How children’s digital safety disappears in the interplay between suppliers, school boards and regulators

door

Original Dutch titel: “Hoe de digitale veiligheid van kinderen verdwijnt in het samenspel tussen leveranciers, schoolbesturen en toezichthouders”

English version below

Dit onderzoeksartikel is eerder gepubliceerd op https://destadsbron.nl/nl/Digitaal_onderwijs

door Diana Wildschut en Harmen Zijp

October 17, 2024

Het is 2018 en er zijn aanwijzingen dat Brexit en de verkiezing van Trump mede het resultaat zijn van online manipulatie op basis van sporen en (meta)data die nietsvermoedende gebruikers van Google en Facebook nalaten tijdens het gebruik van hun computer.

Voor veel mensen zijn online samenwerken en social media al niet meer weg te denken uit het dagelijks leven. Er kan steeds meer en het wordt steeds goedkoper. In veel gevallen zelfs gratis. Weegt de kans op incidenteel misbruik van gegevens misschien gewoon op tegen alle gemak die de technologie levert? En hoe erg is het wanneer bedrijven weten waar je in geïnteresseerd bent als ze je vervolgens een aantrekkelijke aanbieding kunnen doen? Bovendien is in Europa net de AVG van kracht geworden, een Europese wet die onze privacy online moet beschermen.

Maar voor sommigen is de vraag in hoeverre onze democratie is opgewassen tegen beïnvloedingsalgoritmes die eerst en vooral de verdienmodellen van grote technologiebedrijven dienen. Kunnen we vertrouwen op wet- en regelgeving, en op het heilzame effect van concurrentie die malafide bedrijven vanzelf de markt uit werkt? En hoe zit dat op scholen, waar minderjarige kinderen via de leerplicht gedwongen zijn om bepaalde software te gebruiken?

In deze periode wordt in Amsterdam een bijzonder experiment voorbereid. Een nieuwe school wordt opgericht en één van de ouders wil meehelpen om te zorgen dat alle digitale systemen zijn afgestemd op de laatste inzichten over privacy. Niets te vroeg, want wanneer de school in 2020 van start gaat breekt een pandemie uit waarmee scholen in versneld tempo digitaliseren en online lesgeven voor een aantal jaar de norm wordt.

Douwe Schmidt heeft zich eerder beroepsmatig verdiept in de privacy-aspecten van digitale technieken. Hij was betrokken bij Bits of Freedom en Fairphone. Nu is hij als jonge vader op zoek naar een school voor zijn kinderen. “Ik had het geluk dat er een heel nieuwe school werd opgericht. Ik hoefde dus niet allerlei bestaande systemen te vervangen. Het was eigenlijk een heel mooie kans om te proberen vanaf het begin bewuste keuzes te maken.”

Het zou een moeilijk proces worden, maar dat kon Douwe op dat moment niet vermoeden.
Lees hier het hele interview met Douwe.

Privacy in de digitale wereld

In een analoge wereld is privacy een overzichtelijke zaak. Het verzamelen en het delen van gevoelige informatie over iemands gedrag kost tijd en moeite. En het misbruik van vertrouwen kent grote gevolgen voor direct betrokkenen, die door iedereen in een lokale gemeenschap worden gekend.

Hoe anders is dat in de digitale wereld. Software werkt per definitie met gegevens die een gebruiker zelf invoert. Of die gegevens privacygevoelig zijn is sterk afhankelijk van de context. Sinds de komst van het internet en de “cloud” is bovendien niet altijd duidelijk van wie de software is, waar data wordt opgeslagen of met wie de data wordt gedeeld en waarvoor. Zelfs zogeheten metadata kan veel informatie weggeven. Zoals de locatie waarvan en het tijdstip waarop een website wordt geraadpleegd kunnen vertellen of iemand tijdens zijn werk privézaken doet of juist vanuit thuis laat doorwerkt.

Het volgen van gedrag was nog nooit zo goedkoop en niet eerder zo onzichtbaar. “Privacy […] biedt bescherming tegen opdringerige bedrijven of een alwetende overheid. Doel is de machtsbalans tussen individu en maatschappij in evenwicht te houden. Dit is in een democratische rechtstaat niet alleen een individueel belang, maar ook een maatschappelijk belang. Privacy is daarom een grondrecht” schrijft privacyonderzoeker Jaap Henk Hoepman in zijn Blauwe Boekje.

Ook bij het opzetten van een school komt tegenwoordig meer kijken dan het organiseren van docenten, lesmateriaal en een plek om les te geven. Er is een veelheid aan digitale hulpmiddelen die scholen gebruiken: Een leerlingvolg- en administratiesysteem, een elektronische leeromgeving, lesmethoden voor uiteenlopende vakken, toetssoftware, gedeeld documentbeheer in de cloud, tools voor online samenwerken, oudercommunicatieapps, videoconferencing en chatsoftware. Daarnaast worden er vaak nog algemene programma’s gebruikt, zoals het besturingssysteem van de computer, een office pakket, iets om video’s mee te kijken of op het internet te zoeken.

Welke keuzes maken scholen?

Douwe onderscheidt 4 soorten gebruik van technologie op school. Om te beginnen de infrastructuur van de school zelf. Roosters, administratie en dergelijke. Het is verplicht de voortgang van de leerlingen te monitoren en vast te leggen. Voor de hand ligt daarvoor het gebruik van een digitaal leerlingvolgsysteem.

