Bijna twee jaar lang moesten onderwijsinstellingen over de hele wereld zich aanpassen en improviseren vanwege de wereldwijde Covid-19 pandemie. Leren op afstand en blended learning werden cruciaal. Sommige systemen waren beter voorbereid dan andere.
Schoolsystemen met een volwassen digitale infrastructuur waren beter voorbereid. Andere moesten in een paar dagen tijd oplossingen aanschaffen en implementeren. Er werden binnenwegen genomen en Beoordeling of privacy concerns werden vaak omzeild.
Leren op afstand maakt nog steeds een groot deel uit van het onderwijs in 2022 en zal dat in de nabije toekomst ook blijven doen. Het is dan ook belangrijk om de gebeurtenissen van de afgelopen jaren te bekijken vanuit het oogpunt van gegevens privacy. Hier volgen een aantal vaststellingen.
Een wereldwijde pandemie betekent niet dat we de maatregelen op het gebied van gegevens privacy kunnen versoepelen
Een tijd lang leken mensen te geloven dat de noodsituatie de gegevens overtroefde privacy. Er was een stormloop op de aanschaf van digitale hulpmiddelen en content om studenten te helpen met thuisonderwijs (leren op afstand). Leveranciers die normaal gesproken misschien niet door de toetsing van een gegevensbeoordeling op privacy zouden komen, zagen de belangstelling van onderwijsinstellingen enorm toenemen. Dit was in het algemeen belang, toch?
Maar al snel bleek dat zelfs diensten die essentieel waren voor de aanpak van de wereldwijde pandemie de basisprincipes van gegevensbescherming moesten volgen privacy. De Noorse overheid lanceerde al snel een app voor het traceren van contacten om de verspreiding van het virus tegen te gaan, maar de gegevensbeschermingsautoriteit was nog sneller met het sluiten van de app. Een wereldwijde pandemie is geen reden om soepel om te gaan met gegevens privacy maatregelen.
Wanneer het belang van persoonlijke gegevens en de systemen die ze verwerken veranderen van "leuk om te hebben" in "kritiek", neemt het belang van gegevensbescherming aanzienlijk toe. Een paar jaar geleden, als een account van Docent werd gehackt en verwijderd, konden ze een andere manier bedenken om hun klas te laten draaien. Maar tijdens een pandemie kan dat betekenen dat twee dozijn kinderen dagenlang geen onderwijs krijgen. De noodzaak van gegevensbescherming wordt afgewogen tegen de impact op mensen wanneer zoiets kritieks gebeurt.
Leerpunt: je moet je gegevensbeschermingsprotocol versterken in tijden van crisis.
Gegevens privacy gaat ook over beschikbaarheid
In het beginstadium van de pandemie kregen veel leveranciers te maken met plotselinge pieken in het gebruik van hun systemen. Niet alle leveranciers waren in staat om de toegenomen behoefte van hun bestaande klantenbestand te ondersteunen. In sommige gevallen duurde het dagen of zelfs weken voordat deze leveranciers weer beschikbaar waren.
De meeste mensen zullen een datalek associëren met iemand die software hackt en gegevens steelt. Maar in het kader van GDPR kan een langdurig verlies van de beschikbaarheid van gegevens ook worden beschouwd als een datalek. Het hangt af van de impact op je Personen. Als een systeem dagenlang op zwart zou gaan, wat een wezenlijke impact zou hebben op het geven van onderwijs, dan zou dat als een datalek beschouwd moeten worden. De beveiligingen die systemen en leveranciers kunnen bieden tegen inbreuken op de beschikbaarheid moeten deel uitmaken van elk datalek privacy Beoordeling .
Leerpunt: Houd bij het beoordelen van de beveiligingsmaatregelen van uw leveranciers rekening met hun vermogen tot beschikbaarheid en continuïteit tijdens onverwachte, langdurige piekbelastingen.
