Tijdens het DPIA-traject is gebleken dat het gebruik van Entree Federatie een veilige inlogmethode biedt om op een eenvoudige wijze toegang te verkrijgen tot verschillende leermiddelen en diensten. Dankzij de zeer positieve samenwerking met Kennisnet verliep het assessment soepel en snel. Al vrij snel in het traject werd duidelijk dat de Single-Sign-On (SSO) service die Entree Federatie aanbiedt betrouwbaar is. Hiermee hebben leerlingen en scholen na authenticatie toegang tot al hun materiaal van de leveranciers. Bovendien biedt het de basis om hiervoor alleen minimale en noodzakelijke gegevens beschikbaar te stellen. Download het rapport van de DPIA hier.
De Entree Federatie stuurt de gebruikersnaam en wachtwoord door naar de Identity Provider (Magister, Somtoday, Entra ID, ADFS, etc.). De Identity Provider doet de authenticatie en daarna wordt een set aan gegevens via de Entree Federatie doorgestuurd naar de leverancier. Die gegevens worden door de leverancier gebruikt om onder andere de gebruiker te kunnen identificeren, zodat de juiste lesmaterialen of toetsen getoond kunnen worden. Uit het DPIA-onderzoek is gebleken dat de Entree Federatie een veilige methode biedt voor het tot stand brengen van deze sign-on, en de basis biedt om hiervoor alleen minimale en noodzakelijke gegevens beschikbaar te stellen. Bovendien is er tijdens het authenticatieproces geen sprake van opslag van de zogenoemde attributen waarmee de authenticatie plaatsvindt. Dit verkleint de kans op datalekken en onbevoegde toegang. Dat wat je niet opslaat kan immers ook niet verloren gaan.
Samenwerking
De samenwerking tijdens het DPIA-proces met Kennisnet op de dienst Entree Federatie was ronduit positief te noemen. De open werkwijze, goede gesprekken en gemotiveerde houding om verbetervoorstellen door te voeren hebben ontzettend bijgedragen aan het onderzoek en identificatie van de risico’s. Daarover gesproken, een belangrijke verbetering van de dienst op het gebied van informatiebeveiliging is het verhogen van de BIV-kwalificatie op het gebied van de integriteit van ‘midden’ naar ‘hoog’. Ook de deelnemende scholen hebben belangrijke praktijkinzichten gebracht die wezenlijk waren voor het begrip van de werking van de dienst.
Samenvatting risico’s en maatregelen
Het onderzoek toonde aan dat de Entree Federatie een veilige methode biedt voor het koppelen van gebruikersgegevens, waarbij alleen minimale en noodzakelijke informatie wordt verstrekt. Bovendien worden er tijdens de authenticatie geen persoonsgegevens opgeslagen, wat de integriteit van het proces verhoogt. De volgende risico’s zijn uit het DPIA-onderzoek naar voren gekomen.
1. Risico: Verwerking van data vindt mogelijk plaats in strijd met het uitgangspunt van dataminimalisatie. De aanbieders (leveranciers van bijvoorbeeld leermiddelen) die aanvullende attributen voorwaardelijk stellen aan hun dienstverlening motiveren onvoldoende waarom deze gegevens noodzakelijk zijn. Hierdoor is de inschatting als school moeilijk te maken of de uitgevraagde attributen noodzakelijk en proportioneel zijn.
Maatregel: School: De school die akkoord gaat met het beschikbaar stellen van aanvullende attributen aan de leverancier heeft beoordeeld of dit noodzakelijk is. Bij onduidelijkheid is een motivering van de leverancier vereist. De school heeft een proces ingericht voor het beheer en de controle op het gebruik van Entree Federatie.
NB. De (aanvullende) attributen moeten ook in de verwerkersovereenkomst met de dienstaanbieder staan opgenomen.
Kennisnet: Kennisnet verzoekt de dienstaanbieders indringender om gedetailleerd te motiveren waarom aanvullende attributen voor de koppeling noodzakelijk zijn, zodat scholen goed kunnen inschatten of deze verwerking voldoet aan de beginselen van proportionaliteit en subsidiariteit.
In dit kader is ook een nieuwe oproep aan de dienstaanbieders gedaan om alsnog te voorzien in deze motivering. Deze oproep en aanpassing zijn doorgevoerd.