Dan zijn er nog de leermiddelen in de klas, bijvoorbeeld toetsen, lesmethoden en extra oefeningen. Daarvoor hebben de kinderen een laptop of tablet nodig met een besturingssysteem erop en de gebruikelijke functies om een filmpje te kunnen kijken, een tekst te typen, email te versturen of een webpagina bekijken. Daarnaast zijn er verschillende programma’s speciaal gericht op het onderwijs, waarmee ze bijvoorbeeld sommen kunnen oefenen of toetsen kunnen maken.

Het derde aspect dat Douwe onderscheidt is techniek als doel. Mediawijsheid valt daaronder, of een 3D-printer in de klas.

Ten slotte is er de communicatie met en tussen ouders.

Alle keuzes die een school maakt, hebben gevolgen voor de veiligheid van de schoolkinderen. Zoals Douwe het verwoordt: “Op een school is een veilige leeromgeving heel belangrijk. Het meubilair moet veilig zijn, kinderen moeten niet gewond raken als ze zich door de school verplaatsen. Hetzelfde geldt voor een digitale leeromgeving, ook daar moeten de kinderen veilig zijn. De school heeft een zorgplicht, ook in het digitale domein.”

Hoe veilig is schoolsoftware?

Niet al het gebruik van de data van kinderen is illegaal of ongewenst. Een voorbeeld van legitiem gebruik van data is dat een programma onthoudt welke sommen een kind af heeft gemaakt en welke niet. Vanuit de zorgplicht van de school is het echter niet wenselijk dat het doen en laten van kinderen voor iedereen is in te zien. Om misbruik te voorkomen zijn er verschillende beschermingsmethoden.

Sommige software wordt aangeboden met een speciale onderwijslicentie. Daarin staat onder andere wat de aanbieder van de programma’s wel en niet mag doen met de gegevens van de gebruiker. De privacy van de kinderen zou daarmee gewaarborgd moeten zijn. Die licentie wordt door de aanbieder van de software opgesteld. De school heeft daar geen invloed op.

Naast die onderwijslicenties worden er zogeheten verwerkersovereenkomsten gesloten tussen de school en de aanbieder van de programma’s. In die overeenkomsten staat onder andere wie er verantwoordelijk is voor de gegevens van de kinderen.

In Europa lopen we voorop als het gaat om de bescherming van onze persoonsgegevens. Sinds 2016 is er de Algemene Verordening Gegevensbescherming (AVG), een wet die de persoonsgegevens en de privacy van inwoners moet waarborgen.

Volwassenen kunnen zelf kiezen of hun data gebruikt mag worden en waarvoor. De data van minderjarigen mag in principe niet gebruikt worden, tenzij een bevoegde volwassene, een ouder bijvoorbeeld, daar toestemming voor geeft. Volgens de AVG moeten kinderen tot 18 jaar beschermd worden tegen meekijken op internet en binnen software. Ook mogen ze geen gepersonaliseerde reclames te zien krijgen.

De school is verplicht om een risico-analyse te doen voor het voorkomen van privacyschending. Dat heet een DPIA (Data Protection Impact Assessment, ofwel een gegevensbeschermingseffectbeoordeling). De school moet voor alle gebruik van persoonsgegevens uitzoeken hoe veilig dat is, en waar nodig maatregelen nemen om het veilig te maken.

Wie maken de software?

Voor de basisonderwijsspecifieke software zijn daarbij een paar hele grote spelers. Topicus is het bedrijf achter het leerlingvolgsysteem ParnasSys en de communicatie-app Parro die op veel scholen worden gebruikt.

Voor de software die niet specifiek voor onderwijs bedoeld is, zijn er drie grote aanbieders: Google, Microsoft en Apple, waarvan Google het meest gebruikt is. Alle drie bieden ze computers aan met daarop een besturingssysteem en programma’s voor testverwerking, internetbrowsen, clouddiensten, filmpjes kijken en dergelijke.

Daarnaast zijn er talloze kleinere bedrijven die apps en websites met oefenstof of lesmateriaal voor een bepaald vak aanbieden.

Wat staat er in de privacyvoorwaarden?

Over het algemeen hebben de programma’s die ontwikkeld zijn voor onderwijs een generieke onderwijslicentie met daarbovenop nog de verwerkersovereenkomst tussen de school en de softwareleverancier.

Zorgen de onderwijslicenties en verwerkersovereenkomsten voor een goede privacybescherming? En welke software wordt er gebruikt die geen onderwijslicentie heeft? Zijn de kinderen op school echt beschermd tegen meekijkers en commerciële partijen die er met hun data vandoor gaan?

We bekeken de gebruikersvoorwaarden van verschillende aanbieders van software voor onderwijs, en van andere software die in het onderwijs veel gebruikt wordt. Zowel de leerlingvolgsystemen als de meest gebruikte ondersteunende software en besturingssystemen.

We maakten per programma of aanbieder een lijst van criteria. Waren de gebruikersvoorwaarden te vinden? Waren ze in het Nederlands beschikbaar? Zijn er speciale regels voor minderjarigen aangegeven? Laten de voorwaarden toe dat kinderen online worden gevolgd of advertenties krijgen aangeboden? Zijn de relatief strenge regels van de Europese Unie van toepassing of de minder strenge regels van bijvoorbeeld de VS?

