Om privacy-risico’s bij het gebruik van software in kaart te brengen hebben de Nederlandse overheid en SURF de afgelopen jaren verschillende DPIA’s laten uitvoeren. DPIA staat voor Data Protection Impact Assessment. Ook bij Microsoft-producten en -diensten is dit gebeurd.
Werken we conform de AVG-regels als onze onderwijsinstelling Microsoft-producten gebruikt?
In principe wel, als de onderwijsinstelling licenties en diensten van Microsoft via SURF, APS IT-diensten of SLBdiensten heeft aangeschaft. Maar ook dan is nog wel actie nodig. Dat zit zo. De DPIA’s van de afgelopen jaren, uitgevoerd door Privacy Company, hebben geleid tot technische en contractuele verbeteringen en tot een aantal aanbevelingen aan gebruikers van de producten. Er zijn daarmee goede stappen gezet om ervoor te zorgen dat overheidsorganisaties en onderwijsinstellingen volgens de regels van de AVG met Microsoft-producten en -diensten kunnen werken. Het is wel van belang om de aanbevelingen van Privacy Company snel door te voeren.
Welke maatregelen moeten we als onderwijsinstelling zelf nog nemen?
Een overzicht van de aanbevelingen vindt u op de website Aanpak IBP van Kennisnet. Kijk bij aanpakibp.kennisnet.nl/dpia in het kader ‘Samen optrekken bij het uitvoeren van DPIA’s’. Bij vragen over de technische maatregelen kunt u het beste contact opnemen met uw leverancier.
Hoe zit het met de privacy bij geïntegreerde applicaties?
Geïntegreerde applicaties zijn meestal producten van andere leveranciers en vallen niet onder de Microsoft-voorwaarden. Neem Teams: er zijn veel applicaties die in Teams te integreren zijn, zoals Miro of Kahoot. Ook uitgeverijen zoeken naar integratie van hun lesmethodes in Teams (zie het kader). Het algemene advies is: controleer de voorwaarden van de leverancier goed, voordat u het programma op uw school gebruikt.
Hoe beoordelen we of een leverancier de goede privacymaatregelen neemt?
Ga na of een partij deelnemer is van het Privacyconvenant. Of gebruik de Privacy-quickscan op lesopafstand.nl. Op Microsoft is een uitgebreide DPIA uitgevoerd, waarin de privacymaatregelen zijn beoordeeld en technische en contractuele verbeteringen zijn doorgevoerd.
Hoe verloopt de toegang tot geïntegreerde applicaties?
Leraren en leerlingen authentiseren zich via het schoolaccount en krijgen hiermee toegang tot de Microsoft Teams-omgeving. Als ze vervolgens in de Microsoft Teams-omgeving op een link van een lesmethode of tool klikken, worden ze naar de omgeving van de maker of uitgever geleid. Veel uitgeverijen in Nederland in de educatieve contentketen zijn aangesloten op Entree Federatie. Entree Federatie zorgt ervoor dat de leerlingen geauthentiseerd worden via het schoolaccount. Zo krijgen ze toegang tot de lesmethodes. De koppeling tussen de lesmethode en de leerling gaat dan volledig buiten de Microsoft Teams-omgeving om.
Houdt Microsoft bij wat gebruikers doen in een geïntegreerde applicatie?
Bij scholen die werken met Entree Federatie – en die zo een lesmethode van een uitgeverij toegankelijk maken – is er een strikte scheiding tussen bijvoorbeeld Teams en de lesmethode. Microsoft heeft geen zicht op het gebruik van de lesmethode en de uitgever heeft geen zicht op de gebruikersdata van Microsoft.
Dit is niet in het algemeen te zeggen over iedere externe applicatie. Raadpleeg hiervoor altijd de verwerkersovereenkomst van de applicatie.