Tag: School

About School

Subscribe Feeds

Mag een school de controle over leerling-iPads overnemen?

Geplaatst op in Innovatie, 43 reacties

school-kind-ipad-leren-onderwijs-privacy-appEen lezer vroeg me:

Op de middelbare school van mijn zoon worden iPads in veel lessen gebruikt. Wij hebben er zelf een gekocht, maar nu eist de school dat hij een beheerprogramma (Zuludesk) installeert zodat de school kan nagaan wat er in de les gebeurt en of hij bijvoorbeeld andere sites bezoekt of anderen zou pesten via de chat. Ik vertrouw mijn zoon en wil dit niet toestaan, dit gaat me te ver. Wat kan ik doen?

De school mag lesmateriaal voorschrijven, en op zich zou ik niet weten waarom dat wel voor potloden en niet voor iPads zou mogen gelden. En als men lesmateriaal voorschrijft, dan mogen er ook regels aan het gebruik daarvan worden gesteld. Ik moest en zou vroeger een 2H én een HB potlood kopen, met een 3H kon je naar huis. Oh en een gum van een materiaalsoort die ik vergeten ben, met verbod er wat dan ook op te schrijven of tekenen.

Regels over wat er op de voorgeschreven iPad mag staan, zijn dus in beginsel legitiem. Echter, deze regels zullen snel óók aan de privacy van de leerling raken en dan wordt het ingewikkelder. Dat mag niet zomaar, ook niet met een “wij willen fraude tegengaan”- of “is nodig voor security”-rechtvaardiging. Privacy is een grondrecht, en wie daaraan wil tornen moet een zware onderbouwing laten zien: is dit objectief gezien écht noodzakelijk, en is er geen enkele andere manier om dit te doen?

De school mag regels stellen over gedrag op school en in de les. Die regels mogen ook worden gehandhaafd, mits men maar proportioneel handelt. Elke leerling permanent een drone boven het hoofd om te weten waar ze zijn, is dus bijvoorbeeld niet toegestaan, maar een telefoon innemen als iemand tijdens de les aan het appen is, mag wel. Ook vanuit deze insteek over gedrag mogen er niet zomaar regels worden gesteld die de privacy van de leerling schenden, om dezelfde reden.

Het beheren/controleren van deze pads moet dus niet verder gaan dan nodig voor de goede orde in de les. Leerlingen blokkeren binnen de les-app zou ik geen probleem vinden. Even snuffelen of ze rare foto’s op de pad hebben kan echt niet. Buiten schooltijd sites blokkeren zou ik ook over de schreef vinden.

Update (11:31) John Pals van Zuludesk meldt me:

Ik ben de eigenaar van Zulu Education Products BV en wij zijn de ontwikkelaars van ZuluDesk. Deze ouder schetst het beeld alsof het mogelijk is met ZuluDesk om bijvoorbeeld chatlogs te zien. Dit is absoluut niet mogelijk met ZuluDesk, dmv een MDM als ZuluDesk is het enkel mogelijk om “commando’s” naar een iPad te versturen. Zo is het mogelijk om de camera uit te schakelen, of om de leerling vast te zetten in een bepaalde app. Het is echter absoluut onmogelijk om data van de iPad te halen, zoals foto’s, documenten of überhaupt het scherm te zien van de iPad.

Gezien deze update lijkt de uitleg van de school dus op zijn minst onvolledig. Wellicht wil men nog wat anders dan Zuludesk ook installeren?

In ieder geval, een akkoordverklaring van de ouders lost dit niet op. De kinderen hebben al een onderwijsovereenkomst, en die mag niet eenzijdig worden gewijzigd. Men mag wel nieuwe dingen aanbieden, maar als daar akkoord wordt gevraagd dan moet dat kunnen worden geweigerd (denk aan al dan niet toestaan dat men op schoolreis naar buitenland gaat, men mag dat weigeren).

Natuurlijk, je kunt zeggen “de school moet gewoon geen iPad voorschrijven” of “totaal niet noodzakelijk want leerlingen kunnen ook met een atlas en schrift werken in plaats van een geografie-app” maar dat is me wat al te makkelijk. Dit soort leermiddelen voegt echt wel wat toe, en de vraag zou dus moeten zijn hoe je dat accommodeert en niet of het ook zonder kan.

Arnoud

Mag een school mobieltjes van leerlingen verbieden?

