Een lezer vroeg me:
Een leerling op de school van mijn zoon heeft de centrale printer van hun school gehackt. Volgens hen was het nauwelijks hacken omdat de beveiliging minimaal was. Uiteraard vind de school het schandalig, maar voor mij als security auditor en moeder redenen om me af te vragen: is de rest van de school dan ook zo belabberd beveiligd. Kan ik daar inzage in krijgen, mag ik maatregelen eisen?Het ‘hacken’ van ict-apparatuur op school is voor leerlingen leuk en interessant, maar inderdaad reageren scholen daar scherp op. De tijd dat je dan een stage bij een securitybedrijf kreeg (of de IT-persoon van school mocht worden) is al lang voorbij: ik ken zo tien gevallen van mensen tegen wie aangifte werd gedaan in zo’n situatie.
Uiteraard is dat vrij kansloos als de security minimaal tot afwezig is, en er natuurlijk geen echte schade is aangericht. En ik snap wel dat je bij afwezige schade als ouder denkt: is dit representatief voor hoe de school ict-security implementeert. Dat zou goed kunnen, hoewel net zo goed mogelijk is dat de printers door een andere partij worden beheerd dan het leerlingvolgsysteem of de financiële administratie.
Inzage in het beveiligingsbeleid van een organisatie is algemeen eigenlijk niet mogelijk. Ook bij beveiligingsbeleid rond persoonsgegevens is daarvoor geen bevoegdheid: de informatieplichten (artikel 13 en 14 AVG) verwijzen niet naar het beveiligingsbeleid. En bij het recht van inzage (artikel 15) kan geen inzage in genomen beveiligingsmaatregelen worden geëist.
Wel heeft de AVG het algemene beginsel van transparantie (artikel 5 lid 1 onder a), waaruit je kunt afleiden dat transparant zijn over de beveiliging van gegevensverwerking er desondanks bij hoort. Hierover is geen jurisprudentie, en in de richtsnoeren van de EDPB of Autoriteit Persoonsgegevens zie je hier niets over terug. Wel beschrijven veel partijen in algemene zin hun beveiligingsmaatregelen in de privacyverklaring, maar dat gaat zelden verder dan mooie beloften of opmerkingen dat ergens een ISO 27001 certificering voor afgegeven is.
In maart deed de Autoriteit Persoonsgegevens een oproep aan scholen en leveranciers van digitale leermiddelen op om goede afspraken te maken en open te zijn over het verwerken van persoonsgegevens van leerlingen. Hierbij noemt men expliciet dat duidelijkheid gegeven zou moeten worden over “[h]oe deze gegevens worden beveiligd, hoe lang de gegevens worden bewaard en in welke systemen”. Je zou met een beroep op deze oproep het gesprek aan kunnen gaan.
Arnoud De printer op de foto komt niet voor in het artikel.
Wij hadden op school eind jaren 80 begin jaren 90 een Banyan Vines en later Netware netwerk.
Opgezet door en beveiligd door de ‘computerles’ docent als hobby.
Naast het computerlab (20 DOS PCs, want oud en geen budget) hadden ze het briljante idee om ook de administratie van de cijfers en de absentie op computers in dat netwerk te doen. Ik had toegang tot alles, maar dat hebben ze nooit doorgehad. Het enige waar ze achter kwamen was dat ik de printer kon gebruiken; na een ruzie met die docent had ik geen zin meer in die les en heb ik bewust de printer opdracht gegeven om de hele doos ketting papier door de printer te feeden. Niet op geprint, dus nog te gebruiken. Ze zaten wel een vloer vol met leeg papier.
Het had het gewenste effect ik had vanaf dat moment een extra vrij uur per week.
Ik wil hier wel tegenin werpen dat een gemiddelde school honderden ouders geeft en ik het niet te verwachten vind dat die met elk individueel in discussie moet gaan over welk bedrijfsvoeringsbeleid dan ook. Vind dit “ik ben it-auditor, leggen jullie maar verantwoording af” potsierlijk – en een heel hoog kapitein-op-de-wal gehalte hebben. Hiervoor zijn al gremia ingericht en je kunt je als ouder wenden tot de MR, GMR of desnoods de IvhO. Waarom voldoen die niet om vermeende structurele problemen aan te kaarten?
Terecht punt, maar ook via die gremia ga je geen inzage krijgen in het beveiligingsbeleid. De MR gaat niet over de beveiliging, toch?