Bij de meeste programma’s die speciaal voor het onderwijs gemaakt zijn lijkt privacy m.b.t. de verkoop van data op papier goed geregeld. Bedrijven als Topicus, de makers van Parro en ParnasSys, hebben privacy overal in hun voorwaarden staan, maar in de verwerkersovereenkomst die ze met de scholen afsluiten wordt de verantwoordelijkheid bij de scholen gelegd.

Big Tech

Bij Google, Apple en Microsoft is het andere koek. Hun privacyvoorwaarden zijn verspreid over verschillende, naar elkaar verwijzende documenten. Bij het lezen kom je soms in een labyrint terecht waar het moeilijk is om overzicht te houden, en je telkens op dezelfde pagina’s terug komt. De teksten zijn bovendien lang en in moeilijk juridisch jargon geschreven, waardoor het onwaarschijnlijk lijkt dat een gemiddelde persoon die de voorwaarden moet accepteren er kaas van kan maken.

De drie grote Amerikaanse aanbieders bieden hun diensten wel aan met onderwijslicenties. Als kinderen dan inloggen met hun onderwijsaccount, mogen die aanbieders niet meekijken, geen data van de kinderen opslaan of gebruiken, anders dan wat nodig is om het programma te laten werken.

De kleinere aanbieders hebben vaak helemaal geen onderwijslicentie en beloven niet expliciet om privacyvriendelijk te zijn. Het gaat dan om lesondersteunende software, bijvoorbeeld om sommen te oefenen.

School moet de gaten dichten

Wat opvalt bij Google en Microsoft is dat de school nog van alles moet doen om het gebruik van de software, ook mèt de onderwijslicentie, in overeenstemming te brengen met de AVG. De standaardinstellingen van Google Workspace for Education bieden bijvoorbeeld geen bescherming tegen het gebruik van (meta)data door derde partijen. Daarvoor moet school eerst zelf nog een handleiding van 35 pagina’s doorlopen om allerlei privacylekken uit te zetten. En als die instellingen eenmaal in orde zijn, dan moeten ze bij elke nieuwe update van de programma’s opnieuw worden gecontroleerd. Bij Microsoft is dat ook het geval.

Het is een beetje als een auto waar je zelf nog de bumpers, gordels, hoofdsteunen, airbags, claxon, handrem en knipperlichten in moet monteren, en die bij elke APK weer ongemerkt worden verwijderd.

Volgens de EU en verschillende rechters in andere Europese landen overtreden met name Google en Microsoft inderdaad de wet, ook als het om kinderen gaat. In Denemarken is het gebruik van Google op scholen zelfs verboden totdat Google een aanpassing in de software zou maken. Ze voldeden namelijk niet aan de AVG, en die is in Denemarken dezelfde als in Nederland. Die aanpassing is inmiddels gemaakt. Ze voldeden namelijk niet aan de AVG, en die is in Denemarken dezelfde als in Nederland. In de Duitse deelstaat Baden-Württemberg zijn Microsoft Office 365 en MS Teams verboden op scholen, ook omdat het niet aan de AVG voldoet. Daarom gebruiken de meeste scholen het privacy vriendelijke en opensource pakket BigBlueButton voor online lesgeven, in plaats van Zoom en Microsoft Teams die in Nederland veel worden gebruikt. In BigBlueButton zitten alle functies in die een docent nodig heeft om een digitale les te geven, zonder dat er data naar een aanbieder wordt gestuurd. Een school kan het zelfs op een eigen server installeren en zo niet afhankelijk zijn van een aanbieder van clouddiensten.

Wie helpt?

Er zijn organisaties die proberen het digitale onderwijs veilig te maken.

Kennisnet is een publieke organisatie, gefinancierd door het ministerie van OCW, die als doel heeft de kwaliteit en toegankelijkheid van het onderwijs te verbeteren met ICT, en de risico’s ervan te beperken. Zij onderhandelen met softwarebedrijven en onderwijsinstellingen om te komen tot veilige oplossingen.

Sivon is een coöperatie van schoolbesturen in het primair- en voortgezet onderwijs, waar de leden samen proberen te zorgen voor goede IT oplossingen voor hun scholen. Zij maken bijvoorbeeld risico-analyses van software die op scholen gebruikt wordt en schrijven die lange handleidingen waarmee een school de software veilig kan maken.

En dan is er nog handhaving voor als het wel fout gaat. De Autoriteit Persoonsgegevens (AP) moet in Nederland toezien op de naleving van de AVG. Wie een overtreding op het spoor komt kan het melden bij de AP.

Dat is bijvoorbeeld gebeurd in 2014 bij het bedrijf Snappet, dat laptops met onderwijssoftware verhuurt aan basisscholen. De AP concludeerde: “Snappet heeft de dienst […] onvoldoende beveiligd tegen onrechtmatige verwerking van de persoonsgegevens door onbevoegde derde partijen.” en “Scholen worden onjuist geïnformeerd door Snappet dat de overzichten van resultaten per opgave geen persoonsgegevens zouden bevatten.”

Hoewel er met de AVG heldere richtlijnen zijn gekomen, hebben we na 2014 geen voorbeelden gevonden van ingrijpen van de AP bij onderwijssoftware.

In Nederland is de Coalitie Eerlijk Digitaal Onderwijs een pilotproject gestart om een aantal scholen te helpen met omschakelen naar privacy-vriendelijk onderwijs. Op hun website vind je informatie over wat je als ouder of docent kunt doen, en informatie over wetgeving, voorbeelden van plekken waar het anders gaat en informatie over alternatieven.