Geplaatst op in Regulering, 29 reacties

telefoon-smartphone-kinderen-schoolEen lezer vroeg me:

Bij mijn school mag je geen mobiele telefoon hebben onder schooltijd. Die moet meteen bij binnenkomst in je kluisje, en pas als je naar huis gaat mag je hem weer aan hebben. De sanctie is dat je hem een week helemaal kwijt bent. Mag de school dat zo bepalen?

Een school is bevoegd om regels te stellen om de goede gang van zaken op de school te bewaren, en om daar sancties op te stellen bij overtreding. Zij mag zelf bepalen wat die sancties zijn, zolang ze maar redelijk en proportioneel zijn. Wel moeten de sancties en hun grondslagen (wanneer krijg je welke straf) in het onderwijsreglement zijn geregeld. Een leraar mag dus niet ter plekke bedenken “jij kauwt kauwgum onder de les, lever je telefoon maar in tot 4 uur”.

Regelmatig lees ik dat mensen denken dat sancties zoals inbeslagname van spullen niet zouden mogen omdat dat in strijd is met het eigendomsrecht op die spullen of iets dergelijks. Dat is onjuist. Sanctie is sanctie. Een school mag je ook van je vrijheid beroven als sanctie – nablijven. En het is om diezelfde reden ook onjuist dat alleen de politie dingen in beslag mag nemen.

De vraag is dus, wat is de overtreding en waarom is het langdurig innemen van een telefoon gepast als sanctie bij die overtreding? Daar is geen algemene regel voor.

In 2012 blogde ik ook over dit onderwerp, met een paar uitspraken van de Onderwijscommissie. Sindsdien heb ik geen nieuwe uitspraken over het onderwerp kunnen vinden, noch van de Onderwijscommissie noch van de rechter. Het lijkt er dus op dat we het moeten doen met uitspraken uit 2008 als

De samenleving is van dien aard dat door de Commissie aan de telefonische bereikbaarheid van de vo-leerling bij het verlaten van de school na zijn laatste uur een doorslaggevend belang wordt toegekend.

Oftewel: in beginsel mag een telefoon niet langer dan de schooldag van inbeslagname worden ingehouden. Net zoals je een leerling niet een nachtje mag laten nablijven. Een leerling mag je wel diverse dagen nablijven aanzeggen, dus je zou kunnen zeggen, die telefoon mag je voor straf nu de komende vijf dagen elke dag inleveren zodra je op school komt.

De vraagsteller heeft het niet direct over sancties – de school zegt gewoon, geen telefoon tijdens de schooluren. Dat is op zich ook een orde-regel die een school kan opleggen. Alleen, om nu telefoonbezit categorisch te verbieden gedurende alle schooluren, dus ook de pauze? Dat gaat me wel erg ver. Ja natuurlijk, je kunt ook praten met je medeleerlingen en andere schoolplein/kantine-dingen doen in plaats van allemaal gebogen over dat schermpje te zitten. Maar is dat niet een heel erg achterhoedegevecht ondertussen? Als ruim 90% van de jongeren een telefoon (met internet) heeft, moet je dan nog wel regels stellen die ze het gebruik daarvan ontzegt?

Arnoud

Schoolcomputer slaat alarm bij zoekopdracht ‘jihad’

Geplaatst op in Privacy, 21 reacties

keyboardLeerlingen die via de schoolcomputer zoeken naar of spreken over de jihad, kunnen in de toekomst een bezoekje verwachten van de vertrouwenspersoon. Dat las ik bij het AD gisteren. De krant typte een persbericht over van stichting Importunus dat software maakt die netwerkverkeer op ongewenste trefwoorden (“stomme school, ik ga naar Syrie meevechten in de jihad #yodo”) scant en dan een screenshot doorgeeft. Men wil daar een trefwoordenbestand maken dat over de jihad gaat, in plaats van alleen pest-trefwoorden of gescheld denk ik dan. Maar het roept bij mij meteen de vraag op: eh, wacht, wàt?

Systemen die op school netwerkverkeer of computers scannen op ongewenste dingen, bestaan al veel langer. Op zich is het niet raar dat een school pestgedrag en ander ongewenst gedrag wil monitoren, net zoals men wil monitoren wat de kinderen uitvreten op het schoolplein of achter het fietsenhok. Maar er zit natuurlijk wel een verschil tussen een leraar die even zijn hoofd naar buiten steekt en een stuk software dat elke conversatie checkt en bij een match op ‘poep’ een vertrouwenspersoon mailt.

