Ouders Online schiet privacygaten in onderwijswet
In Almere zijn scholen begonnen met de onderlinge uitwisseling van digitale gegevens over leerlingen. Dat was slecht doordacht, kwam via de site Ouders Online aan het licht.
Oorspronkelijk gaat het om het Onderwijskundig Rapport (owr), dat basisscholen moeten opstellen in het kader van gegevensoverdracht bij aanmelding van nieuwe leerlingen bij het voortgezet onderwijs. Om te voorkomen dat scholen steeds opnieuw formulieren moeten invullen, kunnen ze ook van elkaars informatie gebruikmaken.
Digitaal Doorstromen of kortweg 'Digidoor' is het project om de gegevensuitwisseling te digitaliseren.
De informatie op de site is summier en bevat taalfouten:
Met deze applicatie kunt u leerlinginformatie sturen naar een school voor voortgezet onderwijs.
Dit vervangt de papieren versie van het gele formulier zoals deze voorgaande jaren gebruikt is.
Indien u meer informatie over deze website wilt ontvangen klikt u op "Informatie" in het menu aan de linkerkant van de pagina.
Als u direct wil beginnen met het invoeren van leerlinginformatie klikt u op de knop "Inloggen".
Met de optie "Home" komt u weer terug op deze pagina.
Deze webapplicatie is ontworpen voor Micorsoft Internet Explorer. Wij raden u aan geen andere browsers zoals Netscape Navigator te gebruiken omdat bepaalde onderdelen dan niet correct weergegeven worden en de applicatie daardoor zijn functionaliteit verliest.
Er zijn momenteel 0 Gebruiker(s) ingelogd in Digidoor.
De volgende gebruikers zijn de afgelopen 5 minuten ingelogd (geweest):
Kortom, de naam van degene die inlogt wordt aan de volgende gebruiker kenbaar gemaakt. En je moet wel met een Microsoft-browser werken.
Dit lijkt niet een site die professioneel in de steigers is gezet. Dat stelt ook Fred Leeflang, in het dagelijks leven werkzaam als IT'er bij een Nederlands concern, en ouder van een Almeerse leerling, snel vast:
"De website Digidoor.nl draait op een Microsoft webserver, IIS/5.0. Google maar eens op 'IIS 5.0 vulnerability'. De server waar Digidoor.nl op draait heeft tevens een ftp-poort open. Ftp is een onveilig geacht protocol waarmee mensen bestanden kunnen uploaden naar een server. Dit wordt ongetwijfeld gebruikt door diegenen die de applicatie ontwikkeld hebben om nieuwe bestanden te uploaden. Ftp wordt onveilig geacht, daar passwords van gebruikers niet versleuteld over het netwerk worden gestuurd."
Leeflang heeft informatie ingewonnen over de productie van de site en kwam erachter dat die was gemaakt door studenten van de Hogeschool van Amsterdam: "Dat is een financieel uitgangspunt geweest. Het mocht kennelijk niet te veel kosten. Maar ja, die studenten zijn ook niet direct aansprakelijk voor eventuele problemen die ontstaan, zoals met de beveiliging."
Houtje touwtje
Dit betreft de technische euvels - inhoudelijk en procedureel deugt er volgens Ouders Online nog minder van. Inmiddels moeten er van een paar duizend leerlingen uit de groepen acht van de basisscholen in Almere gegevens in het systeem staan.
Inmiddels vond Ouders Online uit dat er veel meer data is opgeslagen dan strikt nodig is, met allerhande details over onder meer het gedrag van kinderen. Annet Merckens, met een kind in Almere betrokken bij de kwestie:
"Die relevante informatie bestaat niet alleen uit Cito-scores en andere toetsgegevens, maar ook uit opmerkingen over de sociaal-emotionele ontwikkeling van het kind, de echtscheiding van de ouders, ruzietjes, druk gedrag, blauwe plekken of een bleek smoeltje.
De scholen vinden het een groot voordeel dat het kind daarmee gedurende de hele schoolloopbaan gevolgd kan worden. Niet alleen wat de leerprestaties betreft, maar ook wat betreft de problemen."
Met deze technische en inhoudelijke kritiek probeerden de ouders Leeflang, Merckens en Miriam Lavell, samen met en Justine Pardoen van Ouders Online, de afgelopen weken te ontdekken hoe de organisatie rond Digidoor in elkaar zit en waar de eindverantwoordelijkheid ligt. Dat viel niet mee, volgens Justine Pardoen:
"Niemand wist eigenlijk precies wat er speelde en wat er aan de hand was. De gemeente wil er aanvankelijk niet van weten, want het was een zaak van de onderwijsinspectie. Maar de gemeente is zeker verantwoordelijk voor de openbare scholen."
Op de site staat inderdaad dat Bestuurscommissie Openbaar Onderwijs Almere bij de zaak betrokken is. Verantwoordelijke Pieter Kleinjan krijgen we, ook mobiel, niet te pakken.
