Uit het DPIA-traject blijkt dat Studiemeter van Uitgeverij Deviant een veilige leeromgeving biedt voor het aanleren van basisvaardigheden voor taal en rekenen. De samenwerking tussen scholen en het online lesplatform voor het Voortgezet Onderwijs leidde tot een grondige evaluatie van gegevensverwerkingen en bijbehorende risico’s. Uitgeverij Deviant stelde zich proactief en transparant op en heeft verbeteringen toegezegd om de rol van de onderwijsinstelling en verwerkingsverantwoordelijke te versterken.
De centrale DPIA heeft aangetoond dat Uitgeverij Deviant veel aandacht besteedt aan privacy en informatiebeveiliging bij het aanbieden van Studiemeter aan scholen voor het VO. Er zijn geen grote informatiebeveiligingsrisico’s geconstateerd die onmiddellijke actie vereisen. Om Studiemeter op een veilige manier te gebruiken, dienen zowel scholen als Uitgeverij Deviant nog enkele acties te ondernemen.
Samenwerking en transparantie
Tijdens het DPIA-proces is er een positieve samenwerking geweest met Uitgeverij Deviant. Verbeteringen in de dienst op het gebied van informatiebeveiliging zijn voorgesteld en zullen worden geïmplementeerd om de dienst veiliger en robuuster te maken. De inbreng van de deelnemende school heeft ook bijgedragen aan het begrip van de werking van de dienst.
Samenvatting risico’s en maatregelen
- 1. Risico: Dataminimalisatie: er worden te veel persoonsgegevens verwerkt. Binnen Studiemeter wordt per leerling vastgelegd of er sprake is van ‘dyslexie’ of een ‘auditieve beperking’. Dit is een verwerking van bijzondere persoonsgegevens en leidt tot het risico op discriminatie van een individu.
Maatregel: (Deviant) Technisch: Verwijderen/aanpassen vragen over dyslexie en auditieve beperking. Voorgesteld alternatief: Andere omschrijving Bijvoorbeeld ‘extra tijd’, of ‘ondertiteling gewenst ja/nee’. Deze maatregel is per 1 september 2024 ingeregeld. - 2. Risico: Betrokkenen worden onjuist geïnformeerd over de cookies die worden geplaatst. Er worden meer of andere cookies geplaatst dan waarvoor toestemming is gegeven dan wel de mogelijkheid om per cookiesoort toestemming te geven ontbreekt. Dit leidt tot (mogelijke) niet toegestane profilering.
Maatregel: Uitgeverij Deviant verwijdert de ‘toestemming pop up’ wanneer de betrokkene de leeromgeving bezoekt. Hierdoor wordt geen toestemming meer gevraagd die niet nodig was. Deze maatregel is per 1 september 2024 ingeregeld. - 3. Risico: Doordat de ‘Vertrouwelijkheid’ van de BIV-classificatie op ‘Midden’ is geselecteerd i.p.v. ‘Hoog’ is er een aantal maatregelen die (nog) niet goed worden toegepast. Dit betreft: De MFA op de toegang voor docenten. Dit risico kan leiden tot reputatieschade of nadeel voor de betrokkene.
Maatregel: Uitgeverij Deviant bouwt de mogelijkheid in om vanuit de beheerder MFA ‘by default’ aan te zetten voor gebruikers. Voor studenten: geen MFA (inloggen vindt uitsluitend plaats via Entree Federatie). Hiermee is het risico op onrechtmatige toegang tot een acceptabel niveau gemitigeerd. Deze maatregel is per 1 september 2024 ingeregeld. - 4. Risico: Doordat de ‘Vertrouwelijkheid’ van de BIV-classificatie op ‘Midden’ is geselecteerd i.p.v. ‘Hoog’ is er een aantal maatregelen die (nog) niet goed worden toegepast. Dit risico kan leiden tot reputatieschade of nadeel voor de betrokkene. Dit betreft: Het ontbreken van encryptie van de database.