Het is dan ook niet verwonderlijk dat het Cbp hier wat van vindt (bij BNR):

Als uiteindelijk het idee is voor een soort massaal volgsysteem voor kinderen – scholieren, onschuldige kinderen – dan gaat het om een zo massale inbreuk op de persoonlijke levenssfeer als ik het zwaar mag zeggen (…). Dan moet echt de allereerste vraag zijn: is dit, in dit verband en in deze context, nu echt nodig en kan dat nou niet anders?

(Meelezende juristen herkennen hier de wettelijke criteria ‘proportionaliteit’ en ‘subsidiariteit’.) Wat me dan gelijk verbaast, is dat de hier geciteerde Cbp-vicevoorzitter klinkt alsof dit de eerste keer is dat netwerkverkeer van leerlingen wordt gemonitord. Dit is echt niet nieuw, menig school doet dit al jaren. Stukje zorgplicht naar de ouders toe, zeg maar. Dus waarom is dit nu zo’n hype, dat je ‘yodo’ en ‘jihad’ kunt toevoegen aan die woordenlijst?

Meer algemeen: waarom is het géén hype dat leerlingen massaal worden gevolgd en gemonitord bij hun computergebruik?

Arnoud

Mag een school-app persoonsgegevens van kinderen naar derden sturen?

Geplaatst op in Intellectuele rechten, Privacy, 16 reacties

school-kind-ipad-leren-onderwijs-privacy-appDigitaal lesmateriaal is iets totaal anders dan gewoon maar een boek op de computer: de software observeert en categoriseert al doende elk kind dat met zulk digitaal lesmateriaal werkt. Dat schreef Karin Spaink vorige week naar aanleiding van een Kamerbrief over allerlei apps en tools die persoonsgegevens van leerlingen bijhouden. Dat roept meteen een belangrijke vraag op: eh, wat krijgen we nou? Die software houdt persoonsgegevens bij van kinderen, en slaat dat centraal op onder beheer van de uitgevers van die apps of software. Hoe zit dat privacytechnisch?

Apps en webtools voor educatieve doeleinden werken vrijwel altijd met accounts, al is het maar om prestaties per leerling te kunnen registreren voor de docent. Dergelijke accounts vallen daarmee onder de Wet bescherming persoonsgegevens (Wbp) oftewel de privacywet. Deze zegt dat voor verwerking van zulke gegevens in principe toestemming nodig is, behalve in twee uitzonderingssituaties: allereerst als de verwerking nodig is voor de uitvoering van de onderwijsovereenkomst tussen ouder en school, en ten tweede als de partij die verwerkt een dringend eigen belang heeft waarvoor de privacy van het kind moet wijken.

Het bijhouden van de uitslagen van proefwerken en dergelijke, of het meten van hoe snel een kind iets leest of afmaakt, valt denk ik wel onder “nodig voor de onderwijsovereenkomst”. Je kunt immers geen onderwijs verrichten als je zulke dingen niet kunt bijhouden. Maar die “dringende noodzaak”, daar kan ik met de beste wil van de wereld geen voorbeeld van vinden.

Als de app of tool gegevens opslaat bij een derde, bijvoorbeeld de uitgever van een digitaal schoolboek of de partij die de webtool host, dan is die partij een bewerker zoals dat heet. Die handelt dan in opdracht en onder verantwoordelijkheid van de school, en dat moet schriftelijk zijn vastgelegd tussen school en bewerker. De school is en blijft aansprakelijk voor de verwerking, ook als de fout in feite niet bij de school ligt maar bij de bewerker.

Bij school-apps en webtools blijkt dit allemaal erg onduidelijk. In een rapport uit september spreekt men van “de beste bedoelingen voor het welzijn van de leerling” en gezond-verstandhandelen. Maar gezond verstand en Wbp gaan niet per se samen, zal de vaste lezer van deze blog nu opmerken.

Zo lijkt het bijvoorbeeld zo klaar als een klontje dat je een app mag inzetten waarmee leerlingen een educatief spelletje kunnen doen, en dat de docent dan de resultaten kan zien. Maar omdat de app zijn gegevens elders heenstuurt, is een bewerkersovereenkomst nodig én mag de spelaanbieder niet zelfstandig dingen doen met de gegevens die hij zo van de leerlingen verkrijgt. En zelfs als je als leraar een Facebookgroep aanmaakt, dan moet je een bewerkersovereenkomst sluiten met Facebook eigenlijk.

