Tijdens het DPIA-traject is gebleken dat Snappet een veilig online lesplatform voor rekenen, taal en spelling is. Met de enthousiaste medewerking van onderwijsinstellingen en Snappet is de DPIA uitgevoerd, waarbij inzicht is verkregen in gegevensverwerkingen en bijbehorende risico’s voor betrokkenen. Snappet heeft transparantie geboden en verbeteringen toegezegd om de rol van de onderwijsinstelling als verwerkingsverantwoordelijke te versterken.
Uit de centrale DPIA blijkt dat Snappet veel aandacht besteedt aan privacy en informatiebeveiliging. Er zijn geen grote informatiebeveiligingsrisico’s geconstateerd, die onmiddellijke actie vereisen. Om Snappet op een veilige manier te gebruiken, moeten zowel onderwijsinstellingen als Snappet nog wel enkele acties uitvoeren.
Samenwerking en transparantie
Snappet onderneemt daarnaast actie om risico’s op verlies van data, ongeautoriseerde toegang en onnodige gegevensbewaring te beperken. Onderwijsinstellingen dienen zelf ook maatregelen te nemen om deze risico’s te beheersen. Lokale DPIA’s, die scholen zelf uitvoeren, kunnen risico’s met betrekking tot verouderde devices, gebrek aan Multi-Factor Authenticatie, transparantie van het algoritme, en beperkte informatie voor beoordelingen identificeren en mitigeren.
Dankzij de samenwerking en transparantie tussen onderwijsinstellingen en Snappet kan op een veilige en verantwoorde manier gebruik worden gemaakt van het adaptieve lesplatform.
Samenvatting risico’s en maatregelen
Op het gebied van informatiebeveiliging zijn er in deze DPIA geen grote risico’s aangetroffen die (direct) nadere actie behoeven. Wel kunnen zowel onderwijsinstellingen als Snappet nog enkele acties uitvoeren om Snappet op een veilige manier te gebruiken. Zo heeft Snappet aangegeven dat zij – onder andere omwille van de aantoonbaarheid – een traject zal starten wat tegen de zomer van 2025 zal moeten leiden tot een ISO 27001 certificaat1.
Daarnaast wijkt de door Snappet gebruikte verwerkersovereenkomst op een aantal onderdelen af van de standaard van het Privacyconvenant. Snappet heeft aangegeven dat zij voor de zomer van 2024 een nieuwe versie gaat gebruiken die in lijn zal zijn met de standaard. Dit komt de duidelijkheid ten goede en helpt de onderwijsinstellingen om heldere afspraken te maken met de verwerker van haar persoonsgegevens.
Voor wat betreft de overige aangetroffen risico’s is er een aantal zaken dat door Snappet zal worden opgelost, waarmee onderwijsinstellingen deze risico’s beter kunnen beheersen. Dit betreft:
- Het risico beperken op verlies van data als gevolg van ongecontroleerde exports of downloads: er komt een nieuwe optie om te kunnen zien welke exports er door wie zijn gemaakt vanuit het Snappet dashboard.
- Het risico beperken dat gegevens onbevoegd worden ingezien of gewijzigd: de huidige werkwijze wordt vereenvoudigd door directer inzicht in logs (zonder tussenkomst helpdesk);
- Het risico dat gegevens langer worden bewaard dan noodzakelijk is: de huidige werkwijze wordt vereenvoudigd door bewaartermijnen in te kunnen stellen (zonder tussenkomst helpdesk).
Om deze risico’s te beheersen moeten ook de onderwijsinstelling zelf een aantal maatregelen treffen. Daarnaast is er nog een aantal risico’s geïdentificeerd die door de onderwijsinstelling moet worden gemitigeerd. Deze dienen te worden meegenomen in de lokale DPIA. Het betreft:
- Het risico dat dataverkeer onvoldoende veilig is omdat onderwijsinstellingen gebruik maken van verouderde devices die niet de gangbare protocollen ondersteunen;
- Het risico dat er bij accounts (met veel rechten) onregelmatigheden plaatsvinden doordat geen gebruik wordt gemaakt van MFA;
- Het risico dat de werking van Snappet en het algoritme / adaptiviteit niet transparant is waardoor betrokkenen hun recht op informatie niet kunnen uitoefenen;
- Het risico dat een beoordeling of een besluit enkel op één leermiddel op beperkte informatie wordt gebaseerd zonder voldoende zicht op de algemene prestaties van een leerling.
Conclusie
Op het gebied van informatiebeveiliging zijn er in de DPIA geen grote risico’s aangetroffen die (direct) nadere actie behoeven. Gelet op bovenstaande door zowel Snappet als de onderwijsinstelling uit te voeren acties kan er op een veilige manier gebruik worden gemaakt van Snappet. Kort na de deadline van de implementatietermijn plaatst SIVON een update van deze ontwikkelingen op haar website.
Over het programma Digitaal Veilig Onderwijs
Het uitvoeren van DPIA’s valt onder het programma Digitaal Veilig Onderwijs. Met het programma Digitaal Veilig Onderwijs bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het Normenkader Informatiebeveiliging en Privacy voor Funderend onderwijs (IBP FO) beschrijft de normen voor een digitaal veilige schoolorganisatie en biedt concrete voorbeeldmaatregelen.