Maatregel: Uitgeverij Deviant zal de dubbele encryptie toepassen op de database. Hiermee is de kans gemitigeerd. Deze maatregel is per 1 januari 2025 ingeregeld. - 5. Risico: Logging tot toegang tot persoonsgegevens is ontoereikend.
Maatregel: Uitgeverij Deviant zal een schoolspecifieke functionaliteit aanbieden, bestaande uit de laatste activiteitdatum van een gebruiker voor scholen op de bestaande gebruikersoverzichten. Daarnaast wordt de logging met betrekking tot exports uitgebreid; hierbij wordt zichtbaar wie een export heeft gedownload. Deze gegevens kunnen worden opgevraagd bij de servicedesk. Overige logging is via de servicedesk opvraagbaar en wordt altijd gehonoreerd. Deze maatregel is per 1 september 2024 ingeregeld. - 6. Risico: Onrechtmatige toegang tot persoonsgegevens, en beperkte controle over de persoonsgegevens. Exports worden automatisch gedownload. Persoonsgegevens kunnen mogelijk worden ingezien door onbevoegden. Dit risico kan leiden tot reputatieschade of nadeel voor de betrokkene.
Maatregel: Uitgeverij Deviant zal de optie ‘automatisch downloaden’ uitzetten. Technisch wordt het mogelijk om dergelijk exportbestand in de browser te openen. Het vereist een extra handeling vanuit school om deze dan in de downloadmap op te nemen. Restrisico op ongestructureerde data blijft aanwezig wanneer er sprake is van onvoldoende uitgedragen beleid en bewustwording binnen school waardoor onzorgvuldig met downloads wordt omgegaan. Deze maatregel is per 1 september 2024 ingeregeld. - 7. Risico: Bewaartermijnen worden niet nageleefd. Persoonsgegevens worden te lang bewaard, hetgeen een risico inhoudt voor de rechten en vrijheden van betrokkenen. Bewaartermijnen zijn standaard in de applicatie ingesteld op vier (4) jaar, dit is langer dan noodzakelijk en niet in overeenstemming met de bewaartermijnen zoals gepresenteerd door Kennisnet (2 jaar).
Maatregel: (School) Indien de school zelf de bewaartermijnen bijhoudt en persoonsgegevens op tijd verwijderd uit de applicatie, dan is het restrisico acceptabel. Hiermee is het risico voldoende gemitigeerd. - 8. Risico: Privacy-juridische rollen onduidelijk van verwerkingsverantwoordelijke of verwerker. Voor Studiemeter is Uitgeverij Deviant verwerker, zodat er geen toestemming van de betrokkene nodig is. De privacy-juridische rollen van Uitgeverij Deviant lopen door elkaar. Bij het voor de eerste keer inloggen moet je als leerling/docent toestemming geven voor de algemene voorwaarden.
Maatregel: Uitgeverij Deviant verwijdert het ‘tussenscherm’ akkoord gaan met de Algemene Voorwaarden (AV). Vanaf 1 september 2024 wordt dit gewijzigd en zullen de AV niet meer worden getoond. Hiermee is het risico voldoende gemitigeerd. Deze maatregel is per 1 september 2024 ingeregeld. - 9. Risico: Toegangsrechten te ruim ingericht. Het risico is aanwezig dat gebruikers (docenten) gegevens kunnen inzien van leerlingen die niet tot hun kerngroep behoren. Dit heeft als oorzaak dat de bevoegdheden van docenten te ruim kunnen worden ingesteld.
Maatregel: Uitgeverij Deviant kan losse scholen aanmaken t.b.v. het scheiden van de toegang. Deviant zal hiervoor een duidelijke instructie maken. Deze maatregel is per 1 september 2024 ingeregeld. - 10. Risico: Google Analytics 4 (GA4) en een eigen analysetool van Uitgeverij Deviant worden ingezet om gebruikersgegevens te analyseren. Het risico bestaat dat er te veel persoonsgegevens worden verwerkt, zonder dat dit voor de gebruiker duidelijk is, hetgeen leidt tot het aantasten van rechten en vrijheden van betrokkenen.
