DPIA op Studiemeter
Uit het DPIA-traject blijkt dat Studiemeter van Uitgeverij Deviant een veilige leeromgeving biedt voor het aanleren van basisvaardigheden voor taal en rekenen. De samenwerking tussen scholen en het online lesplatform voor het Voortgezet Onderwijs leidde tot een grondige evaluatie van gegevensverwerkingen en bijbehorende risico’s. Uitgeverij Deviant stelde zich proactief en transparant op en heeft verbeteringen toegezegd om de rol van de onderwijsinstelling en verwerkingsverantwoordelijke te versterken.
De centrale DPIA heeft aangetoond dat Uitgeverij Deviant veel aandacht besteedt aan privacy en informatiebeveiliging bij het aanbieden van Studiemeter aan scholen voor het VO. Er zijn geen grote informatiebeveiligingsrisico’s geconstateerd die onmiddellijke actie vereisen. Om Studiemeter op een veilige manier te gebruiken, dienen zowel scholen als Uitgeverij Deviant nog enkele acties te ondernemen.
Samenwerking en transparantie
Tijdens het DPIA-proces is er een positieve samenwerking geweest met Uitgeverij Deviant. Verbeteringen in de dienst op het gebied van informatiebeveiliging zijn voorgesteld en zullen worden geïmplementeerd om de dienst veiliger en robuuster te maken. De inbreng van de deelnemende school heeft ook bijgedragen aan het begrip van de werking van de dienst.
Samenvatting risico’s en maatregelen
- 1. Risico: Dataminimalisatie: er worden te veel persoonsgegevens verwerkt. Binnen Studiemeter wordt per leerling vastgelegd of er sprake is van ‘dyslexie’ of een ‘auditieve beperking’. Dit is een verwerking van bijzondere persoonsgegevens en leidt tot het risico op discriminatie van een individu.
Maatregel: (Deviant) Technisch: Verwijderen/aanpassen vragen over dyslexie en auditieve beperking. Voorgesteld alternatief: Andere omschrijving Bijvoorbeeld ‘extra tijd’, of ‘ondertiteling gewenst ja/nee’. Deze maatregel is per 1 september 2024 ingeregeld. - 2. Risico: Betrokkenen worden onjuist geïnformeerd over de cookies die worden geplaatst. Er worden meer of andere cookies geplaatst dan waarvoor toestemming is gegeven dan wel de mogelijkheid om per cookiesoort toestemming te geven ontbreekt. Dit leidt tot (mogelijke) niet toegestane profilering.
Maatregel: Uitgeverij Deviant verwijdert de ‘toestemming pop up’ wanneer de betrokkene de leeromgeving bezoekt. Hierdoor wordt geen toestemming meer gevraagd die niet nodig was. Deze maatregel is per 1 september 2024 ingeregeld. - 3. Risico: Doordat de ‘Vertrouwelijkheid’ van de BIV-classificatie op ‘Midden’ is geselecteerd i.p.v. ‘Hoog’ is er een aantal maatregelen die (nog) niet goed worden toegepast. Dit betreft: De MFA op de toegang voor docenten. Dit risico kan leiden tot reputatieschade of nadeel voor de betrokkene.
Maatregel: Uitgeverij Deviant bouwt de mogelijkheid in om vanuit de beheerder MFA ‘by default’ aan te zetten voor gebruikers. Voor studenten: geen MFA (inloggen vindt uitsluitend plaats via Entree Federatie). Hiermee is het risico op onrechtmatige toegang tot een acceptabel niveau gemitigeerd. Deze maatregel is per 1 september 2024 ingeregeld. - 4. Risico: Doordat de ‘Vertrouwelijkheid’ van de BIV-classificatie op ‘Midden’ is geselecteerd i.p.v. ‘Hoog’ is er een aantal maatregelen die (nog) niet goed worden toegepast. Dit risico kan leiden tot reputatieschade of nadeel voor de betrokkene. Dit betreft: Het ontbreken van encryptie van de database.
Maatregel: Uitgeverij Deviant zal de dubbele encryptie toepassen op de database. Hiermee is de kans gemitigeerd. Deze maatregel is per 1 januari 2025 ingeregeld. - 5. Risico: Logging tot toegang tot persoonsgegevens is ontoereikend.
Maatregel: Uitgeverij Deviant zal een schoolspecifieke functionaliteit aanbieden, bestaande uit de laatste activiteitdatum van een gebruiker voor scholen op de bestaande gebruikersoverzichten. Daarnaast wordt de logging met betrekking tot exports uitgebreid; hierbij wordt zichtbaar wie een export heeft gedownload. Deze gegevens kunnen worden opgevraagd bij de servicedesk. Overige logging is via de servicedesk opvraagbaar en wordt altijd gehonoreerd. Deze maatregel is per 1 september 2024 ingeregeld. - 6. Risico: Onrechtmatige toegang tot persoonsgegevens, en beperkte controle over de persoonsgegevens. Exports worden automatisch gedownload. Persoonsgegevens kunnen mogelijk worden ingezien door onbevoegden. Dit risico kan leiden tot reputatieschade of nadeel voor de betrokkene.