Je kunt ook zeggen: die aanbieder is zelf de verantwoordelijke, en staat los van de school. Net zoals de snackbar aan de overkant van de school zijn eigen klantenbestand heeft, ook al overlapt dat met het leerlingenbestand en ook al zegt de docent, ga lekker een frietje halen jongens. Of het digitale equivalent, dat de docent een account aanmaakt voor de leerlingen en ze daarmee laat werken.

Alleen, dan moet die aanbieder wel zelf een grondslag hebben, zoals toestemming, uitvoering overeenkomst of een eigen dringende noodzaak. Die toestemming is er maar zelden, omdat de aanbieders niet rechtstreeks met de ouders communiceren en de leraar of school niet aan de ouders vraagt of er toestemming is een account aan te maken voor het kind.

Zonder toestemming is het voor zo’n aanbieder lastig. Mijn Wbp-tenen krullen als ik dan in die Kamerbrief lees

[Die aanbieders] doen een beroep op een “eigen” Wbp-grondslag: hun gerechtvaardigde belang om de gegevens voor de toepassing van het leermiddel te gebruiken. Het gaat dan om gebruik uitsluitend binnen het kader van de leermiddelen; zo worden de gegevens van een leerling vernietigd wanneer deze het leermiddel niet langer gebruikt. [Dan] is aparte toestemming van de betrokken leerling of zijn of haar ouders niet noodzakelijk.

Ik snap niet hoe hier een wetstechnisch correct antwoord wordt gegeven. De frase “gerechtvaardigd belang” slaat op de uitzondering voor het dringend eigen belang. Maar die uitzondering gaat alleen op als toestemming redelijkerwijs niet te vragen is én er een afweging van belangen is geweest die zegt, ga je gang. Het enkele feit dat het nodig is die gegevens te gebruiken omdat de app anders niet werkt, betekent nog niet dat je een noodzaak hebt om die gegevens te gebruiken in de zin van de Wbp. Ga maar toestemming vragen.

Gezond verstand zegt: doe niet zo moeilijk, als die leraar dat account aanmaakt en die aanbieder zich netjes gedraagt, waarom zou je dan toestemmingsbriefjes gaan doen waar de ouders tóch geen chocola van kunnen maken? Maar de Wbp zegt: waar is je toestemming? En hoe we dáár uit gaan komen?

Arnoud

Arnoud

Foto: Schulknabe mit iPad, Flickr, CC-BY

Mijn universiteit verplicht me te Facebooken!

Geplaatst op in Privacy, 69 reacties

facebook-vind-ik-stomEen lezer vroeg me:

Ik studeer in Amsterdam en voor een van onze vakken publiceert de docent essentiële informatie alleen in een Facebookgroep waar iedereen dus lid van moet worden. Ik heb geen Facebook want hun privacybeleid bevalt me niets (zacht uitgedrukt). Kan mijn docent me toch verplichten hieraan mee te werken?

In theorie lijkt me dit eenvoudig: nee, dat kunnen ze niet. De Wet op het hoger onderwijs bepaalt dat er een onderwijs- en examenregeling moet zijn voor elke opleiding, en daarin moet staan hoe het vak gegeven wordt (“waar nodig, de inrichting van praktische oefeningen”). Ik geloof geen seconde dat er ook maar één Nederlandse universitaire studiegids is die het woord Facebook vermeldt bij de studiehulpmiddelen.

Daarnaast is het nogal merkwaardig dat een universiteit zou eisen dat een student verplicht een contract sluit met een derde partij (Facebook), zeker nu bekend is dat die partij nogal losjes met de privacy van Europese burgers omgaat.

Tegelijk snap ik vanuit de praktijk de keuze wel: als je zelf gewend bent Facebook te gebruiken als docent, en je studenten doen dat zonder piepen ook, wat is er dan handiger dan op Facebook met elkaar communiceren? En ik geef meteen toe dat Facebook makkelijker te gebruiken is dan ieder onderwijstool dat ik heb gezien.

Mij lijkt het beter als de docent de informatie óók deelt via een eigen tool, zoals het bekende Blackboard. Maar hoe krijg je die docent daarvan overtuigd? Escaleren naar de decaan of studieadviseur en hopen dat die je zorg snapt? Hoe zorg je ervoor dat je niet overkomt als een zeur bij zoiets?

