Privacy aspecten bij Cloud computing

Interactieve sessie Cloud Seminar 16 juni 2011

Maartje de Reus en Job Vos

Inleiding

• SN/KN project Cloud 2011: juni - december 2011• Werkpakket Privacy: vertaling van ‘De wolk in het

onderwijs’– Hoe veilig is het in de cloud?

– Welke juridische aspecten zijn voor onderwijsinstellingen van belang?

– Wat betekenen de internationale regels zoals Safe Harbor en Patriot Act?

– Wat is belangrijk bij het sluiten van een contract met een cloud provider?

– Hoe ziet zo’n contract er uit?

– Welke (gebruik)afspraken moet ik maken met leerlingen/studenten?

– Welke lokale veiligheidsmaatregelen moet ik treffen?

– Etc.

Doel van deze sessie

• Voorbeelden van mogelijke consequenties van cloud computing in het onderwijs adhv 3 cases– Overzicht van privacy aspecten– Uw input is belangrijk: Welke vragen heeft u? Wat is nog

niet duidelijk?– Invloed op activiteiten binnen werkpakket over privacy:

• Filmpjes• Schema’s• Factsheets• FAQ’s• ETc.

ROC NOORD-BRABANT REGISTREERT RELATIES

EINDHOVEN – Gisteren is bekend geworden dat het ROC Noord-Brabant een uitgebreid database heeft aangelegd waarin de relaties tussen leerlingen worden geregistreerd. Aan de hand van de gegevens kan volgens de woordvoerder van het ROC een efficiënte indeling van de klassen worden gemaakt. Alle verliefde paren kunnen hierdoor van elkaar gescheiden worden, wat de kwaliteit van het onderwijs ten goede komt. Het blijkt dat docenten in toenemende mate overlast ondervinden van intiem gedrag tijdens lessen. Bijkomend voordeel is dat docenten alerter kunnen zijn op fraude door stelletjes die elkaar voorzien van antwoorden en zelfs hele werkstukken.

 

“Het lijkt alsof de stelletjes elkaar buiten schooltijd nooit zien, en dat ze de gemiste tijd samen tijdens de lessen willen inhalen. De verliefde paren hebben het kennelijk samen erg naar hun zin, maar om daar van voor uit de klas de hele dag tegen aan te moeten kijken is vreselijk, ik word er zelfs soms onpasselijk van.”, zegt een docent die verder anoniem wil blijven. De zaak is aan het rollen gekomen door een leerling die onder vrienden had nagevraagd wie bij elkaar in de klas was geplaatst. Na vragen aan de directie bleek dat de relaties in de administratie waren ingevoerd (…)

 

Bron: eNieuwsblad Brabant, 13 januari 2013

ROC Noord-Brabant registreert relaties

• Is het wettelijk toegestaan om zo’n database aan te leggen?

• Mag een school een leerlingenadministratie aanleggen? En zo ja, Moet dat worden gemeld aan het CBP? Wat mag er geregistreerd worden?

• Mogen relaties wel worden geregistreerd? Politieke voorkeur of geloofsovertuiging?

Wet bescherming persoonsgegevens (1)

Is er sprake van persoonsgegevens? Is er een uitzondering van toepassing?  

De Wbp regelt de regels voor verwerking van persoonsgegevens. Samengevat komt dit neer op: • Verwerking moet behoorlijk, zorgvuldig en in

overeenstemming zijn met de wet • Gerechtvaardigd doel, plus doel goed omschrijven• Wijze verwerking is in overeenstemming met doel: niet

gegevens voor iets anders gebruiken

• (Wettelijke) grondslag (Wbp of overig): 6 gronden– Toestemming– Uitvoering overeenkomst – Uitvoering wettelijke plicht– Vitaal belang betrokkene– Noodzakelijk uitvoering publieke taak– Noodzakelijk behartiging gerechtvaardigd belang

Wet bescherming persoonsgegevens (2)

• Gegevensregistratie noodzakelijk • Kwaliteit gegevens: nauwkeurig, toereikend en niet

bovenmatig• Bijzondere persoonsgegevens? Zo ja: uitzonderingsgrond! • Marketing? EU of derde land? • Verplichtingen WBP: informatieplicht, beveiliging, [], evt.

melden, bewaartermijn, inzage en correctierecht, bewerker betrokken?

