De schoolkrant: het informatieve blad van menige (basis)school.
Van stenciltje op de vrijdagmiddag in de rugzak van het schoolgaande kind is de schoolkrant langzaam met de tijd meegegaan en gedigitaliseerd, aangeboden als pdf, gemaild en op school-websites geplaatst. Nu doet de Cloud ook op scholen haar intrede en is de schoolkrant vaak beschikbaar als Office365 document. De ouders krijgen een link en de content is overal bereikbaar.
Persoonsgegevens
En toen kwam de AVG. Daarmee ontstond in de zijlijn hier en daar wat discussie over compliance, merkte ik. Het kreeg niet de proporties van de Y2k-hype, maar toch. Het zette me aan het denken over wat nu acceptabel is als het om persoonsgegevens gaat, van minderjarigen. Inclusief foto’s. Want die zijn in de doorsnee schoolkrant terug te vinden. En dan eigenlijk niet eens wat de AVG ervan vindt, maar ik zelf.
Schoolkrant naar de Cloud
De belangrijkste aanleiding was eigenlijk dat school besloot de ouders niet langer een e-mail met daarin een pdf te sturen, maar een link naar een Word document op de Office Cloud. Daar had ik niet om gevraagd, dus wilde ik de reden weten.
School gaf aan dat de verwijzing naar de Office Cloud een vorm van #dataminimalisatie is (en dat hekje typten ze er bij). Er is maar één kopie van de schoolkrant in de omloop, namelijk een niet-muteerbare op de Cloud van de school. Dit in tegenstelling tot een pdf, die nadat de school deze heeft verstuurd een eigen leven kan gaan leiden. De Cloud van Microsoft is veilig, staat in Europa, en is goedgekeurd door allerhande onderwijsraden, unies en andere gremia.
Vier andere gezichtspunten
De veiligheid en Europese grond van de Microsoft Cloud ga ik niet betwisten, ook niet in relatie tot de Cloud Act. Dat is voer voor juristen, zoals school zelf ook aangeeft. Ik heb echter wel vier andere gezichtspunten.
1. Wie doet wat met een link of bestand
Of er een link naar een bestand wordt verstuurd of een bestand zelf, maakt in mijn optiek wel iets uit. Bij de link naar het bestand is school verantwoordelijk voor het controleren van de toegang tot dat bestand. Ik verwacht dat hiervoor iets ingeregeld is in de Cloud en dat school hier op zijn minst af en toe naar kijkt. Maar doet ze dat ook echt? En wat gebeurt er met geconstateerde onregelmatigheden?
Bij het versturen van een bestand in een e-mail is degene die de e-mail ontvangt (ouder of verzorger dus in deze context) verantwoordelijk voor wat er met het bestand gebeurt. Doorsturen aan familie of vrienden misschien, als er een leuke foto in staat. Welke van de twee manieren van communiceren is nu het meest handig? Ik zou zeggen – maar hoe ouderwets ben ik – dat versturen per e-mail nog het meeste lijkt op het uitreiken van een stencil. Er zit een overdrachtsmoment aan vast. Van inhoud en verantwoordelijkheid. Een link lijkt meer op een notificatie, alsof ik het poststuk mag komen afhalen op het postkantoor. Is het daarmee veiliger? Niet als iedereen met hetzelfde afhaalbericht toegang tot mijn poststuk heeft! Want dat doet school: de link naar het Word document is publiek toegankelijk.
2. Hoe lang blijft de content staan
Wat school mij niet heeft verteld, is hoe lang de schoolkrant op de Cloud blijft staan. Een echt digitaal archiveringsbeleid voor schoolkranten zal er niet zijn, dus misschien is er een beheerder die af en toe wat schoont. Hieraan een datum koppelen is best lastig, want de schoolkrant is relevant voor 6 achtereenvolgende leerjaren. Wanneer haal je een editie weg? Of blijft het gewoon staan, want een schoolkrant is maar klein (in technische omvang)?