Arnoud

Mag een school een leerling schorsen wegens installeren van illegale iPadsoftware?

Geplaatst op in Security, 34 reacties

schoolbord-overstekende-minderjarigen.pngEen lezer vroeg me:

De vwo-school van mijn zoon heeft iedereen een iPad in bruikleen gegeven. Handig als mijn zoon is, heeft hij er allerlei eigen software op gezet en daarbij kennelijk ‘gehackt’. Hij gebruikt een Chinese appstore en dat mag niet volgens de school. Hij moet nu de iPad binnen 24 uur in originele staat terugbrengen anders wordt hij geschorst! Kunnen ze dat zomaar eisen?

Het is me niet helemaal duidelijk wat er illegaal zou zijn aan die apps. Als het om gekraakte versies van betaalde software gaat, dan kan ik me hier wat bij voorstellen. Enkel dat men de iPad geroot heeft en zo alternatieve bronnen kan gebruiken voor apps lijkt mij wat magertjes om van “illegale apps” te spreken.

Daar staat tegenover dat het hier gaat om een bruikleen-iPad. Daarmee mag je minder dan met een apparaat dat je eigendom is. Een leen-iPad mag je niet zomaar rooten, net zo min als je een huurhuis zomaar zou mogen verbouwen. En men kan bij verstrekking van de iPad hier regels aan stellen en daarmee expliciet verbieden dat men toegang zoekt tot alternatieve appstores, hoewel ik persoonlijk vind dat als iemand dat voor elkaar krijgt je dat moet toejuichen. En wie het probeert en het verprutst, krijgt een extragratis fabrieksreset. Zo moeilijk moet dat toch niet zijn?

Een leerling met schorsing dreigen wegens eigenlijk iets creatiefs stuit me zeer tegen de borst. Volgens de wet mag een school een leerling voor maximaal één week schorsen met opgave van redenen. Oftewel gemotiveerd waarom dit nodig is, en dat mag niet zomaar een ter plekke verzonnen motivatie zijn. Zo’n besluit moet zorgvuldig gemotiveerd zijn en ergens op gebaseerd, en natuurlijk moet de schorsing gerechtvaardigd zijn door wat er is gebeurd. Iemand schorsen wegens een kauwgumpje laten vallen kan bijvoorbeeld niet.

In deze zaak bij de geschillencommissie werd geschorst na een serie waarschuwingen (en een serie wangedragingen). Dat vind ik niet meer dan logisch. Terwijl in deze rechtszaak een schorsingsbesluit van tafel ging wegens onzorgvuldig voorafgaand onderzoek naar wat er nu precies was gebeurd.

Schorsen wegens aantoonbaar wangedrag of wetsovertredingen binnen de school, ja logisch. Maar een verder goed functionerende leerling meteen met schorsing dreigen na één (kennelijke) wetsovertreding, dat gaat me wel erg ver. Doen ze dat ook bij één keer een andere overtreding begaan? Of is dit weer een voorbeeld van: hacken is eng dus keihard aanpakken dat langharig brildragend nerdtuig?

Arnoud

Tablets met onderwijs-apps in strijd met privacywet

Geplaatst op in Privacy, 15 reacties

snappet-tablet-schoolEen organisatie die tablets met onderwijs-apps verhuurt aan scholen, heeft de privacywetgeving geschonden, las ik bij Tweakers. Men gebruikte namelijk persoonsgegevens van scholieren voor onder meer het vergelijken met alle andere kinderen die de Snappet-tablets gebruiken. En dat mag niet: het is de school en niet de tabletverhuurder die bepaalt wat er met dergelijke persoonsgegevens gebeurt. Als ‘bewerker’ zoals je dan juridisch heet, mag je niets met de langskomende persoonsgegevens behalve datgene wat je klant – de verantwoordelijke – zegt.

Snappet verhuurt tablets aan basisscholen, en daarbij speciale onderwijs-apps opneemt. Via die apps worden allerlei persoonlijke gegevens over de kinderen verzameld die de apps gebruiken, en Snappet gaat daar zelf mee aan de slag. Uit het besluit blijkt dat men dit onder meer doet voor het maken van overzichten, het adviseren van scholen en het analyseren en classificeren van gegevens over alle tabletgebruikers heen.