Privacyconvenant

Om scholen en softwareaanbieders te helpen met het AVG-bestendig maken van onderwijssoftware is het privacyconvenant in het leven geroepen. Het is een set regels en beloften die de kinderen veilig moeten houden. Aanbieders van onderwijsdiensten kunnen het ondertekenen waarmee ze aangeven zich eraan te houden. Dat gaat in drie stappen: een verklaring van het bedrijf zelf, dan een ‘peer review’ verklaring door een andere partij die naar de privacy van het product heeft gekeken, en dan een onafhankelijke verklaring van een externe autoriteit. Deze toezichthouder bestaat echter nog niet waardoor aanbieders deze laatste stap nog niet kunnen zetten. Vooralsnog is het dus zelfregulering.

Voor ParnasSys is ruim twee jaar geleden de zelfverklaring afgegeven, maar de peer review is uitgebleven. Ook organisaties als Veilig Verkeer Nederland bieden onderwijssoftware aan onder het privacyconvenant, daarover hieronder meer. Apple, Google en Microsoft komen niet voor op de lijst met ondertekenaars.

Wat gebeurt er nou eigenlijk echt?

Wanneer scholen goed opletten, de handleiding van Sivon volgen en nauwlettend blijven toezien op de apps, plugins of websites die worden gebruikt is de privacy van schoolgaande kinderen op papier beschermd door een indrukwekkend pakket regels: gebruiksvoorwaarden, verwerkersovereenkomsten, het privacyconvenant, een gegevensbeschermingseffectbeoordeling en de AVG.

Maar het is moeilijk te controleren of alle softwarebedrijven zich daar ook aan houden. Bij het gebruik van webdiensten is soms wel te achterhalen of er zogeheten trackers van dataverkopers zoals advertentiebedrijven worden gebruikt.

We vonden drie ouders van basisschoolkinderen bereid om in te loggen met het account van hun kinderen. We keken met Pim (Amersfoort), Geert-Jan (Delft) en Anne Claire (Arnhem) mee terwijl ze de programma’s openden waarmee hun kinderen op school werken en thuis huiswerk maken.

Uit deze steekproef blijkt dat bij veel software, ondanks AVG, privacyconvenant en modelverwerkersovereenkomst, wel iets mis gaat. De rekenmethode Fundament-online (in Delft gebruikt) plaatst trackers van Google en advertentiebedrijven, net als taaloefenen.nl (gebruikt op een school in Amersfoort). En de lesmethode van Veilig Verkeer Nederland (in Arnhem gebruikt) zette de deur open voor allerlei advertentietrackers die met de kinderen meekijken.

De advertentietrackers bij Veilig Verkeer Nederland (heeft het privacyconvenant ondertekend) waren het gevolg van Youtube video’s die gebruikt worden. In een interview lijkt Veilig Verkeer Nederland zich goed bewust van de regels en gevaren. De organisatie zoekt naar manieren om aan de regels te voldoen, maar ook om de verantwoordelijkheid naar de scholen te schuiven:

“Er zijn ongeveer 4300 scholen die gebruik maken van onze lesmethoden. Van groep 1 tot en met 8. We gebruiken wel YouTube filmpjes. We zijn aan het kijken naar een alternatief. Omdat op het moment dat je een YouTube videootje bekijkt in de klas, dan… is je hele zoekgeschiedenis in beeld natuurlijk.

We hebben het [uitfaseren van het gebruik van Youtube] dit voorjaar gepland staan. Dat heeft dan effect in het volgende schooljaar. Privacy regelen we via de verwerkersovereenkomst die we met alle scholen afsluiten. We gaan er natuurlijk vanuit dat de school aan hun kant zo’n overeenkomst ook gewoon goed doorneemt en alvorens te ondertekenen. Veel scholen schermen Youtube zelf ook al af.”

Ook toetsen afnemen blijkt moeilijk zonder de kans op meekijkers. Douwe heeft het geprobeerd. De CITO toets doe je via de browser. Het voordeel van programma’s die in de browser draaien is dat het niet uitmaakt welk besturingssysteem je gebruikt, elke computer heeft een browser. Toch konden de kinderen op de school van Douwe niet inloggen met de schoollaptops waar hij een privacyvriendelijk Linux besturingssysteem op had geïnstalleerd. Een week voor de toets kwamen ze daar achter, en Douwe moest de instellingen zo aanpassen dat de laptop zich voordeed als een Windows computer. Toen lukte het inloggen ineens wel. Op de dag van de toets bleek helaas dat het invullen van de vragen nog steeds niet lukte, en toen moesten er halsoverkop hele stapels Chromebooks geleend worden. “Ik heb CITO gebeld, die hadden duidelijk geen zin in een enkele ouder die het anders wil doen. Ze zeiden alleen maar dat ze het door zouden geven aan hun developers”.

Tenslotte keken we naar de webpagina van de vertrouwenspersoon van een willekeurig gekozen basisschool. Dat doe je meestal als er iets te bespreken is wat vertrouwelijk is. Toch waren er meerdere trackers die meekeken, onder andere van Google, Cloudfare en Amazon. Alle drie bedrijven die data doorverkopen aan adverteerders.

