Interview

Groen licht voor veilige apps!

Welke apps kun je met een gerust hart gebruiken? Dat weten ze bij Kerobei! In elk geval als het gaat om de 50 apps die hun scholen het meest gebruiken. Die hebben ze beoordeeld naar aanleiding van de innovatievraag over veilige apps in het onderwijs. De beoordelingen komen op een website die voor iedereen toegankelijk is.

Stafmedewerker ICT, Ton Pouls, is tevreden: ”Een mooi resultaat, want met het oog op de bescherming van persoonsgegevens zijn veilige apps belangrijk, maar niet vanzelfsprekend, omdat gebruiksvoorwaarden vaak ingewikkeld zijn. Daarom zijn we zo blij met deze mooie eerste aanzet. En we gaan door!”

Pouls: “In de werkomgeving Google Workspace, waarin onze 18 scholen werken, zitten veel handige applicaties. De innovatievraag waar wij mee aan de slag zijn gegaan, gaat over de veiligheid van die apps. En niet alleen van de apps, ook van de zogenaamde add-ons.” Add-ons zijn uitbreidingen op een app. Stel je mist bij het maken van een online vragenlijst de mogelijkheid om een sluitingsdatum toe te voegen. Dan kun je daarvoor een add-on installeren. Zo’n extensie moet natuurlijk ook veilig zijn. Pouls ziet dat die veiligheid in onderwijsland nog wel eens te wensen overlaat: “Scholen zorgen voor veiligheid bij de voordeur en hangen camera’s op of zetten een beveiliger neer. Maar de achterdeur staat vaak wagenwijd open: gegevens kunnen gemakkelijk op straat komen te liggen, als je onveilige apps gebruikt.”

Dit resultaat is pas het begin

Op de vraag hoe Kerobei het beoordelen van de veiligheid heeft aangepakt, blikt Pouls terug: “Uit een inventarisatie bleek dat onze scholen in totaal zo’n 350 apps en add-ons gebruiken. Behoorlijk veel, daar schrokken we wel van. Samen met ons netwerkbedrijf Cloudwise hebben we vastgesteld welke 50 het meest gebruikt worden en vervolgens heeft onze functionaris gegevensbescherming die beoordeeld op veiligheid. Een flinke klus.” De beoordeelde apps krijgen straks een stoplicht-kleur op een website die speciaal hiervoor gebouwd wordt. Van de 50 apps zijn er 32 groen, 11 oranje en 7 rood. Groen betekent dat de app veilig is. Oranje dat je hem onder bepaalde voorwaarden mag gebruiken, bijvoorbeeld als je geen persoonsgegevens gebruikt. Rood betekent niet gebruiken. Dat Kerobei al 50 apps beoordeeld heeft, is een mooi resultaat, maar Pouls kijkt verder: “Landelijk kampen bijna alle scholen met hetzelfde probleem. De 50 beoordeelde apps zijn dus wat mij betreft een begin. Onze grote wens is dat het beoordelen op veiligheid landelijk wordt opgepakt voor alle scholen. Hierover hebben we een advies uitgebracht aan de PO-Raad.”

Plan A en plan B

Dat het beoordelen van de veiligheid landelijk wordt opgepakt, noemt Pouls plan A. Het ideale scenario. Gaat dat niet gebeuren, dan gaan ze bij Kerobei zelf verder met plan B: aan de slag met het beoordelen en mogelijk afscheid nemen van de overige 300 apps en add-ons. Pouls vertelt: “We gaan een voorstel maken over de verdere aanpak en dienen dat in bij het College van Bestuur. Om een voorbeeld te noemen: een van de eisen volgens de Algemene verordening gegevensbescherming (AVG) is dat de app op een server in Europa moet staan. In ons voorstel staat dat we willen checken of dat echt nodig is. Soms voldoet een app namelijk aan alle eisen, behalve aan deze. Dan is het handig om te weten hoe belangrijk die eis eigenlijk is.”