Zijn wethouder van Onderwijs, Johanna Haanstra, is volgens haar woordvoerster op de hoogte van de problemen. Ze liggen op het bord van Henk Riechelman, beleidsmedewerker van de Afdeling Onderwijs bij de gemeente Almere.
Hij liet weten dat Digidoor wordt ondersteund door de gemeente Almere. De verantwoordelijkheid voor het project ligt echter bij de betreffende schoolbesturen en de Onderwijsinspectie houdt daarop toezicht. Riechelman verdedigde het project vanwege zijn efficiencyvoordelen voor de betrokken scholen.
Betekenis van digitaal
Genoemd kwartet van Ouders Online toog op dinsdag 7 september naar Almere om te praten met Erich van den Heuvel, de projectleider van Digidoor. Hij verdedigde zijn project op grond van de te behalen voordelen. Pardoen: "Privacy en beveiliging hadden bij dit project bepaald geen prioriteit gehad."
Fred Leeflang kan dat wel begrijpen: "Dit is een IT'er op uitvoerend niveau die geprobeerd heeft om een systeem werkend te krijgen en daar verder niet te veel over nagedacht heeft."
Van den Heuvel belt Netkwesties niet terug ondanks herhaalde beloften daartoe van een collega. Volgens Merckens heeft hij een spreekverbod, daar hij geen verantwoordelijkheid kan en mag dragen voor het beleid.
Van den Heuvel staat op hetzelfde standpunt als Riechelman, die Ouders Online liet weten: "Digidoor is niets meer dan het digitaliseren van een papieren formulier dat al enige jaren door het onderwijs wordt gebruikt. De gemeente Almere ondersteunt Digidoor, omdat dit bijdraagt aan de kwaliteit van de overdracht van primair naar voortgezet onderwijs. Een goede leerlingadministratie is een voorwaarde voor maatregelen ter voorkoming van voortijdig schooluitval - de zogenoemde 'sluitende aanpak'."
Gemeente noch scholen beseffen, zegt Annet Merckens, dat digitalisering van opslag en verkeer van persoonsgegevens verstrekkende gevolgen heeft: "Ouders moeten weten wat er om welke reden aan gegevens over hun kinderen wordt opgeslagen. Ouders zijn totaal niet op de hoogte gesteld, weten nergens van.
Bovendien blijkt er dan bij dit project niet goed wie er nu verantwoordelijk is en wie je kunt aanspreken. Ze vinden het allemaal wel een handig systeem, maar het is zo gammel als wat - net als de organisatie.
Merckens is fel. Te fel? "Ik vind van niet, het gaat over de gegevens van mijn kinderen. Hoe lang nog blijft dat daar beschikbaar en voor wie allemaal. Veel instanties vinden een website o zo handig, en als je niets onderneemt kan dat allemaal."
Miriam Lavell stelde een aantal kritische vragen op over de databank - van de duur van de opslag tot de geformuleerde doelstellingen en toegang - maar op geen van de vragen kreeg ze een helder antwoord. Vervolgens legde Lavell de vragen neer bij het College Bescherming Persoonsgegevens (CBP) in Den Haag.
Op het hoogste niveau
Het voortgezet onderwijs is georganiseerd onder het Directeurenoverleg Voortgezet Onderwijs Almere (Dovoa). Dat wordt momenteel voorgezeten door Roel de Mink, directeur van Het Baken Park lyceum in Almere. Hij heeft inmiddels overleg in gang gezet, dat vandaag zou plaatsvinden: "Ik verwacht hiervan vrijdagochtend iets te vernemen. Feit is dat we op verzoek van de ouders dit dus nog eens onder de loep nemen."
Even later worden we door Jenneke Peek, een andere directrice teruggebeld: "U moet bellen met de heer Kool, hij is de voorzitter van het College van Bestuursvoorzitters."
Dat klinkt als het allerhoogste niveau dat Almere te bieden heeft in de piramide van het voorgezet onderwijs. Dat klopt, zegt ze.
College Bescherming Persoonsgegevens
Ook op een tweede front sorteert de actie van Ouders Online effect. Het CBP heeft de kwestie op zijn agenda gezet, aldus de woordvoerster:
"Dit probleem is het gevolg van nieuwe wetgeving die, zoals vaak het geval is, in grote lijnen is geformuleerd. Een aantal details, bijvoorbeeld over de verzameling, opslag en overdracht van gegevens, is niet goed geregeld.
Het College gaat zich hier de komende drie à vier weken op storten, aldus de woordvoerster.
Justine Pardoen van Ouders Online vreest dat haar club met deze zaak tegen het topje van een ijsberg is gevaren: "In het onderwijs worden tegenwoordig veel gegevensstromen gedigitaliseerd, bijvoorbeeld rondom de Wet Onderwijsnummer, waarvoor binnenkort de eerste testen beginnen. Ik denk dat we dit als ouders maar eens goed moeten gaan volgen..."
Link
Zie ook: verslag van Ouders Online.
Peter Olsthoorn, 16 september 2004
|