Sluiproutes

Tenslotte bestaan er nog allemaal sluiproutes en achterdeurtjes die ervoor zorgen dat er ook mèt onderwijslicentie toch data verzameld kan worden. Een aantal veelgebruikte diensten valt namelijk buiten die onderwijslicentie en dus buiten de bescherming. Dan denk je misschien, “dan gebruiken de kinderen die diensten toch gewoon niet”, maar dat lijkt bijna onhaalbaar als je weet om welke diensten het gaat.

Google biedt een totaalpakket aan voor het onderwijs, met daarop een onderwijslicentie. Maar de zoekmachine van Google valt niet onder de licentie, en Youtube (ook eigendom van Google) ook niet. Dus als een kind een zoekopdracht doet via Google, en wie doet dat niet, dan wordt de data van het kind alsnog verzameld en kan deze worden gebruikt. Kijken de kinderen in de klas een filmpje, dikke kans dat dat met Youtube gebeurt.

Google Maps valt ook niet onder de onderwijslicentie, net zo min als de geavanceerde spellingchecker en automatische vertalingen.

Gebruikt een school Chromebooks, dan valt het gebruik daarvan alleen onder de onderwijslicentie als de school de laptops in beheer heeft, niet als het laptops van thuis komen.

Apple heeft geen eigen diensten uitgezonderd van de licentie. Het kind logt in op de computer met een persoonlijk account waarop een onderwijslicentie zit, en alles wat het van Apple gebruikt, dus het officepakket, de Safari-webbrowser, het besturingssysteem, dat valt allemaal onder die licentie. Gaat het kind via de Safari-webbrowser echter naar Google Search of naar een website met trackers erop, dan valt dat buiten de Apple licentie. Google betaalt Apple 18 miljard dollar per jaar om Google de default zoekmachine te maken, met als doel de data binnen te halen om aan adverteerders te verkopen. (https://www.theverge.com/2023/10/26/23933206/google-apple-search-deal-safari-18-billion)

Wie ziet erop toe dat kinderen deze diensten niet gebruiken voor hun werk op of voor school? Handige apps en lesondersteunende software worden buiten toezicht van wie dan ook makkelijk gedeeld door leerlingen zelf of door docenten die geen dienst hoeven in te (laten) kopen wanneer die gratis en online te gebruiken is. 

Scholen missen de menskracht en de kennis om de privacy van kinderen op school voldoende te beschermen

Als Douwe het niet op zich had genomen had de school het zich niet kunnen permitteren om opensource software te gaan gebruiken waarvan de veiligheid is te controleren. “Er is een constant gebrek aan geld en aan menskracht. Docenten bezwijken al onder de werkdruk, extra tijd stoppen in de keuzes voor software zit er niet in.”

Veel hulp van buitenaf was er ook niet te vinden. Er is nergens een club die een set van open source onderwijsgereedschappen bij elkaar heeft gezocht, met een makkelijke handleiding erbij.

“Steeds het verhaal opnieuw moeten doen is bovendien vermoeiend”, zegt Douwe. “Elk jaar zijn er nieuwe docenten aan wie opnieuw uit moet worden gelegd welke keuzes er worden gemaakt en waarom. Ze kiezen voor gemak.”

Bij gebrek aan eigen expertise op scholen moeten ouders en kinderen vertrouwen op de beschermingsmaatregelen van de AVG en het privacyconvenant maar deze worden beperkt nageleefd en nauwelijks gehandhaafd.

Ouder Pim is niet geschrokken maar wel bezorgd:

“Ik was er bang voor dat het erger zou zijn. Ik heb me er voorheen niet in verdiept, eigenlijk uit gemakzucht. Je verwacht ook dat school ermee bezig is, en ik weet ook dat dat zo is. Op school is bijvoorbeeld wel aandacht voor digitale geletterdheid, vooral over opletten voor oplichters. Mijn dochter van 10 begint wel weerbaar te worden, maar weet niet of dat door haar ouders komt of door school. Het lastige is, hoe vertaal ik zoiets naar haar wereld? Ik denk dat de volwassenen dit op moeten lossen.

Het blijft zorgwekkend. We bouwen een afhankelijkheid van big tech op en dat maakt je chantabel. Dit zou in EU verband moeten worden aangepakt.”

In Amsterdam is het experiment uiteindelijk niet overeind gebleven. Douwe bood onder andere alternatieven voor de roosters en de administratie, op een eigen server van de school, en voor digitaal lesgeven. Toen deze laatste service niet goed genoeg werkte heeft het schoolmanagement àlles vervangen door Microsoft Teams.

Methode

Samen met onderzoekscollectief Spit, eerlijkdigitaalonderwijs.nl, Vers Beton, Bureau Spotlight en AD deed de Stadsbron onderzoek naar de privacy van kinderen op school. Deze long read is eerste in een serie waarin de Amersfoortse context verder aan bod zal komen. Andere publicaties die uit dit onderzoek voortkwamen:

Bronnen

How children’s digital safety disappears in the interplay between suppliers, school boards and regulators

by Diana Wildschut and Harmen Zijp
October 17, 2024

It is 2018 and there are indications that Brexit and the election of Trump are partly the result of online manipulation based on tracking and (meta) data that unsuspecting users of Google and Facebook leave behind while useing their computer.

For many people, online collaboration and social media have become an integral part of everyday life. It can do more and is getting cheaper. In many cases, even free. Does the likelihood of incidental misuse of data outweigh all the convenience the technology delivers? And how bad is it when companies know what you’re interested in when they can make you an attractive offer next? Moreover, the GDPR has just come into force in Europe, a European law that is intended to protect our privacy online.