Vaste aanpak bij veranderingen

Bij Kerobei hebben ze een vaste aanpak bij ICT-innovaties. Ook de innovatievraag over veiligheid van apps hebben ze op deze manier aangepakt. Ze werken volgens het zogenaamde Rijnlandse model: niet wie de macht heeft mag het zeggen, maar wie het weet mag het zeggen. Pouls legt uit: “We stellen een werkgroep samen met daarin alle disciplines die kennis van het onderwerp hebben of die ermee te maken hebben of krijgen. Bijvoorbeeld de ICT-ambassadeur of een administratief medewerker, maar ook een directeur, een teamleider en een leraar. De werkgroep heeft erkende en herkende deskundigheid, waardoor de rest vertrouwen heeft en besluiten accepteert. Daarnaast werken we bij Kerobei met zogenaamde werkplaatsen. Er is bijvoorbeeld een werkplaats directeuren, een werkplaats teamleiders, ICT-ambassadeurs en ga zo maar door. Bij een innovatie delen de mensen van de werkgroep steeds de informatie met de werkplaatsen. Zo is iedereen op de hoogte. Ze weten wat eraan komt en waarom. Pouls is blij met deze aanpak: “Voor ons werkt het perfect. We hebben op deze manier onze websites en het leerlingvolgsysteem vernieuwd. Al deze trajecten verlopen nagenoeg vlekkeloos.”  Meer weten over de veranderaanpak van Kerobei? Lees er meer over in een eerder interview met Ton Pouls.

Bewustwordingscampagne

“Of de veiligheid van onderwijsapps nu landelijk wordt opgepakt of niet, wij gaan sowieso door”, zegt Pouls vastberaden. “Zo zijn we bezig met een bewustwordingscampagne rond veiligheid van apps en add-ons, zodat mensen zelf slimme keuzes kunnen maken over hun eigen werkomgeving. In de campagne wijzen we medewerkers erop dat het bij een app niet alleen draait om functionaliteit, maar ook om veiligheid. En dat het goed is om je af te vragen of de app echt nodig is. Om op het voorbeeld van de sluitingsdatum van het formulier terug te komen: je kunt die einddatum ook in je agenda noteren. Misschien iets minder makkelijk, maar waarschijnlijk wel veel veiliger. Tot slot is het belangrijk dat medewerkers zich afvragen of de app voor meer collega’s handig is. Is die alleen voor jouzelf? Dan is het misschien niet de moeite van het risico waard.” De werkgroep biedt scholen een map aan met handige campagnematerialen, zoals posters en een stappenplan. Daar kan elke school zelf mee aan de slag. Ook scholen buiten Kerobei, als ze dat willen.

De rol van de leveranciers

Pouls kijkt ook naar de rol die de leveranciers van de apps hebben: “Ik betaal graag een bijdrage voor een app als ik dan zeker weet dat die veilig is, want wij willen zorgvuldig omgaan met persoonsgegevens van leerlingen en medewerkers. We merken dat leveranciers andere belangen hebben. Sommige van hen maken juist gebruik van de gegevens. Als je veiligheid met leveranciers wil bespreken, zal dat in mijn ogen landelijk moeten gebeuren. Daar zijn wij als Kerobei een te kleine partij voor.” Ook netwerkleveranciers kunnen een rol spelen. De werkgroep heeft gesproken met betrokkenen bij Cloudwise. Die geven aan dat ze veiligheid belangrijk vinden, maar dat ze het niet als hun taak zien om een lijst te maken met veilige apps.

Tips

Pouls deelt de kennis uit het project graag met andere scholen: “We leveren een aantal producten op, die voor iedereen toegankelijk zijn. Denk aan het Exceloverzicht met alle 350 apps, de website met de beoordeelde apps, de brochure waarin staat hoe en waarom we dit gedaan hebben en de spreadsheet met criteria die we hebben gehanteerd bij de beoordeling. Er is ook een beleidstekst die besturen bij hun eigen aanpak kunnen gebruiken.” En als je met deze of een andere innovatievraag aan de slag gaat, beveelt Pouls van harte het Rijnlandse model aan: “Voor onze organisatie werkt het supergoed. Wie er meer over wil weten mag me gerust bellen!”