De digitale leeromgeving MAX van Malmberg B.V., onderdeel van Sanoma Learning, is onderzocht in een Data Protection Impact Assessment (DPIA). Uit dit onderzoek blijkt dat scholen MAX veilig kunnen gebruiken in het voortgezet onderwijs, als Malmberg en de scholen de voorgestelde maatregelen goed uitvoeren.
De datum voor een webinar over de DPIA Malmberg volgt binnenkort. Meld je hier aan om op de hoogte te blijven van de datum.
MAX is een leermethode voor het voortgezet onderwijs. De methode combineert fysieke boeken met een online leeromgeving en bieden uitgebreid docentenmateriaal en extra lesmateriaal aan. Leerlingen en docenten hebben via de digitale omgeving toegang tot alle leermaterialen die de school beschikbaar stelt. In de DPIA stond de online leeromgeving centraal, omdat hier persoonsgegevens van leerlingen (en in mindere mate van docenten) worden verwerkt. Er is onderzocht welke risico’s dit met zich meebrengt en of er voldoende maatregelen zijn getroffen om deze risico’s te beperken.
Positieve samenwerking
De samenwerking met Malmberg tijdens het DPIA-proces was constructief en transparant. De leverancier werkte actief mee aan het onderzoek en stond open voor verbeteringen. Dankzij deze houding konden risico’s snel worden geïdentificeerd en ook worden aangepakt.
Tijdens het onderzoek heeft Malmberg al verschillende verbeteringen doorgevoerd. Zo is de bewaartermijn van loggegevens verlengd van vier weken naar dertien maanden en is informatie over adaptiviteit binnen MAX aangepast. Ook de deelnemende school leverde waardevolle inzichten over het gebruik van MAX in de klas. Die praktijkervaring hielp om goed te begrijpen hoe de leeromgeving in het dagelijks onderwijs wordt gebruikt.
Conclusie
Malmberg heeft de in de DPIA geconstateerde risico’s deels direct opgelost of is bezig met het invoeren van verbeteringen, zoals een uitgebreidere loggingfunctionaliteit waarmee scholen meer inzicht krijgen in welke gebruikers exports of downloads uitvoeren.
Als scholen en Malmberg de voorgestelde maatregelen opvolgen, kunnen zij MAX veilig gebruiken. Het schoolbestuur blijft verantwoordelijk voor het toepassen van de centrale DPIA op de eigen situatie en het accepteren van eventuele overige risico’s.
De DPIA concludeert dat:
- de verwerking van persoonsgegevens rechtmatig en noodzakelijk is om de onderwijsdoelen te bereiken;
- de inbreuk op de persoonlijke levenssfeer in verhouding staat tot het doel;
- en dat passende maatregelen zijn of worden getroffen om de verwerkingen te beschermen.
Samenvatting van risico’s en maatregelen
Er zijn een tiental risico’s geconstateerd. Als je als schoolbestuur gebruik maakt van MAX, dan is het van belang om deze risico’s goed door te nemen en waar nodig binnen de eigen organisatie te adresseren. Wij hebben de belangrijkste risico’s waarbij het schoolbestuur zelf maatregelen moet treffen, hieronder op een rij gezet.
- Beperk en controleer het gebruik van export- en downloadfuncties, zodat persoonsgegevens niet onbedoeld buiten de beveiligde leeromgeving terechtkomen.
- Maak afspraken over het inzien en controleren van loggegevens. Zowel in de huidige situatie (door deze op te vragen bij de servicedesk) als in de toekomst, wanneer Malmberg scholen zelf toegang geeft tot deze informatie. Zo kunnen schoolbesturen toezicht houden en onregelmatigheden sneller signaleren.
- Voer de nieuwe modelverwerkersovereenkomst door zodra deze beschikbaar is, zodat afspraken over gegevensverwerking blijven voldoen aan de privacywetgeving.
- Informeer leerlingen en ouders duidelijk over de (beperkte) adaptieve functies binnen de leeromgeving, zodat zij weten hoe het systeem zich aanpast aan het leerproces van de leerling.
Door deze maatregelen door te voeren, kun je als schoolbestuur voldoen aan de AVG-wetgeving en bijdragen aan een veilige digitale leeromgeving voor leerlingen en medewerkers.
Over het programma Digitaal Veilig Onderwijs
Het uitvoeren van DPIA’s valt onder het programma Digitaal Veilig Onderwijs. Met het programma Digitaal Veilig Onderwijs bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het Normenkader Informatiebeveiliging en Privacy (IBP) beschrijft de normen voor een digitaal veilige schoolorganisatie en biedt concrete voorbeeldmaatregelen.
Lokale DPIA
Als schoolbestuur kun je met de centrale DPIA je eigen risico-afweging maken in een lokale DPIA. Je kunt bepalen welke risico’s uit de centrale DPIA voor jouw schoolbestuur van toepassing zijn. In het rapport van de centrale DPIA staan invulvelden voor het invullen van de lokale DPIA.