Maatregel: Uitgeverij Deviant zal de optie ‘automatisch downloaden’ uitzetten. Technisch wordt het mogelijk om dergelijk exportbestand in de browser te openen. Het vereist een extra handeling vanuit school om deze dan in de downloadmap op te nemen. Restrisico op ongestructureerde data blijft aanwezig wanneer er sprake is van onvoldoende uitgedragen beleid en bewustwording binnen school waardoor onzorgvuldig met downloads wordt omgegaan. Deze maatregel is per 1 september 2024 ingeregeld. - 7. Risico: Bewaartermijnen worden niet nageleefd. Persoonsgegevens worden te lang bewaard, hetgeen een risico inhoudt voor de rechten en vrijheden van betrokkenen. Bewaartermijnen zijn standaard in de applicatie ingesteld op vier (4) jaar, dit is langer dan noodzakelijk en niet in overeenstemming met de bewaartermijnen zoals gepresenteerd door Kennisnet (2 jaar).
Maatregel: (School) Indien de school zelf de bewaartermijnen bijhoudt en persoonsgegevens op tijd verwijderd uit de applicatie, dan is het restrisico acceptabel. Hiermee is het risico voldoende gemitigeerd. - 8. Risico: Privacy-juridische rollen onduidelijk van verwerkingsverantwoordelijke of verwerker. Voor Studiemeter is Uitgeverij Deviant verwerker, zodat er geen toestemming van de betrokkene nodig is. De privacy-juridische rollen van Uitgeverij Deviant lopen door elkaar. Bij het voor de eerste keer inloggen moet je als leerling/docent toestemming geven voor de algemene voorwaarden.
Maatregel: Uitgeverij Deviant verwijdert het ‘tussenscherm’ akkoord gaan met de Algemene Voorwaarden (AV). Vanaf 1 september 2024 wordt dit gewijzigd en zullen de AV niet meer worden getoond. Hiermee is het risico voldoende gemitigeerd. Deze maatregel is per 1 september 2024 ingeregeld. - 9. Risico: Toegangsrechten te ruim ingericht. Het risico is aanwezig dat gebruikers (docenten) gegevens kunnen inzien van leerlingen die niet tot hun kerngroep behoren. Dit heeft als oorzaak dat de bevoegdheden van docenten te ruim kunnen worden ingesteld.
Maatregel: Uitgeverij Deviant kan losse scholen aanmaken t.b.v. het scheiden van de toegang. Deviant zal hiervoor een duidelijke instructie maken. Deze maatregel is per 1 september 2024 ingeregeld. - 10. Risico: Google Analytics 4 (GA4) en een eigen analysetool van Uitgeverij Deviant worden ingezet om gebruikersgegevens te analyseren. Het risico bestaat dat er te veel persoonsgegevens worden verwerkt, zonder dat dit voor de gebruiker duidelijk is, hetgeen leidt tot het aantasten van rechten en vrijheden van betrokkenen.
Maatregel: De privacy-juridische rol van Uitgeverij Deviant bij het gebruik van deze analyticsmethode is die van verwerker. Google heeft de rol van subverwerker. Vanwege deze reden zal Uitgeverij Deviant daarom GA4 en de eigen analytictool en de wijze van gebruik (en welke gegevens worden gebruikt op een gegranuleerd niveau) in de lijst van subverwerkers toevoegen. Deze maatregel is per 1 september 2024 ingeregeld. - 11. Risico: Ontbreken van een register van verwerkingsactiviteiten bij Uitgeverij Deviant. Kans op het niet goed kunnen uitoefenen van de rechten van betrokkenen omdat onvoldoende inzichtelijk is welke persoonsgegevens verwerker precies voor de verwerkingsverantwoordelijke verwerkt.
Maatregel: Uitgeverij Deviant stelt een register van verwerkingsactiviteiten op. Deze maatregel is per 1 september 2024 ingeregeld. - 12. Risico: Onbevoegde toegang tot persoonsgegevens. Hetgeen tot nadeel kan leiden voor de betrokkene. Accounts blijven mogelijk open staan, waardoor onbevoegden toegang kunnen krijgen tot de persoonsgegevens.
Maatregel: (Deviant) Uitgeverij Deviant gaat aan het gebruikersoverzicht voor beheerders de informatie toevoegen wanneer een gebruiker voor het laatst actief is geweest. (School) De beheerder kan een overzicht van de docenten maken en deze kan gematcht worden met een ‘HR – in dienst – uit dienst lijst’, zodat er een schoning kan worden doorgevoerd. De uitvoering van de beheersmaatregel ligt dus bij de school voor wat betreft het beheer van autorisaties en handmatige verwijdering. - 13. Risico: Risico’s verwerkersovereenkomst. Via de toets verwerkersovereenkomsten is een aantal risico’s gesignaleerd, die in hoofdstuk 18 worden samengevat.
Maatregel: Uitgeverij Deviant zal deze risico’s verder mitigeren en de aanbevelingen doorvoeren. Deze zullen per 1 november 2024 zijn doorgevoerd.
Conclusie
Uitgeverij Deviant heeft actief gereageerd op de risico’s uit de DPIA en heeft oplossingen voorgesteld of geïmplementeerd om de dienst veiliger en robuuster te maken. Met deze maatregelen en verbeteringen kunnen scholen met vertrouwen en veiligheid gebruik blijven maken van dit digitale leermiddel. Het schoolbestuur heeft nog wel de taak om de centrale DPIA specifiek te maken en eventuele restrisico’s te accepteren.
Als een onderwijsinstelling Studiemeter wenst te gebruiken, dan is de conclusie dat:
- 1. De verwerking van persoonsgegevens rechtmatig kan plaatsvinden en ook noodzakelijk is om het doel te bereiken;
- 2. De inbreuk op de persoonlijke levenssfeer in verhouding staat tot het doel en er geen minder belastende manier is om hetzelfde doel te bereiken.
- 3. Er adequate maatregelen zijn en worden getroffen om de verwerking te beschermen.