Meteen naar de content
  • Uitleg
  • |
  • Informatiebeveiliging en privacy
  • |
  • po
  • vo

Zo werkt jouw school AVG-conform met Microsoft-producten

Is de privacy van leerlingen en leraren gewaarborgd als je werkt met producten van Microsoft, zoals Teams en Outlook? Deze vraag krijgen we regelmatig van scholen. En hoe zit het met de privacy bij geïntegreerde applicaties, ofwel programma’s die werken bínnen een Microsoft-platform? In dit artikel geven we antwoord op een aantal veelvoorkomende kwesties.

Logo Kennisnet

Door de redactie

18 februari 2021
3 minuten lezen

DPIA’s voor Microsoft-producten

Om privacy-risico’s bij het gebruik van software in kaart te brengen hebben de Nederlandse overheid en SURF de afgelopen jaren verschillende DPIA’s laten uitvoeren. DPIA staat voor Data Protection Impact Assessment. Ook bij Microsoft-producten en -diensten is dit gebeurd.

AVG-regels en Microsoft-producten

Werken we conform de AVG-regels als onze onderwijsinstelling Microsoft-producten gebruikt? In principe wel, als de onderwijsinstelling licenties en diensten van Microsoft via SURF, APS IT-diensten of SLBdiensten heeft aangeschaft. Maar ook dan is nog wel actie nodig. Dat zit zo. De DPIA’s van de afgelopen jaren, uitgevoerd door Privacy Company, hebben geleid tot technische en contractuele verbeteringen en tot een aantal aanbevelingen aan gebruikers van de producten. Er zijn daarmee goede stappen gezet om ervoor te zorgen dat overheidsorganisaties en onderwijsinstellingen volgens de regels van de AVG met Microsoft-producten en -diensten kunnen werken. Het is wel van belang om de aanbevelingen van Privacy Company snel door te voeren.

Maatregelen

Welke maatregelen moeten we als onderwijsinstelling zelf nog nemen? Een overzicht van de aanbevelingen vind je op de website Aanpak IBP van Kennisnet in het kader ‘Samen optrekken bij het uitvoeren van DPIA’s’. Bij vragen over de technische maatregelen kun je het beste contact opnemen met je leverancier.

Privacy bij geïntegreerde applicaties

Hoe zit het met de privacy bij geïntegreerde applicaties? Geïntegreerde applicaties zijn meestal producten van andere leveranciers en vallen niet onder de Microsoft-voorwaarden. Neem Teams: er zijn veel applicaties die in Teams te integreren zijn, zoals Miro of Kahoot. Ook uitgeverijen zoeken naar integratie van hun lesmethodes in Teams (zie het kader). Het algemene advies is: controleer de voorwaarden van de leverancier goed, voordat je het programma op jouw school gebruikt.

Voorbeeld: ThiemeMeulenhoff en Teams

In de Teams-omgeving zijn de methodes van ThiemeMeulenhoff beschikbaar voor scholen die een licentie hebben bij deze uitgever. De inhoudsopgave van de methodes is beschikbaar voor leraren en leerlingen. Vanuit Teams kunnen ze doorklikken naar de lesmethode en direct met de juiste lesstof aan de slag. De lesmethodes zelf staan in de omgeving van de uitgever en dus niet in de Teams-omgeving. Bij scholen leeft de vraag of Microsoft bijhoudt wat leerlingen doen in de omgeving ThiemeMeulenhoff en omgekeerd. Dat is niet het geval. Het zijn 2 gescheiden omgevingen. Over en weer hebben de partijen geen zicht op hoe leerlingen en leraren de programma’s gebruiken. Zoals veel andere onderwijsgerelateerde organisaties is de uitgever deelnemer van het Privacyconvenant.

Beoordelen van een leverancier

Hoe beoordelen we of een leverancier de goede privacymaatregelen neemt? Ga na of een partij deelnemer is van het Privacyconvenant. Of gebruik de Privacy-quickscan op lesopafstand.nl. Op Microsoft is een uitgebreide DPIA uitgevoerd, waarin de privacymaatregelen zijn beoordeeld en technische en contractuele verbeteringen zijn doorgevoerd.

Toegang tot geïntegreerde applicaties

Hoe verloopt de toegang tot geïntegreerde applicaties? Leraren en leerlingen authentiseren zich via het schoolaccount en krijgen hiermee toegang tot de Microsoft Teams-omgeving. Als ze vervolgens in de Microsoft Teams-omgeving op een link van een lesmethode of tool klikken, worden ze naar de omgeving van de maker of uitgever geleid. Veel uitgeverijen in Nederland in de educatieve contentketen zijn aangesloten op Entree Federatie. Entree Federatie zorgt ervoor dat de leerlingen geauthentiseerd worden via het schoolaccount. Zo krijgen ze toegang tot de lesmethodes. De koppeling tussen de lesmethode en de leerling gaat dan volledig buiten de Microsoft Teams-omgeving om.

Gebruikersdata

Houdt Microsoft bij wat gebruikers doen in een geïntegreerde applicatie? Bij scholen die werken met Entree Federatie – en die zo een lesmethode van een uitgeverij toegankelijk maken – is er een strikte scheiding tussen bijvoorbeeld Teams en de lesmethode. Microsoft heeft geen zicht op het gebruik van de lesmethode en de uitgever heeft geen zicht op de gebruikersdata van Microsoft. Dit is niet in het algemeen te zeggen over iedere externe applicatie. Raadpleeg hiervoor altijd de verwerkersovereenkomst van de applicatie.

Aanpak Informatiebeveiliging en Privacy

Scholen zijn volgens de wet (AVG) verplicht informatiebeveiliging en privacy (IBP) goed te regelen. Maar hoe doe je dat eigenlijk? En waar begin je? De aanpak IBP helpt je hierbij. Met antwoorden op veelgestelde vragen en het stappenplan helpen wij je op weg om IBP goed te organiseren.

Ga naar de Aanpak IBP

Entree Federatie

Inloggen op educatieve websites met aparte wachtwoorden is niet meer nodig. Met Entree Federatie hebben leraar en leerling direct toegang tot alle digitale leermiddelen en educatieve diensten.

Meer weten over Entree Federatie

De onderwerpen waarover wij publiceren