• Veilig digitaal lesgeven

uitleg

Waarom staat er een artikel over veilig digitaal lesgeven op deze site? Wat is dat eigenlijk? Moet ik daar ook iets mee? Zo maar een paar vragen die bij je op zouden kunnen komen bij het zien van dit artikel. En toch is veilig digitaal werken (en dus ook lesgeven) een onderwerp waar we allemaal dagelijks mee bezig zijn, bewust of onbewust. Bij veilig digitaal werken gaat het voornamelijk om de bescherming van gegevens: bedrijfsgegevens (bijv. toetsen) én persoonsgegevens (van studenten en medewerkers). In het onderwijs wordt grote hoeveelheden persoonsgegevens beheerd en verwerkt. Studenten mogen en moeten erop kunnen vertrouwen dat wij deze gegevens met de grootste zorgvuldigheid beheren. Maar hoe doe je dat dan?

Natuurlijk is goede beveiligingen van ICT-netwerken, -systemen en –applicaties hiervoor voorwaardelijk. Succesvolle bescherming van gegevens vereist echter vooral goede werkprocessen en adequaat en correct digitaal handelen van iedere individuele gebruiker. Dat ben jij dus ook! Individuele informatiebeveiliging begint bij goede kennis en beheersing van ICT-basisvaardigheden. Denk daarbij aan: gebruik van sterke wachtwoorden, gebruik van veilige online diensten, en waakzaamheid voor phishing, illegale software en virussen. Een goed startpunt daarvoor zijn de lemma’s op de AZ-lijst over ICT-beveiliging en ICT-gedragsregels.

Om ook de privacy van studenten afdoende te respecteren is enige kennis van de regelgeving noodzakelijk. De Bescherming Persoonsgegevens wordt geregeld in de AVG, de Algemene Verordening Gegevensbescherming. Het is helaas niet mogelijk om eenvoudig zwart-wit uit te leggen wat wel mag, en wat niet. De specifieke context is daarvoor altijd bepalend. Er is wel een beperkt aantal leidende principes vanuit de regelgeving die het kader van juist handelen aangeeft. Je moet bij het verwerken (opslaan, bewerken, delen, etc.) van persoonsgegevens altijd zorgen voor:

  • transparantie: de betrokken persoon weet dat zijn/haar gegevens worden verwerkt, en heeft hiervoor toestemming gegeven (‘informed consent‘);
  • doelbeperking: persoonsgegevens worden voor een bepaald gewettigd doel verzameld, en voor niets anders;
  • gegevensbeperking: uitsluitend de gegevens noodzakelijk voor het beoogde doel mogen worden verzameld;
  • juistheid: de persoonsgegevens moeten correct zijn en blijven;
  • bewaarbeperking: persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel;
  • integriteit en vertrouwelijkheid: de persoonsgegevensmoeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging;
  • verantwoording: de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen.

Probeer zelf te reflecteren: Wat betekenen deze principes voor jouw werk? Weet je voldoende wanneer je met persoonsgegevens werkt? Wat betekent het voor het uitvoeren van je onderwijsactiviteiten? Voor het begeleiden van studenten? Voor het organiseren van de onderwijslogistiek in de opleiding? Of voor de opslag en het gebruik je jouw onderzoeksdata? De AVG gaat uit van ‘privacy by design’. Dat betekent dat er een groot beroep wordt gedaan om jouw eigen bewustzijn en inzet om vooraf goed te doordenken welke werkwijze adequaat is en welke maatregelen passend zijn.

Meer informatie over de impact van de AVG op de HvA vind je op het AZ-lemma over Privacy. Hier lees je over je eigen rechten, over wat wel en niet mag met de persoonsgegevens van studenten, over het omgaan met persoonsgegevens binnen onderzoek, etc. etc.