Maatregel: De privacy-juridische rol van Uitgeverij Deviant bij het gebruik van deze analyticsmethode is die van verwerker. Google heeft de rol van subverwerker. Vanwege deze reden zal Uitgeverij Deviant daarom GA4 en de eigen analytictool en de wijze van gebruik (en welke gegevens worden gebruikt op een gegranuleerd niveau) in de lijst van subverwerkers toevoegen. Deze maatregel is per 1 september 2024 ingeregeld. - 11. Risico: Ontbreken van een register van verwerkingsactiviteiten bij Uitgeverij Deviant. Kans op het niet goed kunnen uitoefenen van de rechten van betrokkenen omdat onvoldoende inzichtelijk is welke persoonsgegevens verwerker precies voor de verwerkingsverantwoordelijke verwerkt.
Maatregel: Uitgeverij Deviant stelt een register van verwerkingsactiviteiten op. Deze maatregel is per 1 september 2024 ingeregeld. - 12. Risico: Onbevoegde toegang tot persoonsgegevens. Hetgeen tot nadeel kan leiden voor de betrokkene. Accounts blijven mogelijk open staan, waardoor onbevoegden toegang kunnen krijgen tot de persoonsgegevens.
Maatregel: (Deviant) Uitgeverij Deviant gaat aan het gebruikersoverzicht voor beheerders de informatie toevoegen wanneer een gebruiker voor het laatst actief is geweest. (School) De beheerder kan een overzicht van de docenten maken en deze kan gematcht worden met een ‘HR – in dienst – uit dienst lijst’, zodat er een schoning kan worden doorgevoerd. De uitvoering van de beheersmaatregel ligt dus bij de school voor wat betreft het beheer van autorisaties en handmatige verwijdering. - 13. Risico: Risico’s verwerkersovereenkomst. Via de toets verwerkersovereenkomsten is een aantal risico’s gesignaleerd, die in hoofdstuk 18 worden samengevat.
Maatregel: Uitgeverij Deviant zal deze risico’s verder mitigeren en de aanbevelingen doorvoeren. Deze zullen per 1 november 2024 zijn doorgevoerd.
Conclusie
Uitgeverij Deviant heeft actief gereageerd op de risico’s uit de DPIA en heeft oplossingen voorgesteld of geïmplementeerd om de dienst veiliger en robuuster te maken. Met deze maatregelen en verbeteringen kunnen scholen met vertrouwen en veiligheid gebruik blijven maken van dit digitale leermiddel. Het schoolbestuur heeft nog wel de taak om de centrale DPIA specifiek te maken en eventuele restrisico’s te accepteren.
Als een onderwijsinstelling Studiemeter wenst te gebruiken, dan is de conclusie dat:
- 1. De verwerking van persoonsgegevens rechtmatig kan plaatsvinden en ook noodzakelijk is om het doel te bereiken;
- 2. De inbreuk op de persoonlijke levenssfeer in verhouding staat tot het doel en er geen minder belastende manier is om hetzelfde doel te bereiken.
- 3. Er adequate maatregelen zijn en worden getroffen om de verwerking te beschermen.
FAQ Webinar Studiemeter
Ja, de verwerkersoverkomst moet ook worden aangepast.
Naast dit onderdeel, zijn er meerdere onderwerpen die verbeterd zullen worden in de verwerkersovereenkomst. Met Uitgeverij Deviant is in het kader van de uitgevoerde DPIA de afspraak gemaakt dat dit uiterlijk 1 november2024 wordt doorgevoerd.
De nieuwe versie zal dus na 1 november 2024 beschikbaar komen in de Dienst Verwerkersovereenkomsten: https://www.kennisnet.nl/diensten/dienst-verwerkersovereenkomsten/.
De volgende situaties kunnen vervolgens aan de orde zijn:
– Voor scholen die reeds een overeenkomst hebben ondertekend via de DVWO zal Uitgeverij Deviant een nieuwe overeenkomst aanbieden wanneer deze gereed is, uiterlijk 1 november.