But for some, the question is to what extent our democracy can protect itself to the effect of manipulative algorithms that serve first and foremost the revenue models of large technology companies. Can we rely on laws and regulations, and on the magical effect of free market competition that wil push rogue companies out of the market? And what about in schools, where minor children are forced to use certain software through compulsory education?

During this period, a special experiment is being conducted in Amsterdam. A new school is being set up and one of the parents wants to help ensure that all digital systems are tailored to the latest insights about privacy. Nothing too early, because when the school started in 2020, a pandemic breaks out in which schools are rapidly digitizing and online teaching for a number of years becomes the norm.

Douwe Schmidt has previously studied the privacy aspects of digital techniques professionally. He was involved with Bits of Freedom and Fairphone. Now, as a young father, he is looking for a school for his children. “I was lucky to have a whole new school set up. So I didn’t have to replace all kinds of existing systems. It was actually a very nice opportunity to try to make conscious choices from the beginning.

It was going to be a difficult process, but Douwe could not suspect that at the time.
Read the entire interview with Douwe here.

Privacy in the digital world

In an analogous world, privacy is a clear matter. Collecting and sharing sensitive information about a person’s behavior takes time and effort. And the abuse of trust has major consequences for those directly involved, who are known by everyone in a local community.

How different it is in the digital world. Software, by definition, works with data that a user enters himself. Whether that data is privacy-sensitive is highly dependent on the context. Moreover, since the advent of the internet and the “cloud” it is not always clear who the software belongs to, where data is stored or with whom the data is shared and for what. Even so-called metadata can give away a lot of information. Such as the location of which and the time at which a website is consulted can tell whether someone does private business during their work or works late from home.

Following behavior has never been so cheap and not so invisible before. “Privacy […] protects us against intrusive companies
and an omniscient government. The goal is to maintain a balance of power between the individual and society. In a democratic state this is not only of personal interest but also of interest to society at large. This is why privacy is a fundamental right. Strong European laws protect the privacy of all citizens on European soil.” writes privacy researcher Jaap Henk Hoepman in his Blue Booklet.

Nowadays, the setting up of a school involves more than organizing teachers, teaching materials and a place to teach. There is a multitude of digital tools that schools use: A student tracking and administration system, an electronic learning environment, teaching methods for a variety of subjects, test-taking software, shared document management in the cloud, tools for online collaboration, parental communication apps, video conferencing- and chat software. In addition, general programs are often used, such as the operating system of the computer, an office package, something to watch videos or search the internet.

What choices do schools make?

Douwe distinguishes 4 types of use of technology in school. First, the infrastructure of the school itself. Schedules, administration and the like. It is mandatory to monitor and record the progress of the students. The use of a digital student tracking system is obvious for this. Then there are the learning tools in the classroom, for example tests, teaching methods and additional exercises. For this, the children need a laptop or tablet with an operating system on it and the usual functions to watch a movie, type a text, send email or view a web page. In addition, there are various programs specifically aimed at education, with which they can, for example, practice or test sums. The third aspect that distinguishes Douwe is technique as a goal. Media literacy is included, or a 3D printer in the classroom. Finally, there is communication with and between parents. All the choices a school makes have implications for the safety of schoolchildren. As Douwe puts it: “A safe learning environment is very important in a school. The furniture should be safe, children should not be injured if they move around the school. The same applies to a digital learning environment, where the children must be safe. The school has a duty of care, also in the digital domain.

How safe is school software?

Not all the use of children’s data is illegal or undesirable. An example of legitimate use of data is that a program remembers what sums a child has completed and which have not. However, from the school’s duty of care, it is not desirable that the doing and leaving of children can be seen by everyone. To prevent abuse, there are several methods of protection.

Some software is offered with a special teaching license. It states, among other things, what the provider of the programs may and may not do with the user’s data. The privacy of the children should be guaranteed. This license is drawn up by the software provider. The school has no influence on that.

In addition to these educational licenses, so-called data processing agreements are concluded between the school and the provider of the programs. These agreements state, among other things, who is accountable for the children’s data.

In Europe, we are at the forefront when it comes to protecting our personal data. Since 2018, there is the General Data Protection Regulation (GDPR), a law that must guarantee the personal data and the privacy of residents.

Adults can choose whether their data can be used and for what. The data of minors may in principle not be used, unless a competent adult, a parent, for example, consents to this. According to the GDPR, children up to the age of 18 must be protected from watching on the internet and within software. They should also not be confronted with personalized advertisements.

The school is required to do a risk analysis for preventing privacy violations. This is called a Data Protection Impact Assessment (DPIA). The school must, for all use of personal data, find out how secure that is, and take measures where necessary to protect the childrens data.

Who makes the software?

For the basic education-specific software, there are a few very large players. Topicus is the company behind the ParnasSys pupil tracking system and the Parro communication app that are used in many schools.

For software that is not specifically intended for education, there are three major providers: Google, Microsoft and Apple, of which Google is the most used. All three of them offer computers with an operating system and programs for test processing, internet browsing, cloud services, watching movies and the like.

In addition, there are countless smaller companies that offer apps and websites with exercise material or teaching material for a particular subject.

What is in the privacy terms?

In general, the programs developed for education have a generic teaching license with the processing agreement between the school and the software provider.

