Als een school software gaat gebruiken, gaan daar normaal gesproken wat stappen aan vooraf. De ict-afdeling brengt behoeften van gebruikers en de organisatie in kaart, en vergelijkt verschillende leveranciers. Er volgt een inkooptraject, met onderhandelingen over prijs en voorwaarden. Tot slot neemt de school de software in gebruik. Als het nodig is, traint de organisatie medewerkers in het gebruik, of stelt regels voor de inzet van de software. 

Maar soms besluiten medewerkers ook zelf om tools te gaan gebruiken. Op internet zijn er veel gratis tools en diensten beschikbaar, die medewerkers voor uiteenlopende doelen in kunnen zetten. Vaak zit er onder deze gratis software alsnog een verdienmodel, dat lang niet altijd duidelijk is voor de gebruiker. 

Als medewerkers zulke gratis tools buiten de reguliere processen van de school om inzetten, spreken we van schaduw-ict (shadow IT). Schaduw-ict komt in veel sectoren voor. Maar omdat leraren in het onderwijs veel autonomie hebben, kunnen ze relatief gemakkelijk gebruikmaken van schaduw-ict voor hun lessen. 

Man met laptop met geopend chat ai programma
Hoe houd je grip op schaduw-ict in je school?

Opkomst van schaduw-ict in het onderwijs

Het is voor medewerkers aantrekkelijk om tools te gebruiken buiten de reguliere processen om. Ze hoeven dan immers niemand te overtuigen, en er is geen lang inkoopproces voor nodig. Ook kunnen ze de tool kiezen die precies bij hun behoefte past. 

Dit is geen nieuw risico, maar de breedte van beschikbare tools groeit wel. Voorbeelden van toepassingen die vaak voorkomen als schaduw-ict zijn generatieve-AI-tools, VR-brillen en TikTok. Het gaat vaak om tools die veel functionaliteit bieden, maar waar de discussie over gebruiksvoorwaarden nog niet af is. 

Het risico op schaduw-ict groeit, omdat zulke tools steeds aantrekkelijker functionaliteit voor gebruikers bevatten. Deze tools gaan steeds gevoeliger (persoons)gegevens verwerken. Ook zijn de gebruiksvoorwaarden van zulke tools vaak niet transparant. Dat maakt dat de kans op problemen met schaduw-ict toeneemt. 

Wat zijn de risico’s van schaduw-ict?

Als een medewerker van de school tools gebruikt die niet via de reguliere processen zijn goedgekeurd, kan dat problemen opleveren voor de school. De school overtreedt hiermee waarschijnlijk regels over informatiebeveiliging en privacy. En omdat de school geen grip meer heeft op de informatie, kan deze gemakkelijk lekken, of op andere manieren misbruikt worden. Dat kan ernstige gevolgen hebben voor leerlingen, collega’s en de medewerker zelf. 

Op juridisch vlak kan het gebruik van schaduw-ict op verschillende manieren tot problemen leiden. Zo kan de leverancier van de tool gegevens op oneigenlijke manieren hergebruiken, waardoor privacy- of auteursrecht wordt geschonden. Ook kunnen de gegevens buiten de invloed van de school belanden. De school kan zo zijn verantwoordelijkheid tegenover leerlingen en medewerkers, en zijn verplichtingen vanuit de AVG, niet vervullen. 

Veel leveranciers van gratis tools hebben hun informatiebeveiliging niet op orde. Daardoor kunnen gegevens van leerlingen of medewerkers op straat komen te liggen. Zie ook het Dreigingsbeeld Funderend Onderwijs 2023, dat datalekken een belangrijke dreiging noemt. Ook kunnen gegevens te wijzigen zijn voor mensen die dat niet horen te kunnen, of onverhoopt onbeschikbaar blijken, bijvoorbeeld als een tool ophoudt te bestaan. 

Wat adviseert Kennisnet?

Kennisnet adviseert om schaduw-ict te verbieden in het IBP-beleid, te toetsen welke gratis tools er onder voorwaarden wel gebruikt mogen worden, en pragmatisch om te springen met gevallen waarin er toch schaduw-ict opduikt. Als je schaduw-ict alleen maar verbiedt, is dat waarschijnlijk niet zo effectief. Medewerkers hebben veel ruimte om de regels te omzeilen, waardoor ze gemakkelijk alsnog met de verboden tools aan de slag kunnen. 

Verbied schaduw-ict in IBP-beleid

Het uitgangspunt is dat het verboden is om tools buiten de reguliere processen om te gebruiken. Maak dat duidelijk voor medewerkers met helder beleid, waarin je ook uitlegt waarom het een probleem is. Zo maak je de risico’s inzichtelijk voor medewerkers. 

Sta gebruik gratis tools onder voorwaarden toe

Sommige gratis tools zijn onder voorwaarden alsnog veilig te gebruiken. Je kunt er dan bijvoorbeeld geen persoonsgegevens in verwerken, maar wel openbare informatie. Richt een proces in om populaire gratis tools te toetsen, zodat je medewerkers de ruimte kunt geven om die te gebruiken wanneer dat veilig kan. Welke aanvullende maatregelen daarvoor nodig zijn, zal afhangen van de specifieke toepassing. Informeer je medewerkers over welke gratis tools er alsnog bruikbaar zijn, en onder welke voorwaarden. 

Ga in gesprek als je toch schaduw-ict ontdekt

Schaduw-ict vormt een risico, maar ook een kans. Ontdek je toch nog schaduw-ict in je organisatie, beëindig dan het gebruik, maar voer ook het goede gesprek met de betrokken medewerkers. Hun doel is immers om goed onderwijs te bieden, niet om de regels te overtreden. Wat maakte dat ze hiervoor kozen? Wat kan er beter in de organisatie of de ict, zodat ze hier niet voor zouden kiezen? Zo is een incident vooral een mooie aanleiding om de organisatie te verbeteren. Pas als een medewerker herhaaldelijk in de fout gaat, is het zinnig om na te denken over sancties.

Aan de slag

Meer lezen

Deel deze pagina: Schaduw-ict in de school: de IBP-uitdagingen van ChatGPT 

Delen
  • LinkedIn
  • Facebook
  • Twitter
  • E-mail