Als de regeling rondom leerling-gegevens van toepassing is mag school bepaalde gegevens tot maximaal twee jaar nadat de leerling van school gegaan is, bewaren. https://www.rijksoverheid.nl/onderwerpen/basisonderwijs/vraag-en-antwoord/welke-gegevens-bewaart-de-basisschool-over-mijn-kind. Maar de AVG spreekt over de “right to forget”, die al van toepassing is nadat het gebruik van de persoonsgegevens stopt – dus als de leerling van school gaat, bijvoorbeeld. Eigenlijk lijkt me dit al genoeg reden om een schoolkrant niet online te plaatsen met gebruik van een publiek toegankelijke link.
3. Is er wel echt sprake van #dataminimalisatie?
Ik betwijfel of er wel sprake is van dataminimalisatie, zoals school beweert – ingegeven overigens door richtlijnen vanuit Kennisnet, bijvoorbeeld de 5 vuistregels voor privacy 2.0 (https://www.kennisnet.nl/fileadmin/kennisnet/publicatie/Kennisnet-5-vuistregels-voor-privacy2.0.pdf). Vanuit het perspectief van een attack surface (het gedeelte van een softwaresysteem waar een hacker toegang kan krijgen) is met het online plaatsen van de schoolkrant – via een publiek toegankelijke link – eerder sprake van #datamaximalisatie. Bovendien klopt de uitleg van school helemaal niet: dataminimalisatie gaat over het verzamelen van zo min mogelijk persoonsgegevens (oftewel: niet meer dan noodzakelijk voor het doel van de verwerking). Niet over verspreiden van die gegevens.
4. Plaatsen op internet en toestemming van de ouders
Gegevens van minderjarige kinderen mogen niet in de verkeerde handen vallen. Daarom is er ondubbelzinnige toestemming nodig van ouder of verzorger (voor kinderen onder de 16) voor het verwerken van hun persoonsgegevens, bijvoorbeeld beeldmateriaal. Dat is duidelijk vastgelegd, ook voor scholen (bijvoorbeeld via https://maken.wikiwijs.nl/81891/Aanpak_IBP_voor_het_po_en_vo#!page-2470153). De Autoriteit Persoonsgegevens is hier vervolgens heel duidelijk over:
Wanneer scholen beeldmateriaal van leerlingen publiceren, moeten zij passende technische en organisatorische maatregelen treffen om deze te beschermen. Deze maatregelen moeten een bepaald beveiligingsniveau garanderen, zodat foto’s niet in verkeerde handen terecht komen. Een passende technische maatregel kan zijn om een portal op de website te plaatsen die alleen toegankelijk is voor leerlingen en hun ouders/voogd met bijvoorbeeld een persoonlijke inlognaam en wachtwoord.https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-roept-scholen-op-zorgvuldig-om-te-gaan-met-beeldmateriaal-van-leerlingen#subtopic-6104
Heeft school mijn toestemming om beeldmateriaal of persoonsgegevens via de schoolkrant onbeschermd op haar website te plaatsen, of in de Cloud? Nee, die toestemming heeft ze niet. En al had ze die, dan nog mocht het niet onbeschermd – zoals nu gebeurt.
Hoe ver gaat die privacy?
Een laatste vraag die door mijn hoofd spookt, is hoe ver je hier nu als ouder in moet gaan. Is dit een datalek, in de zin van de AVG? Van opzet lijkt geen sprake, hoewel school wel heel erg overtuigd lijkt van het eigen gelijk. Moet de schoolkrant dan maar verboden en de website voorzien van alleen abstract beeldmateriaal? Dat lijkt me ook weer overdreven.
Wanneer zou ik tevreden zijn?
Als school de schoolkrant op een beschermde locatie plaatst (met gebruikersnaam en wachtwoord – en dan een unieke per ouder of verzorger) en als er duidelijk wordt gecommuniceerd hoe lang de schoolkrant blijft staan, dan ben ik al een stuk geruster. Maar eigenlijk wil ik hem gewoon weer in mijn postvak-in. En wat het allermooist zou zijn? Als stenciltje in de rugzak, op vrijdagmiddag. Dan lees ik hem meteen even.