en service providers (SP) gebruik maken heet in Nederland SURFconext, en wordt onderhouden door SURFnet. Het voordeel van zo’n platform is dat instellingen zelf kunnen aangeven welke gegevens worden verstuurd naar de service provider. Bijvoorbeeld naam of email adres, of juist helemaal niets. In het laatste geval is het anoniem.

    Nu is er geen technische beperking dat zo’n platform ook niet voor scholen gemaakt kan worden. Ik sprak een paar weken geleden met iemand die bij GÉANT werkt en bezig is om zo’n platform voor scholen op te zetten voor een aantal Europese landen (GÉANT is een samenwerkingsorganisatie van onderzoeks- en onderwijsnetwerken). Helaas doet SURFconext, de Nederlandse variant, niet mee. Reden is dat SURFnet alleen universiteiten en hogescholen aansluit, geen middelbare en lagere scholen. In sommige Europese landen is het gebruikelijk dat de onderwijsnetwerken scholen aansluiten, en zie je dat dit soort technologische ontwikkelingen ook makkelijker doorsijpelt naar scholen. In Nederland is dat helaas minder het geval.

    Disclaimer: ik ben werkzaam bij SURFsara, een zusterorganisatie van SURFnet.

    1. Ik denk ook dat federated authenticatie zeer nuttig gaat zijn, maar ik denk wel dat de infrastructuur wat op de schop moet. Op dit moment is het niet mogelijk om een service provider wel toe te staan om een leerling te mailen, maar niet de naam van de leerling te weten, omdat sommige onderwijsinstellingen de naam van de leerling in het e-mail adres verwerkt hebben. Zelfs wanneer het e-mail adres in de vorm van @instituut.nl is, zal je nog kunnen matchen, zoals robb in een eerdere reactie ook al aangaf.

      De oplossing is denk ik een soort «disposable» inbox vanuit het instituut. Een speciaal SAML-attribuut dat een e-mail adres bevat waarmee de leerling bereikt kan worden, maar dat verschillend is per leerling per service provider. Een platform als SurfConext moet hier dan ook ondersteuning voor bieden, dat doet het momenteel niet. Ligt een mooie uitdaging voor SURFnet (en Kennisnet) denk ik zo. 🙂

    2. Interessant genoeg: er is al een SAML2-gebaseerde federatie voor leermiddelen in het basisonderwijs; genaamd Basispoort. Dus de infrastructuur bestaat al. Grootste pijnpunt aan Basispoort is echter dat deze dienst gerund wordt door de samenwerkende uitgevers van leermaterialen zelf.

      Basispoort ondersteunt nu geen pseudonymisatie. Het staat wel op de roadmap voor komend jaar. Maar dat neemt het genoemde fundamentele probleem natuurlijk niet weg – dat het inderdaad de ontvanger van de gegevens is die de pseudonymisering uitvoert.

  4. Het is immers echt nergens voor nodig om werkelijke persoonsgegevens van leerlingen te hebben om een dienst aan een school te leveren.

    Wat dacht je van de naam van een leerling? Een docent wil de resultaten van de leerling kunnen zien, de voortgang kunnen volgen, en dan zal de docent toch echt moeten weten welke leerling het is.

  5. De kwaliteit van pseudonimisering is heel beperkt. Leerlingen in eenzelfde klas maken allemaal dezelfde opdrachten op ongeveer dezelfde tijd. Zelfs gepseudonimiseerde data is daarmee al teruggebracht tot een groep van hooguit zo’n dertig leerlingen. Data herleiden naar individuen vergt dan nog maar zo weinig inspanning dat dat welhaast triviaal te noemen is. Wil je werkelijk de privacy van leerlingen garanderen dan zal alle analyse van de door de leerlingen ingevoerde informatie op een computer op de school gedaan worden.

    Het lijkt me dus verstandig om in de wet vast te leggen dat:

  6. 1- iedere poging tot het uitvogelen van de werkelijke identiteit van een leerling strafbaar is.
  7. 2- uitgevers van lesmateriaal de bij hen binnengekomen informatie zo snel mogelijk moeten ontdoen van gegevens die later gebuikt kunnen worden voor koppeling aan een individu.
  8. Tja AD, “hoeven niet meer hun eigen naam in te vullen” … de nummervoorziening wisselt gegevens uit middels een string van 128 karakters, dat verandert verder niets aan de inlog. Die hopelijk federatief is inderdaad. Inmiddels ook “vrij gebruikelijk bij universiteiten en hogescholen EN MBO” @freek 😉

  9. De meeste leerlingvolgsystemen (Schooladministraties) staan allemaal in de cloud. Magister, parnassys, Eduarte enz. Die leveranciers hebben dus allemaal de volledige set gegevens van een leerling. De meeste van deze systemen hebben niet eens meer een optie om dat op locatie te hebben en als dat wel is het vaak te duur.

    Dan krijg je een leverancier voor leermiddelen en die geeft je een lijst met jou interne nummers en resultaten ipv een naam (want die mag je (dan) niet meer doorgeven volgens deze wet). Dit nummer moet je dan 1 voor 1 tegen de lijst met leerlingen in je administratie pakket gaan houden, want deze cloud producten ontbreken natuurlijk mogelijkheden om het lijstje van een willekeurige product leverancier in te lezen (er is geen standaard daarvoor). Dat betekent dat er lijstjes extern gekoppeld moeten worden en dat is te lastig voor de administratie van een school dus dat besteden ze ook weer uit. Weer een leverancier die de gekoppelde dataset heeft.

    De politiek probeert de privacy te beschermen, leuk in theorie maar de regel zelf is nauwelijks praktisch uit te voeren.

    1. Natuurlijk is dit een mogelijk scenario. Maar er zijn meerdere scenario’s waarbij het mes aan verschillende kanten snijdt. Als al die scholen die Magister gebruiken hun krachten bundelen en Magister vragen om dit op een correcte manier te implementeren, dan gaat Magister dat echt wel doen. Bovendien is die standaard waar je naar verwijst nu wel in opkomst. Niet als een IEEE-, IETF- of W3C-standaard, maar wel een standaard in de leermiddelenketen waar zowel de schooladministratiesystemen, kennisnet, de distributeurs en de leermiddelenleveranciers deel van uitmaken. Zie https://www.nummervoorziening.nl voor meer inhoudelijke info over dit traject.

      … en ja: als er een school is dat een zelfbouwpakket heeft, of diensten afneemt van een leverancier die niet wil luisteren. Tsja… dan zul als school passende maatregelen moeten nemen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.