Het gebruik van cloud computing is wijdverspreid, het ligt dan ook voor de hand dat de cloud ook zijn weg vindt naar overheidsinstanties en andere publieke instellingen zoals onderwijs. Gratis cloud oplossingen kunnen het voor een school echter moeilijker maken om hun privacy en persoonsgegevens te beschermen. Hoe kunnen scholen hiermee omgaan?

Machtsverhoudingen

Sterker nog, scholen lenen zich uitstekend voor de oplossingen die de cloud biedt: het zijn vaak instellingen met een beperkte IT omgeving en tegelijk veel data, waaronder persoonsgebonden data. Data die ook in het onderwijs steeds vaker digitaal is, waardoor het grootste voordeel van de cloud (wel de opslag, niet de investeringen) een kostenefficiente oplossing is voor de opslagnoden bij scholen.

Wanneer echter een beroep wordt gedaan op gratis cloud oplossingen (Google Drive, Skydrive, Dropbox, etc.) bestaat de kans dat men in het gedrang komt met privacywetten. Deze commerciële oplossingen zijn immers gratis in gebruik maar worden gefinancierd met inkomsten uit advertenties en tracking informatie van bezoekers (data dealing). Zodoende houden vele van deze aanbieders er privacy policies en gedragsregels op na die niet compatibel zijn met de privacywet. Meest in het oog springend voorbeeld hiervan is Google, waarover de CNIL recent oordeelde dat het voortdurend overtreden van de geldende privacywetten en weigeren afdoende aanpassingen door te voeren een boete van €300.000 waard was.

Wat kunnen publieke instellingen, en scholen in het bijzonder, hier tegenover stellen? Een vraag die ook recent nog onderzocht werd door Safegov.org.

De machtsverhoudingen liggen ver uiteen: verwachten dat alle scholen apart onderhandelingen voeren met de Microsofts en Googles van deze wereld is niet realistisch. Er zijn een aantal mogelijkheden om dit probleem aan te pakken.

General data protection regulation

De nieuwe Europese richtlijn op het gebied van bescherming van persoonsgegevens (General Data Protection Regulation) die al enige tijd in de steigers staat zet sterk in op “codes of conduct”, gedragsregels die in overleg bepaald worden en waarmee partijen onderling duidelijk afspraken maken over de verwerking van persoonsgegevens en de beveiliging die hier mee hoort samen te gaan. Deze gedragsregels kunnen opgesteld worden voor bepaalde sectoren of diensten, op nationaal of Europees niveau. In de richtlijn is ook opgenomen dat deze gedragsregels aan zowel de Europese Commissie of een DPA kunnen worden voorgelegd ter goedkeuring.

Een volledige oplossing biedt de richtlijn nog niet: in zijn huidige vorm is de richtlijn op dit punt niet erg zwaar aangezet. De huidige formuleringen spreken over het aanmoedigen van codes of conduct (art 38 § 1), het mogen indienen van codes of conduct aan DPAs ( art 38 § 2) en mogen indienen bij de Europese Commissie (art 38 § 3). In de praktijk betekent dit geen enkele verplichting waardoor het gebruik van gedragsregels niet per definitie vaststaat of wordt afgedwongen.

Afspraken binnen onderwijs

Wetgeving van hogerop is fijn, maar zoals genoemd zal de huidige richtlijn geen dwingend karakter krijgen op het gebied van gedragsregels. Een andere mogelijkheid is regulering binnen de sector. Onderwijs kan in overleg met onderwijsinstellingen, ouderraden en andere betrokkenen zelf tot gedragregels komen. Als deze afspraken vastliggen voor een gehele sector is het voor de aanbieders van cloud oplossingen ook eenvoudiger om deze na te leven (niet iedere klant heeft andere eisen of gedragregels) hetgeen de onderhandelingspositie van scholen en andere instellingen versus de cloud aanbieders weer versterkt.

Daarnaast geven dergelijke gedragsregels de mogelijkheid om bij wijze van handreiking aan de scholen een template te voorzien met afspraken en voorwaarden die zij op hun beurt kunnen gebruiken in overeenkomsten met aanbieders. Denk hierbij aan gestandaardiseerde vereisten rond privacy policies (b.v. verbieden van tracking en profiling) en afspraken rond advertenties of marketing die getoond kan worden binnen een toepassing.

Bezwaren van de aanbieders

Cloud aanbieders willen wel eens aanhalen dat het analyseren van gebruikersdata en het gebruiken van profiling tools ook noodzakelijk is voor het opsporen van mogelijk misbruik zoals spammails, malware of zelfs online pesten. Een onjuiste redenering aangezien dit ook zonder misbruik van persoonsgegevens kan en dus nooit een rechtvaardiging mag zijn, ook niet bij gevoelige onderwerpen zoals pesten.

Een mooi voorbeeld van dit laatste is het bedrijf Geo Listening. Zij leveren software die het schoolnetwerk monitort (waaronder Facebook en Twitter posts vanaf het netwerk) op online pesten. Zeker en vast een nobele doelstelling, maar bij het nalezen van de privacy policy blijkt dat het bedrijf bijvoorbeeld het recht heeft om de verzamelde data van scholieren voor commerciele doelen aan te wenden.

  • In addition, in the event that Geo Listening must liquidate its assets due to bankruptcy or other event, Geo Listening will consider the information it has collected, including personally identifiable information, as a unique asset subject to sale or other transfer. 

Dergelijke clausules zijn in Europa uiteraard onaanvaardbaar wanneer het gaat om het gebruik van persoonsgegevens, in het bijzonder die van minderjarigen, en een flagrante schending van de privacywet. Om over eventuele ethische bezwaren nog maar te zwijgen.

Dit soort excessen kunnen vermeden worden dankzij duidelijk vastgestelde gedragsregels tussen de onderwijsinstellingen die gebruik maken van cloud oplossingen en de aanbieders ervan. Zeker wanneer deze gedragsregels tot stand komen met inspraak van ouderraden en DPA’s is het gebruik van cloudoplossingen binnen scholen perfect uitvoerbaar.

Houdt hierbij in gedachten dat het minstens om Europese aanbieders van clouddiensten moet gaan (een Microsoft/Google/Amazon vestiging binnen de EU valt immers evenzeer onder Amerikaanse wetgeving). Zoals recent is gebleken bieden gedragsregels, Safe Harbor of andere afspraken met Amerikaanse ondernemingen geen garanties op een juiste en rechtmatige verwerking van persoonsgegevens.