Wanneer je je klanten tools geeft waarmee zij persoonsgegevens van hún klanten (klantjes) verwerken, dan ben jij een bewerker. Een bewerker is een partij die in opdracht persoonsgegevens verwerkt voor de doelen die de verantwoordelijke (de klant dus) vaststelt.

Dit doet wat gek aan in een ICT context, want het is toch Snappet die de apparatuur levert en bepaalt wat de software doet? Maar formeel klopt het: de school kiest voor de tablet en apps en bepaalt daarmee wat er mag gebeuren. Dat zij dat bepaalt als “whatever de software doet” zonder nader onderzoek, maakt daarbij niet uit.

Als bewerker mag je dus niet zelf met gegevens aan de slag, het zijn niet jouw doelen en jouw gegevens. Afblijven; je beheert ze voor je klanten maar je mag alleen doen wat je klant expliciet heeft goedgekeurd en dan ook nog eens uitsluitend ten behoeve van die klant.

Doe je meer dan dat, dan ben je ineens zelfstandig verantwoordelijke en dan moet je zélf toestemming hebben gekregen (of een andere grond uit de privacywet hebben) om aan de slag te mogen met die gegevens. En dat had Snappet niet.

In theorie is dit op te lossen: de school kan aan ouders toestemming vragen voor het beoogde gebruik door Snappet, en dan vervolgens Snappet melden dat het in orde is. Maar dan moet je als school wel diepgaand nagaan wat die apps allemaal doen en waarom, en volgens mij ontbreekt het in de praktijk vaak aan de daarvoor benodigde kennis. Wat ergens wel zorgelijk is – als we alles via apps gaan doen, moeten we dan niet eerst allemaal snappen wat apps doen?

Arnoud

Mijn school neust rond op mijn server, mag dat?

Geplaatst op in Ondernemingsvrijheid, Security, 22 reacties

terminal-screen-computer-ssh-loginEen lezer vroeg me:

Laatst zat ik op een schoolcomputer te internetten en ondertussen op mijn eigen server wat te doen (via ssh ingelogd). Ineens kreeg ik computerproblemen omdat een vriendje me een “grappige site” toe had gestuurd. Ik kwam er niet meer uit en moest de systeembeheerders erbij halen. Die gingen echter ook rondneuzen op mijn PC, want ze dachten dat ik aan het hacken was (“wat voor raar zwart/wit schermpje is dat”). Ook lazen ze mijn Gmail mail die nog openstond. Ik heb ze erop gewezen dat dat computervredebreuk was, maar ze gingen gewoon door. Wat kan ik nu het beste doen?

Dit is natuurlijk nogal ongepast, maar of het strafbaar is durf ik zo niet te zeggen. Volgens de wet is er pas sprake van computervredebreuk als je willens en wetens ergens binnendringt waarvan je weet dat je er niet mag zijn. Het gaat er niet (meer) om of je een beveiliging doorbreekt, maar of je op verboden terrein bent.

Wanneer een systeembeheerder gevraagd wordt om een probleem te herstellen, dan heeft hij daarmee impliciet toestemming om overal te komen waar hij redelijkerwijs zou moeten zijn om het probleem te detecteren of op te lossen. Heb je bijvoorbeeld een probleem met je mailbox waar een veel te grote bijlage in zit, dan mag de systeembeheerder in je mailbox om die bijlage eruit te vissen. Hij kan en mag dan mails doorkijken om te zien waar de bijlage zit. Natuurlijk heeft hij dan wel een geheimhoudingsplicht over wat hij aantreft (zie ook hier).

Je zou zeggen dat een beetje systeembeheerder zo’n “grappige” site wel herkent en snapt dat je dan de browser via taakbeheer moet afschieten. Maar als niet duidelijk is wat er precies gebeurt, dan lijkt het me logisch dat je even alle venstertjes afloopt om te zien of er iets draait dat de problemen kan veroorzaken. Lezen van Gmail lijkt me niet echt nodig. Dat hij de pagina bekijkt die toevallig open staat, zal onvermijdelijk zijn maar doorbladeren in de mailbox is echt niet toegestaan. Tenminste, tenzij daar een hele goede reden voor is – en die kan ik bij deze vraag zo niet bedenken.