WMS artikel 8.1 zegt “Het bevoegd gezag verstrekt de medezeggenschapsraad, ongevraagd, tijdig alle inlichtingen die de medezeggenschapsraad voor de vervulling van zijn taak redelijkerwijze nodig kan hebben.” Ik denk dat in deze situatie, waar een leerling laat zien dat het beveiligingsbeleid gebrekkig is, het er wel onder valt. En misschien valt het wel onder 10 “vaststelling of wijziging van regels op het gebied van het veiligheids-, gezondheids- en welzijnsbeleid”.
Hmm. Welke taak heeft de WMR waarvoor ze het security beleid van de school nodig heeft?
Het VWG gaat gewoonlijk over fysieke en mentale veiligheid, gezondheid en het welzijn van medewerkers en leerlingen. Ik heb nog nooit ict security daaronder geschaard gezien.
De verschillende geledingen van een (G)MR (personeel- en ouder- en/of leerlinggeleding hebben op grond van de WMS instemmingsrecht op: “vaststelling of wijziging van een regeling over het verwerken van en de bescherming van persoonsgegevens”. (Zie o.a. art. 12 lid 1 en onder m.) De (G)MR heeft dus inzage gehad (of kunnen hebben) in het beveiligingsbeleid bij het vaststellen of wijzigen van dat beleid. De vraag is wel of de vraagsteller in dat beleid de antwoorden kan vinden die ze zoekt. Beveilingsbeleid waarop de (G)MR instemminsgrecht heeft beschrijft zelden tot nooit specifieke maatregelen op operationeel niveau.
Terecht punt, maar ook via die gremia ga je geen inzage krijgen in het beveiligingsbeleid. De MR gaat niet over de beveiliging, toch?
Een school wordt zodra hij gegevens van een leering vastlegt een verwerkingsverantwoordelijke volgens de AVG. Een persoon heeft dan het recht volgens art 15 (of de ouders tot 16 jaar) op een kopie van het volledige leerlingdossier. En je hebt recht op correctie bij onjuistheden. Bent u het niet eens met een subjectief oordeel (bijv. een verslag van een leraar)? Dan kunt u uw eigen visie aan het dossier laten toevoegen. Er zijn dus mogelijkheden om inzage te krijgen wat de school over uw zoon vastlegt en daar op te reageren,
Wat heeft dit met de vraag te maken? De zorg is het beveiligingsbeleid, daar kun je geen inzage in krijgen.
Wat als printen via de centrale printer niet gratis is, en dankzij de hack heeft de leerling geprint zonder te betalen. Is er dan nog steeds sprake van “geen schade”? Of valt dat zelfs onder diefstal?
Niet letterlijk diefstal denk ik (welk fysiek object neem je weg), maar het is wel afnemen van een telecomdienst zonder betalen (art. 326c Sr). Tenzij je printte vanaf een usb stick in de printer zelf, want vereist is dat de dienst via telecommunicatie werd afgenomen. Ik twijfel of een usb-kabel van laptop naar printer telt als “telecom”.
Mi. is telecommunicatie ook niet bedoeld voor interne netwerken. En het wordt lastig om een leerling aan te merken als een afnemer van een telecomdienst als het gaat om een printopdracht via het locale schoolnetwerk.
Je neemt A4-tjes weg zonder betaling, dus diefstal is misschien toch nog in scope.
En ook kosten voor inkt. Geen idee wat voor printer die school heeft, en welke printjes hij heeft gemaakt. Maar kleuren printjes kan prijzig zijn.
Als op de printer ook documenten met daarop persoonsgegevens afgedrukt zijn, dan heeft de hacker daar potentieel ook toegang toe gehad. Dat zou dus een datalek met mogelijk meldplicht onder de AVG kunnen opleveren. Maar ook dat geeft denk ik geen recht op inzage in het algemene security beleid.
Ouders/verzorgers zijn verantwoordelijk voor acties van hun kinderen, maar op zich zou je kunnen beargumenteren dat als een kind op school is, de school de verzorger is van dat kind, en dus ook verantwoordelijk voor wat dat kind doet.
Dat is niet het geval, onder BW 6:169 zijn steeds de ouders aansprakelijk voor hun kinderen, en gaat dat niet over op bijvoorbeeld een school tijdens schooltijd.
Maar de school heeft een zorgplicht, als de school daarin tekort schiet kan de aansprakelijkheid verlegd worden naar de school.
Scholen besteden IT vrijwel altijd uit. Scholen vallen onder een koepel en de IT inkoop is voor alle scholen binnen een koepel gezamenlijk. Dat gaat om een flink bedrag en daarom moet het Europees aanbesteed worden. De GMR (overkoepelende MR) kan vast wel vragen om mee te kijken naar deze aanbesteding. Maar veel meer dan in de aanbesteding beveiliging volgens die en die norm eisen kom je niet. In de praktijk heeft zelfs de directeur (schoolleider) vrijwel geen invloed hierop.