– Indien de school geen gebruik gemaakt van de DVWO adviseren wij om vanaf 1 november contact op te nemen met privacy@uitgeverij-deviant.nl voor een nieuwe verwerkersovereenkomst.
– In beide situaties maakt Uitgeverij Deviant geen onderscheid tussen scholen die de nieuwe overeenkomst nog niet ondertekend hebben.
Indien toets resultaten van leerlingen over een langere periode in een applicatie worden opgeslagen en benaderbaar zijn, is er sprake van ‘profilering’ zoals toegelicht door de Autoriteit Persoonsgegevens:
Systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen gebaseerd op geautomatiseerde verwerking (profilering), zoals bijvoorbeeld beoordeling van beroepsprestaties, prestaties van leerlingen, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag.
Als de onderwijsinstelling via bijvoorbeeld MS-365 zelf al SSO heeft ingeregeld en de koppeling met Studiemeter is gemaakt (en dus niet op een andere manier benaderbaar is), dan is dit voldoende.
Leerkrachten kunnen downloads maken.
De exports zijn meestal overzichten vanuit de klas etc. Studieresultaten exporteren is de enige mogelijkheid.
Het is mogelijk om het exporteren van leerresultaten te beperken, of uit te zetten. Dit kan alleen door Uitgeverij Deviant ingeregeld worden. Het is hierbij mogelijk om de default waardes aan te passen voor nieuwe gebruikers en om voor bestaande gebruikers dit aan te passen. Hiervoor kan contact opgenomen worden met de Servicedesk van Uitgeverij Deviant (T. 033 – 46 50 560 of servicedesk@uitgeverij-deviant.nl).
Binnen Uitgeverij Deviant moeten scholen zelf ingesteld worden. Er komt per 1 november 2024 een handleiding met instructies zodat alle scholen gescheiden kunnen zijn van elkaar.
Uitgeverij Deviant adviseert wanneer je toegang strikt gescheiden wilt houden, bijvoorbeeld tussen een vmbo en vo om deze als aparte scholen op te laten nemen in Studiemeter. Scheiding via een BRIN-code is zeker een logische manier als dat mogelijk is.
Dit wordt geregeld tijdens het inrichtingsproces, maar Uitgeverij Deviant wil kijken naar de mogelijkheden scholen hier later in het proces mee te helpen.
Uitgeverij Deviant streeft ernaar om dit al bij de initiële inrichting goed op te zetten voor de school. Mocht je reeds zijn aangesloten, zorgen maken, of ontevreden zijn over de huidige inrichting kan dit ook achteraf nog aangepast worden door contact op te nemen.
Dit kan aangegeven worden aan Uitgeverij Deviant zodat zij deze kunnen veranderen naar 2 jaar. Standaard staat hij dus op 4. Je kan contact opnemen met de helpdesk of privacy service email.
Er zijn opties om in bulk te verwijderen etc, en scholen kunnen altijd contact opnemen met Uitgeverij Deviant voor het verder beperken van de bewaartermijnen.
Naast encryptie van de database, heb je ook een tweede encryptie-laag op de documenten etc. Er wordt dan gebruikt van meerdere vormen van encryptie tegelijkertijd.
De applicatie wordt in deze DPIA gezien als 1 product. Valt dus onder de scope van de DPIA.
NB: Voor verdere vragen over Studiemeter kan altijd contact worden opgenomen met de Uitgeverij Deviant via https://www.uitgeverij-deviant.nl/contact.
Over het programma Digitaal Veilig Onderwijs
Het uitvoeren van DPIA’s valt onder het programma Digitaal Veilig Onderwijs. Met het programma Digitaal Veilig Onderwijs bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het Normenkader Informatiebeveiliging en Privacy voor Funderend onderwijs (IBP FO) beschrijft de normen voor een digitaal veilige schoolorganisatie en biedt concrete voorbeeldmaatregelen.