Do the education licenses and processor agreements ensure proper privacy protection? And which software is used that does not have a teaching license? Are the children at school really protected from viewers and commercial parties who run away with their data?

We looked at the user conditions of different providers of software for education, and of other software that is widely used in education. Both the student tracking systems and the most commonly used supporting software and operating systems.

We made a list of criteria per program or provider. Were the user conditions to be found? Were they available in Dutch? Are there any special rules for minors? Do the conditions allow children to be tracked online or offered advertisements? Do the relatively strict rules of the European Union apply or the less stringent rules of, for example, the US?

With most programs that are specially made for education, privacy with regard to the sale of data on paper seems to be well regulated. Companies like Topicus, the creators of Parro and ParnasSys, have privacy all over their terms, but in the processor agreement they move the responsibility on to the schools.

Big Tech

At Google, Apple and Microsoft, it’s different. Their privacy conditions are spread over different, referring documents. When reading, you sometimes end up in a labyrinth where it is difficult to keep an overview, and you always come back on the same pages. The texts are also written for a long time and in difficult legal jargon, making it unlikely that an average person who has to accept the conditions will be able to make heads or tails of it.

The three major U.S. providers do offer their services with education licenses. If children then log in with their education account, those providers are not allowed to watch, do not store or use the children’s data, other than what is needed to make the program work.

The smaller providers often have no teaching license at all and do not explicitly promise to be privacy-friendly. This involves lesson support software, for example to practice sums.

School has to close the gaps

What is striking about Google and Microsoft is that the school has yet to do everything to bring the use of the software, also with the education license, in line with the GDPR. For example, the default settings of Google Workspace for Education do not protect against the use of (meta) data by third parties. For this, school must first go through a 35-page manual (Dutch document) to turn off all kinds of privacy leaks. And once those settings are in order, they must be re-checked with each and every new update of the programs. This is also the case with Microsoft.

It is a bit like a car where you still have to mount the bumpers, belts, head restraints, airbags, horn, handbrake and flashing lights, and which are removed unnoticed with each MOT inspection.

According to the EU and several judges in other European countries, Google and Microsoft in particular are indeed breaking the law, including when it comes to children. In Denmark, the use of Google in schools is even banned until Google would make an adjustment in the software. They did not comply with the GDPR, and that it is the same for Denmark as for the Netherlands. Those adjustments now have been made. In the German state of Baden-Württemberg, Microsoft Office 365 and MS Teams are banned in schools, also because it does not comply with the GDPR. Therefore, most schools use the privacy friendly and open source package BigBlueButton for online teaching, rather than Zoom and Microsoft Teams that are widely used in the Netherlands. In BigBlueButton there are all the functions that a teacher needs to teach a digital lesson, without data being sent to a provider. A school can even install it on its own server and if not depend on any cloud service provider.

Who’s helping?

There are organizations that are trying to make digital education safe.

Kennisnet is a public organization, funded by the Ministry of Education, Culture and Science, which aims to improve the quality and accessibility of education with ICT, and to limit its risks. They negotiate with software companies and educational institutions to arrive at secure solutions.

Sivon is a cooperative of schools in primary and secondary education, where the members together try to ensure good IT solutions for their schools. For example, they make risk analyses of software used in schools and write those long manuals that allow a school to make the software safe.

And then there is enforcement if it does go wrong. The Dutch Data Protection Authority (AP) should monitor compliance with the GDPR in the Netherlands. Anyone who finds a violation can report it to the AP.

This happened, for example, in 2014 at the company Snappet, which rents laptops with educational software to primary schools. The AP concluded: “Snappet has not sufficiently protected the service […] against unlawful processing of the personal data by unauthorized third parties.” and “Schools are misinformed by Snappet that the overviews of results per statement would not contain any personal data.

Although there have been clear guidelines with the GDPR, we did not find any examples of intervention by the AP in education software after 2014.

In the Netherlands, the Coalition fo Fair Digital Education has started a pilot project to help a number of schools switch to a privacy-friendly education environtmett. On their website you will find information about what you can do as a parent or teacher, and information about legislation, examples of places where things are different and information about alternatives.

Privacy covenant

In order to help schools and software providers with the GDPR-proofing of education software, the privacy convenant (Dutch) has been created. It’s a set of rules and promises that should keep the kids safe. Providers of education services can sign it with which they indicate that they are sticking to it. That goes in three steps: a statement from the company itself, then a ‘peer review’ statement by another party who has looked at the privacy of the product, and then an independent statement from an external authority. However, this regulator does not yet exist, so providers cannot take this last step. So far, it is self-regulation.

For ParnasSys, the self-declaration was issued more than two years ago, but the peer review has failed. Organizations such as ‘Safe Traffic Netherlands’ (Veilig Verkeer Nederland, VVN) also offer education software under the privacy agreement, more about that below. Apple, Google and Microsoft are not on the list of signatories.

What is really happening?

When schools pay close attention, follow Sivon’s manual and continue to closely monitor the apps, plugins or websites used, the privacy of school-age children on paper is protected by an impressive set of rules: terms of use, dataprocessor agreements, the privacy covenant, a data protection impact assessment and the GDPR.

But it is difficult to check that all software companies are sticking to that as well. When using web services, it is sometimes possible to find out whether so-called trackers of data sellers such as advertising companies are used.