Wet bescherming persoonsgegevens (3)

STUDENT TU DELFT AANGEHOUDEN IN VS

Den Haag – De student Gregor A. uit Delft is in Washington aangehouden op verdenking van voorbereidingshandelingen van terroristische activiteiten. De student, die samen met zijn jaarclub Nu-Clear op weg was naar een congres, werd bij aankomst op de luchthaven aangehouden. Over de formele reden voor de aanhouding wordt door de Nederlandse autoriteiten in het duister getast.  Bronnen rondom het Pentagon laten weten dat de NSA de student op het spoor is gekomen via internet. Geavanceerde onderzoeksoftware zou in de mailbox van de student documenten hebben aangetroffen die gaan over het samenstellen van een geavanceerde waterstofbom. Twee mede-studenten laten weten dat zij samen met Gregor bezig waren met een afstudeeropdracht over kernsplitsing. Hierbij zou zijn samengewerkt aan een rapport dat geredigeerd werd op de door de TU aangeboden “Google Docs”, onderdeel van “Google Apps on Education”. Deze online software werkt ‘in the cloud’ en ligt vanwege de mogelijke schendingen van de privacy, in toenemende mate onder vuur. Een woordvoerder van Google liet weten niet bekend te zijn met deze kwestie en verwees naar de standaard disclaimer en gebruikersvoorwaarden.  De Nederlandse Ambassadeur laat weten dat de student op grond van de Patriot Act tenminste een week gedetineerd kan blijven zonder voorgeleiding. (…)  Bron: People Corona, 6 september 2015

Student TU Delft aangehouden in VS

• Wanneer is de patriot act van toepassing?• Wie is verantwoordelijk voor de opgeslagen gegevens over

kernsplitsing? • Op welke manier kan een instelling onjuist gebruik van de

cloud omgeving voorkomen?

SCHOLENGEMEENSCHAP LELYSTAD FAILLIET3 Januari 2016 – Na weken van spanning is vandaag door de rechtbank Den Haag het faillissement uitgesproken van de Scholengemeenschap Lelystad. Dit faillissement is zeker niet onomstreden. Er is veel kritiek geleverd op de minister van Onderwijs, maar ook het College van Bestuur wordt aangewezen als schuldige omdat de nieuwbouw van de scholengemeenschap risicovol gefinancierd was.  Scholengemeenschap Lelystad werd drie maanden geleden het slachtoffer van de aanval van de hackergroup Anonymous op de provider GoGrid. Hierbij is de database en leerlingenadministratie van de scholengemeenschap onherstelbaar beschadigd. “De aanval kwam op een uiterst ongelukkig tijdstip.”, zo laat de rector weten. “Iedere school moet jaarlijks aan het Ministerie van OCW verantwoording afleggen over het aantal leerlingen. Hier moet een gegevensbestand voor worden toegezonden. Op het moment van de aanval waren we net bezig met het verzenden van het bestand naar het Ministerie. Door de aanval is de database beschadig. Onze administratiesoftware heeft ons wel de melding gegeven dat de verzending in orde was, maar het Ministerie heeft een maand later laten weten er geen gegevens zijn ontvangen. Zonder de gegevens over de verantwoording krijgen wij geen financiering voor het nieuwe schooljaar. We hebben geprobeerd te overleggen met het Ministerie, maar zij stellen zich op het standpunt dat we te laat zijn. Als we het geld van OCW zouden hebben gehad, was het hele faillissement niet nodig geweest.”  De curator laat weten dat een doorstart onderzocht zal worden. De onderwijswoordvoerders van de coalitiepartijen hebben aangedrongen op een spoeddebat met de Minister van Onderwijs om te vragen of financiering van de scholengemeenschap toch mogelijk is. Door het faillissement lopen ruim 800 leerlingen hun recht op onderwijs mis.

Bron: nu.nl, 3 januari 2016

Scholengemeenschap Lelystad failliet

• Is dit realistisch?• Welke maatregelen had de instelling kunnen treffen om dit

te voorkomen?

Vragen, opmerkingen, aanvullingen?

• Meer info: – www.surfnetkennisnet.nl– LinkedIn groep:'Cloud Computing in het onderwijs'

• Contactgegevens:

Maartje de Reusm.dereus@kennisnet.nllinkedin.com/in/maartjedereus

Job Vosj.vos@kennisnet.nllinkedin.com/in/jobavos