2. Risico: Op basis van het ROSA schema1 moet integriteit als hoog worden geclassificeerd. Entree heeft de dienst geclassificeerd op integriteit Midden en maatregelen op basis van dit niveau geïmplementeerd. Gevolg, de informatiebeveiliging op het gebied van de Integriteit is onvoldoende. Er wordt nog niet volledig voldaan aan de maatregelen die op basis van het ROSA-schema2 moeten zijn geïmplementeerd uitgaande van een BIV-classificatie waarbij de Integriteit op Hoog is gezet. Er wordt wel voldaan aan de maatregelen die passen bij de classificatie Midden.
Maatregel: Kennisnet: Kennisnet dient de maatregelen die horen bij ‘integriteit Hoog’ te implementeren en aan te passen in het ROSA-schema. Hierover zijn afspraken gemaakt met SIVON hetgeen tot de concrete toezegging heeft geleid dat Kennisnet sinds 1 juli 2024 heeft voldaan aan de betreffende maatregelen.
3. Risico: De inhoud van de verwerkersovereenkomst is niet in overeenstemming met de feitelijke verwerkingen. Ten aanzien van de inhoud van de verwerkersovereenkomst zijn de volgende drie gebreken geïdentificeerd.
- Gebrek aan transparantie en controle over de verwerking van de gegevens. In de tabel van de ‘onderwijsdeelnemer’ staat het vinkje bij Gebruikersgegevens, waaronder diagnostische gegevens en logging niet aangevinkt terwijl deze gegevens tijdens het proces wel worden verwerkt.
- Gebrek aan transparantie en controle over de verwerking van de gegevens. In de tabellen staat dat er tijdens de authenticatie geen persoonsgegevens worden opgeslagen. Dit klopt echter niet voor de gepseudonimiseerde logging.
- Onjuiste informatievoorziening ten aanzien van de toegepaste beveiligingsmaatregelen. De BIV-classificering in bijlage 2 van de verwerkersovereenkomst staat ten aanzien van de Vertrouwelijkheid ten onrechte op Hoog.
Maatregel (door Kennisnet uit te voeren):
- Aanpassen van de verwerkersovereenkomst door de verwerking van logging gegevens bij deelnemers aan te vinken.
- Voorzien van duiding over de soort persoonsgegevens die worden verwerkt en voor welk doel in de verwerkersovereenkomst.
- Verwerkersovereenkomst op gebied van toegepaste BIV-kwalificatie in overeenstemming brengen met de praktijk.
Ten aanzien van de hiervoor benoemde maatregelen is met Entree Federatie overeengekomen dat de verwerkersovereenkomst hierop wordt aangepast. Deze wordt binnenkort gepubliceerd.
4. Risico: Onrechtmatige verwerking door dienstaanbieder bij inloggen zonder licentie.
Bij het koppelen via de Entree Federatie naar serviceproviders wordt de uitwisseling van de attributen gefaciliteerd. In gevallen waar een licentie is beëindigd of er geen gebruik meer wordt gemaakt moet ook de koppeling worden beëindigd binnen Mijn Entree Federatie of intrekking van het ARP-formulier. Bij nalaten hiervan resulteert dit in het onbedoeld beschikbaar stellen van persoonsgegevens van leerlingen aan een (inmiddels) onbevoegde partij.
Maatregel: School: De school dient een proces aanwezig te hebben voor het beheer en de controle op de koppelingen met dienstaanbieders die ervoor zorgt dat wanneer een licentie afloopt de koppeling direct wordt ingetrokken.
Conclusie
Na de implementatie van de overeengekomen maatregelen door zowel de scholen als Kennisnet zijn er voor het gebruik van Entree Federatie geen verdere restrisico’s.
Kort na de deadline van de implementatietermijn zal SIVON een update van deze ontwikkelingen op haar website plaatsen.
Over het programma Digitaal Veilig Onderwijs
Het uitvoeren van DPIA’s valt onder het programma Digitaal Veilig Onderwijs. Met het programma Digitaal Veilig Onderwijs bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het Normenkader Informatiebeveiliging en Privacy voor Funderend onderwijs (IBP FO) beschrijft de normen voor een digitaal veilige schoolorganisatie en biedt concrete voorbeeldmaatregelen.