We found three parents of primary school children willing to log in with their children’s account. We watched with Pim (Amersfoort), Geert-Jan (Delft) and Anne Claire (Arnhem) while they opened the programs with which their children work at school and do homework at home.

This sample shows that in many software, despite GDPR, privacy covenant and model processor agreement, something goes wrong. The computerscience method Fundament-online (used in Delft) places trackers of Google and advertising companies, just like taalpraktijken.nl (used at a school in Amersfoort). And the teaching method of Safe Traffic Netherlands (used in Arnhem) opened the door for all kinds of ad trackers who watch along with the children.

The advertising trackers at Veilig Verkeer Nederland (signed the privacy agreement) were the result of Youtube videos that are used. In an interview, Safe Traffic Netherlands seems to be well aware of the rules and dangers. The organization is looking for ways to comply with the rules, but also to shift the responsibility to the schools:

There are about 4300 schools that use our teaching methods. From group 1 to 8. We use YouTube videos. We’re looking at an alternative. Because the moment you watch a YouTube video in class, then… your entire search history is visible, of course.

We have planned [phasing out the use of Youtube] this spring. This will affect the next school year. We regulate privacy through the processor agreement that we conclude with all schools. We assume, of course, that the school on their side will also go through such an agreement well and before signing. Many schools are shielding Youtube itself.

Taking tests is also difficult without the chance of viewers. Douwe tried. The CITO test is done via the browser. The advantage of programs running in the browser is that it does not matter which operating system you use, every computer has a browser. Still, the kids at Douwe’s school couldn’t log in with the school laptops on which he had a privacy-friendly Linux operating system installed. A week before the test they found out, and Douwe had to adjust the settings so that the laptop pretended to be a Windows computer. Then the login suddenly succeeded. On the day of the test, unfortunately, it turned out that filling in the questions still did not work out, and then there were whole piles of Chromebooks to be borrowed overhead. “I called CITO, they clearly didn’t feel like a single parent who wants to do it differently. They just said they would pass it on to their developers.

Finally, we looked at the webpage of the school counsellor of a randomly chosen primary school. You usually do that when there’s something to discuss that’s confidential. Still, there were multiple trackers watching, including from Google, Cloudfare and Amazon. All three companies that resell data to advertisers.

Sneaking routes

Finally, there are all shortcuts and back doors that ensure that data can still be collected with a teaching license. A number of commonly used services are outside the educational license and therefore outside the protection. Then you may think, “then the children just don’t use those services anyway”, but that unfeasible when you know which services are involved.

Google offers a total package for education, with a teaching license. But Google’s search engine is not covered by the license, and neither does YouTube (also owned by Google). So if a child does a search via Google, and who does not, then the data of the child is still collected and can be used. Do the children in the class watch a video, there is a good chance that this will happen with YouTube.

Google Maps is also not covered by the teaching license, also the advanced spell checker and automatic translations are not covered.

If a school uses Chromebooks, the use of them is only covered by the education license if the school has the laptops under management, not if the laptops come from home.

Apple has not provided its own services with the license. The child logs in to the computer with a personal account with a teaching license, and everything it uses from Apple, so the office package, the Safari web browser, the operating system, that’s all covered by that license. However, if the child goes to Google Search or a website with trackers on it via the Safari web browser, that is outside the Apple license. Google pays Apple 18 billion dollars a year to make Google the default search engine., with the aim of bringing in the data to sell to advertisers. (https://www.theverge.com/2023/10/26/23933206/google-apple-search-deal-safari-18-billion)

Who will check that children do not use these services for their work at or for school? Useful apps and lesson support software are easily shared by students themselves or by teachers who do not have to buy a service when they are free and online to use.
Schools lack the manpower and the knowledge to adequately protect the privacy of children in school.

If Douwe had not taken it upon himself, the school could not have afforded to use open source software whose security is to be checked. “There is a constant lack of money and of manpower. Teachers are already succumbing to the workload, putting extra time into the choices for software is not in it.

There is not much help from outside. There is no organisation that has put together a set of open source teaching tools, with an easy manual.

Having to tell the story again and again is also exhausting,” says Douwe. “Every year there are new teachers to whom it is necessary to explain again what choices we made and why. They choose convenience.

In the absence of their own expertise in schools, parents and children must rely on the protection measures of the GDPR and the privacy agreement, but these are limited and hardly enforced.

Parent Pim is not shocked but worried:

I was afraid it would be worse. I haven’t delved into it before, actually out of ease. You also expect school to be working on it, and I also know that it is. In school, for example, attention is paid to digital literacy, especially about paying attention to scammers. My daughter of 10 is starting to become resilient, but I don’t know if that’s because of her parents or school. The tricky thing is, how do I translate something like that into her world? I think the adults have to solve this.

It remains worrying. We’re building a reliance on big tech and that makes you black mailable. This should be addressed in the EU.”

In Amsterdam, the experiment did not survive. Douwe offered alternatives for the schedules and the administration, on the school’s own server, and digital teaching software. When this last service did not work well enough, the school management replaced everything with Microsoft Teams.

Method

Together with research collective Spit, eerlijkdigitaalonderwijs.nl, Vers Beton, Bureau Spotlight and AD, the Stadsbron conducted research into the privacy of children at school. This long read is first in a series in which the Amersfoort context will be further discussed. Other publications that emerged from this research (Articles in Dutch, with firefox translation you can translate locally in your browser) :

Sources

Geef een reactie