Veel instellingen worstelen nog steeds met basisbeveiligingsmaatregelen
In 2020 deed zich een nieuw fenomeen voor (althans voor scholen) dat "Zoom bombing" werd genoemd. Door ongeauthenticeerde toegang tot videoconferentietools toe te staan, werden kwaadaardige aanvallen gelanceerd door de URL's van vergaderruimtes te raden. In het beste geval verstoorde dit het leren op afstand: in het slechtste geval werden leerlingen blootgesteld aan ongepaste inhoud en gedrag. (Zoom heeft sindsdien extra maatregelen toegevoegd zoals de beveiligingsknop om Zoom bombing te voorkomen).
Zelfs instellingen die alleen geauthenticeerde Personen toelieten op hun systemen waren niet immuun voor hacks en datalekken. Phishing, het concept om Personen te verleiden tot het geven van gebruikersnamen en wachtwoorden door een legitieme service voor te stellen, was wijdverspreid. Dit is een voorbeeld van waarom gebruikersnaam/Wachtwoord authenticatie niet genoeg is en waarom gegevensbeschermingsinstanties adviseren dat Medewerker accounts in digitale leeromgevingen beschermd moeten worden met multi-factor authenticatie.
Leerpunt: Herzie je basisbeveiligingsmaatregelen. Zorg ervoor dat je de juiste authenticatie afdwingt voor je leerdiensten.
Veel organisaties zijn zich nog steeds niet bewust van de rechten van hun studenten en docenten
De overstap naar leren op afstand bracht in veel organisaties veel veranderingen met zich mee. Er kwamen nieuwe systemen en er werden meer persoonlijke gegevens verzameld. Voor sommige organisaties zou je zelfs kunnen stellen dat het doel van de verwerking van persoonlijke gegevens is veranderd. Maar in dit proces hebben veel organisaties zich niet gehouden aan de GDPR.
Alle Personen van een digitale leeromgeving hebben gegevens privacy rechten. Het belangrijkste is misschien wel transparantie over hoe hun persoonlijke gegevens worden verwerkt. Als je tijdens de pandemie de manier waarop persoonlijke gegevens worden verwerkt hebt veranderd, moet dit transparant worden gedocumenteerd en gemakkelijk beschikbaar zijn voor alle belanghebbenden, inclusief je leerlingen (en ouders).
Leerpunt: Doe een herbeoordeling van je "GDPR-implementatie". Zorg ervoor dat je de Competentie in je organisatie hebt om persoonlijke gegevens op de juiste manier te beschermen en de gegevens privacy rechten van je Personen te respecteren.
Maar laat problemen met gegevens privacy leren op afstand niet tegenhouden.
Gegevens privacy zijn een fundamenteel recht, maar dat geldt ook voor onderwijs. Data privacy mag dus niet gebruikt worden als excuus om online onderwijs stop te zetten wanneer een gebeurtenis zoals deze pandemie het onmogelijk maakt voor scholen om volledig open te blijven. Gegevens privacy moeten niet worden gezien als een obstakel dat ons terugbrengt in de pre-digitale "donkere eeuwen", maar als een instrument voor kwaliteitsborging dat ervoor zorgt dat digitale diensten op een veilige en betrouwbare manier kunnen worden geleverd.
Als deze pandemie voorbij is, is het belangrijk om niet zelfgenoegzaam te worden. Laten we aannemen dat zoiets op elk moment kan gebeuren. Bereid plannen, infrastructuur en leverancierscontracten voor om ervoor te zorgen dat als er in de toekomst weer een onvoorzien incident is waardoor scholen gesloten moeten worden, je al een infrastructuur hebt die gegevensbescherming bevordert en waardoor het onderwijs door kan gaan, zelfs als scholen gesloten zijn.
Leerpunt: Stel een "schoolcontinuïteitsplan" op dat een soepele en datavriendelijke privacy overstap naar leren op afstand mogelijk maakt.
Op itslearning zetten we ons in om gegevens veilig te houden. Je kunt op deze pagina meer te weten komen over onze GDPR-verplichtingen: Uw gegevens zijn belangrijk.
Hier is een checklist om GDPR-naleving op jouw school te garanderen.
Bekijk ons gratis webinar voor meer informatie over hoe u gegevens in uw onderwijsinstelling kunt beschermen.