Het was geen fijne boodschap, die de Autoriteit Persoonsgegevens (AP) in juni gaf: het onderwijs zou moeten stoppen met het gebruik van Google Workspace for Education. Maar geheel onverwacht was het niet. SIVON en SURF spraken Google al eerder aan op privacy risico’s en haar verantwoordelijkheid om de veiligheid van leerlingen voorop te stellen, maar zonder succes. Reden voor deze partijen om de druk op te voeren en in maart, mede namens de PO-Raad, een onafhankelijk advies bij de AP aan te vragen. 

Toen vlak voor de zomervakantie het bericht kwam dat er een onderhandelaarsakkoord met Google was bereikt, werd er op veel scholen en bestuurskantoren opgelucht ademgehaald. Ook bij de PO-Raad. Al langer zetten we ons in voor transparantie vanuit technologiebedrijven over hoe zij met leerling-gegevens omgaan. Dit is geen makkelijk proces. De eerste gesprekken over het uitvoeren van onderzoek naar gegevensverwerking door Google voerden we in 2019. Nu, twee jaar later, ligt er een akkoord. Google committeerde zich aan het oplossen van de privacy issues. Scholen kunnen, nadat ze zelf ook enkele acties hebben uitgevoerd, door met het gebruik van Google Workspace for Education. 

Het onderwijs leunt steeds meer op technologie. Dat maakt ons kwetsbaar, ook voor cyberaanvallen. 

Probleem opgelost? Niet helemaal. De afhankelijkheid van Google, Microsoft en andere grote techbedrijven, is er nog steeds. Nu het onderwijs steeds meer leunt op technologie wordt die afhankelijkheid alleen maar groter. Dat maakt ons kwetsbaar, ook voor cyberaanvallen, zoals recent op het ROC Mondriaan. Tot nu toe bleef het PO buiten schot. Maar voor hoe lang? De inspectie van het onderwijs verwacht in ieder geval dat de digitale beveiliging in het PO, net als in het hoger onderwijs, beter moet. We hebben werk te doen.
 
Wat de onderhandelingen met Google ons hebben geleerd is dat samenwerken loont. De afspraken met Google zijn het gevolg van een intensieve samenwerking tussen het PO en VO (SIVON), het hoger onderwijs (SURF) en het Rijk (Strategisch Leveranciersmanagement Rijk). Alleen op deze manier en op deze schaal kunnen we publieke regie, waarbij we vanuit onze eigen waarden en belangen eisen stellen aan techreuzen, nastreven. 

Verantwoordelijkheid vragen is verantwoordelijkheid nemen 

Maar met eisen stellen aan anderen komt ook de verantwoordelijkheid om onze eigen zaken op orde te hebben. Meer dan ooit is ICT met het totale onderwijs verweven. Digitale platforms grijpen in op de onderwijskwaliteit. Cyberaanvallen en ransomware  zetten de onderwijscontinuïteit onder druk. In dat licht valt het op dat het vooral ICT-coördinatoren waren die hun zorgen uiten over de privacy risico’s bij Google. De vragen die we vanuit bestuurders over dit onderwerp binnenkrijgen, zijn minimaal. Is de thematiek te complex om je als bestuurder in te verdiepen? Is het een rotsvast vertrouwen in experts? Of is het in roerige tijden simpelweg geen prioriteit?  
 

Iedere onderwijsprofessional moet nadenken over de rol die we technologie in het onderwijs geven.

Alle drie de verklaringen zijn te begrijpen. Maar we mogen meer van elkaar verwachten. Iedere onderwijsprofessional moet nadenken over de rol die we technologie in het onderwijs geven. Want hoe langer je wacht, hoe meer er voor je (door marktpartijen) wordt bedacht. Waar zien we kansen om het onderwijs te verrijken, en waar niet? En wat betekent dit voor de eisen die we stellen aan technologie en onze eigen cyberweerbaarheid? 

We doen het samen 

Kortom: hartstikke goed dat er afspraken zijn gemaakt met Google. Maar we zijn nog niet klaar. SIVON blijft de techbedrijven in het onderwijs monitoren en aanspreken op privacy issues en ondersteunt besturen bij een veilige inzet van ICT. Ook de PO-Raad en VO-raad staan niet stil. Zo werken we samen met partners binnen Edu-K aan het verbeteren van de keten van (digitale) leermiddelen. Met de Adviesgroep Regie op ICT (bestaande uit bestuurders uit het PO en VO) brengen we de ICT-verantwoordelijkheden van bestuurders in kaart. En samen met onze partners zorgen we voor goede ondersteunings- en professionaliseringsmogelijkheden bijvoorbeeld bij de aanpak van informatiebeveiliging en privacy. 

Ook de overheid heeft een verantwoordelijkheid. De onderwijsinspectie roept in haar rapport over het hoger onderwijs de overheid op informatie over cyberdreigingen beter te delen en samen met het veld vast te stellen wat het ambitieniveau van digitale veiligheid moet zijn. Een gesprek wat in het PO, binnen de Adviesgroep Regie op ICT, reeds wordt gevoerd. 

Verantwoordelijkheid nemen betekent ook niet afwachten. Wat kun je nu al doen? Verdiep je in de impact van technologie (kijk hiervoor bijvoorbeeld onze congresreeks terug) en maak bewuste en veilige keuzes. Zorg dat je ICT-organisatie (zoals het privacy- en informatiemanagement) goed geregeld is en ondersteunend aan het onderwijs. En tot slot vergroot de kennis en vaardigheden van jezelf en je team. 

Laten we van onszelf net zoveel verlangen als van Google en de verantwoordelijkheid nemen voor een goede en veilige inzet van ICT.