Een openstaand ssh schermpje lijkt me ook niet direct relevant, maar ik kan me voorstellen dat je even wilt weten of dat niet een systeem van de school is. En nee, de titelbalk van het venster zegt daar niets over want die is eenvoudig aan te passen. Dus ook hier ben ik geneigd tot op zekere hoogte het systeembeheer gelijk te geven. Maar op het moment dat hij daar servers gaat herstarten of rootkits gaat installeren, zou ik denk ik wel tot arrestatie op staande voet overgaan.

Arnoud

Van school gestuurd vanwege een DDoS-aanval, kan dat?

Geplaatst op in Security, 23 reacties

Kun je van school worden gestuurd als je een DDoS-aanval hebt uitgevoerd? Een minderjarige leerling op een ROC zag zich met die sanctie geconfronteerd nadat zijn school stevig onder dienstontzeggingsvuur was gekomen. En dat ondanks zijn medewerking aan het onderzoek en het feit dat hij alleen maar geïnteresseerd was in hoe goed de school hiertegen beveiligd zou zijn.

Vanaf september begonnen diverse DDoS-aanvallen op het netwerk van ROC West Brabant, waar de jongen een opleiding volgde. Na onderzoek werd de leerling uitgenodigd voor een gesprek (waarom is me onduidelijk) en in dat gesprek bekende hij een korte aanval te hebben uitgevoerd, maar niet álle aanvallen. Hij liet zijn laptop onderzoeken en daarop werden sporen gevonden van twee DDoS-aanvallen.

Na aangifte werd de jongen een nachtje op het bureau gehouden, want men vond de aanval kennelijk sterk genoeg om artikel 161septies Strafrecht in te zetten. Dat voelt wat pittig, immers dat artikel gaat over “gemeen gevaar” oftewel grote storingen. Bedoeld voor ‘gewoon’een DDoS aanval is artikel 138b Strafrecht, dat maximaal een jaar cel oplevert.

De school ging vervolgens over tot schorsing in afwachting van definitieve verwijdering, waarop de ouders bezwaar maakten. Dat bezwaar had geen succes, waarop de moeder naar de rechter stapte.

Een rechter mag een besluit van een school niet zomaar overdoen. Hij mag slechts ‘marginaal toetsen’, oftewel kijken of de school in redelijkheid tot dat besluit had kunnen komen. In het vonnis (via) gaat de rechter echter best wel ver met die marginale toetsing.

De scholier had een account op een website waar je DDoS-aanvallen kunt laten uitvoeren. Eh, oké. De logs uit dat account laten drie aanvallen zien op het ROC-netwerk. Zijn verweer: hij heeft een website voor zijn bedrijf, en had dat account genomen om te testen dat zijn site tegen DDoS-aanvallen bestand was. Eh, okéé. En toen het nieuws over de DDoS tegen zijn school verscheen, raakte hij geïnteresseerd of de school beter beschermd zou zijn dan zijn eigen site, vandaar. Ehh, okéééé.

Er was geen bewijs voorhanden dat de jongen achter de ‘grote’ aanvallen zaten. Sterker nog, eentje daarvan vond plaats tijdens dat gesprek met de schooldirectie. Plus, hij werkte mee aan het onderzoek.

Niet aannemelijk is geworden dat [naam zoon] anders dan uitsluitend vanwege pure interesse is overgegaan tot een DDos-aanval op het netwerk van gedaagde. Hij heeft de aanval gestopt zodra hij zag dat de aanval het netwerk vertraagde. Dat de school van zijn handelingen enige schade heeft ondervonden, is niet komen vast te staan.

Daar komt bij dat de school hem in eerste instantie na het onderzoek geen sancties oplegde. Pas nadat de IT-leverancier aangifte deed en de jongen werd gearresteerd, werd tot schorsing en (dreigende) verwijdering) overgegaan. Dat is een beetje laat; het wekt de indruk dat je de actie niet zo erg vindt en pas na de ophef (en publiciteit?) stevig je spierballen wilt laten zien. En dát is niet zoals het hoort.

De school had dus in redelijkheid niet tot het besluit kunnen komen de jongen van school te sturen. Daarom wordt de school veroordeeld hem per direct weer toe te laten.

Mooi zo. Ik erger me al geruime tijden aan de neiging bij scholen (en werkgevers) om ICT-gerelateerde incidenten véél strenger te behandelen dan andere incidenten. De krant lezen op je werk? Henk, leg die krant weg. Zitten Nu.nl-en op je werk? Ontslag op staande voet wegens misbruik bedrijfsmiddelen, overtreding ICT-reglement en op kosten jagen van de werkgever. Dat werk. Ook bij scholen. Doe je het schoolhek op slot met een stevig fietsslot, heel grappig, ga maar een week papiertjes prikken. Pleeg je een ddos, van school gestuurd en aangifte. Is dat “ik snap ict niet dús het is gevaarlijk”?

Arnoud

Gastpost: Mag de school zomaar foto’s van mijn kind op Facebook plaatsen?

Geplaatst op in Privacy, Uitingsvrijheid, 60 reacties

facebook-upload.pngDeze en volgende week ben ik met vakantie. Daarom vandaag een gastpost van blogger Nathalie Gloudemans-Voogd.

Foto’s van mijn kind op Facebook: ik ben er zelf terughoudend mee. De crèche waar mijn baby sinds kort naar toe gaat gelukkig ook. Maar ik heb meerdere vaders en moeders in mijn tijdslijn en zie tot mijn verbazing vaak foto’s gedeeld en ge-vind-ik-leukt van pagina’s die speciaal aangemaakt zijn door scholen. En op die foto’s prijken de schattige leerlingen van die onderwijsinstellingen. Als ik, zonder die pagina’s zelf leuk te vinden, zulke afbeeldingen in mijn tijdslijn kan zien is er iets mis. Die foto’s zijn dan namelijk openbaar. Is dat ok? Nee, niet echt.

Een foto zegt meer dan 1000 woorden aan persoonsomschrijving. Zo is uit een foto het ras van de afgebeelde persoon te achterhalen. En dat soort gevoelige gegevens vormen in de Wet bescherming persoonsgegevens ‘bijzondere persoonsgegevens’ (artikel 16 voor de liefhebbers) en genieten extra bescherming.

Een foto van een kind biedt dus teveel persoonlijke informatie om zomaar gedeeld te mogen worden zonder goedkeuring van de ouders. Uit onze Wet bescherming persoonsgegevens volgt dan ook: zonder uitdrukkelijke toestemming van de ouders mag zo’n foto van je kind niet online geplaatst worden. Pas zodra je spruit 16 is geworden, kan de school bij het kind zelf terecht voor toestemming. Toestemming die je eerder al gegeven hebt, kun je later trouwens intrekken.

Maar toestemming van de ouders is niet genoeg. Los daarvan heeft de school aanvullende verplichtingen om de privacy van haar leerlingen te beschermen. Op de school rust bijvoorbeeld de verplichting om de gegevens af te schermen van onbevoegden en zoekmachines.

Het Cbp noemt de optie van een wachtwoord op een site zetten, maar met een geheime en besloten groep op Facebook voldoe je hier waarschijnlijk ook aan. Zulke groepen worden niet gevonden binnen de Facebook zoekopties en zoekmachines. Anderen kunnen de inhoud van de groep niet zien en ook niet wie er lid van is. Bovendien kun je je alleen aansluiten bij die groep op uitnodiging van de groepsbeheerder.

Tegen ouders die net als ik een terughoudend beleid voor foto’s van hun kids op Facebook voeren en die foto’s verwijderd willen zien: untag de foto en dien een verzoek tot verwijdering in via Facebook. Dit doe je door de foto in Facebook te openen, via ‘opties’ de link ‘tags rapporteren/verwijderen’ te kiezen en aan te vinken wat van toepassing is. Lees voor een uitgebreide beschrijving van dit stappenplan mijn blogpost op kispi.nl.

En tegen die scholen met Facebook pagina’s vol afbeeldingen van groep-achters die afscheid nemen en vrolijke verjaardagsfeestjes van kleuters en wat er allemaal nog meer voorbij komt: maak alsjeblieft een geheime en besloten Facebookgroep aan. Niet alleen hebben scholen een wettelijke plicht om de privacy van hun leerlingen meer te beschermen, maar ook maatschappelijk gezien zouden we terughoudend moeten zijn met kiekjes van onze kinderen. Al was het maar vanwege nare bewerkingen die sommige mensen op die ogenschijnlijk onschuldige foto’s loslaten.

Althans, dat vind ik. Hoe denken jullie erover: kinderfoto’s op Facebook, prima of liever niet?

Nathalie Gloudemans-Voogd is blogger voor onder andere ondernemersblog kispi.nl en oprichter van saunagespot.nl.