Let op: Ook beeld- en/of geluidsopnamen zijn persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (AVG). Het gebruiken van opnamemateriaal uit de beroepspraktijk voor bijv. opleidingsdoeleinden is daardoor een vorm van verwerken van persoonsgegevens. Dat betekent dat de regels van de AVG van toepassing zijn. Door de faculteit Onderwijs en Opvoeding (FOO) van de Hogeschool van Amsterdam (HvA) is een werkwijze opgesteld ten behoeve van alle studenten en medewerkers van FOO die opnamen maken in de beroepspraktijk. Deze kun je vinden op het AZ-lemma ‘Privacy – Beeldopnamen FOO‘.

inspiratie

Maar hoe doe je dat dan in de praktijk…? Hieronder delen we een paar voorbeelden:

In het onderwijs worden in toenemende mate gratis en vrij beschikbare cloud tools ingezet. Denk hierbij aan een formatieve toets met Socrative of Kahoot, of een activerende werkvorm met inzet van Padlet, Nearpod of Mentimeter. Goed voor de kwaliteit van het onderwijs en ook zeker mogelijk, maar… denk na over wat je doet! Begin met bescherming van je eigen gegevens. Zorg ervoor dat je bij het aanmaken van jouw account een uniek wachtwoord gebruikt, nooit je HvA-login en wachtwoord hergebruiken bij deze diensten. Bescherm ook de gegevens van studenten. Zorg dat studenten de tool anoniem kunnen gebruiken en forceer studenten niet om een account aan te maken. Vraag in de tools ook niet of zo minimaal mogelijk om persoonsgegevens van studenten, start een quiz dus niet met de vraag wat volledige naam, studentnummer en geboortedatum is: de combinatie van die gegevens heb je immers niet nodig!

Maak zoveel als mogelijk gebruik van de applicaties en programma’s die door de HvA worden aangeboden. Wat hierbij heel belangrijk is, is dat jij er als HvA-medewerker vanuit kunt gaan dat je met deze tools en programma’s veilig kunt werken! De HvA heeft dan uitgebreid gekeken naar de Informatiebeveiliging en Privacy van zulke tools/ programma’s en nette afspraken gemaakt met de leverancier(s) (waaronder de verplichte Verwerkersovereenkomst). Hierdoor is bijvoorbeeld de kans op lekken van persoonsgegevens geminimaliseerd, en is de verantwoordelijkheid van de HvA netjes geregeld wanneer er toch problemen optreden. Stop dus zo snel mogelijk (als je dat nog gebruikt…) met het ‘professioneel’ gebruik van ‘schaduw ICT’ zoals Google Forms, Zoom, Slack, etc. etc. als docent.

Naast het uitvoeren van studieonderdelen en het geven van lessen is het begeleiden van studenten een hoofdactiviteit. Hierbij worden vaak aantekeningen gemaakt in formele of informele studentdossiers. Ook hierbij geldt dat de hoeveelheid persoonsgegevens zo veel mogelijk moet worden beperkt. Voor je het weet staat je laptop vol met documenten met persoonsgegevens. Zeker bijzondere persoonsgegevens zoals etnische achtergrond of religie dienen nooit genoteerd te worden.

Tot slot… denk na waar je gevoelige bestanden opslaat en met wie en hoe je die deelt. Er is ruime keuze voor veilig opslag, delen en verzending. Gebruik voor opslag van persoonsgegevens zo veel mogelijk beveiligde opslag, zoals OneDrive. Let er dan ook op dat alleen de juiste (beperkte!) groep gebruikers de data kunnen inzien. Minimaliseer het gebruik van onbeveiligde hardware (een USB-stick is snel verloren), en het verzenden van persoonsgegevens via e-mail (een foutje in de adressering is zo gemaakt). Naast OneDrive zijn SURFdrive en SURFfilesender zijn twee veilige diensten die gratis ter beschikking staan voor medewerkers in het hoger onderwijs.

toepassing

Nu zelf aan de slag! Allereerst: Het is zeker niet altijd eenvoudig om te bepalen wat veilig digitaal werken (of lesgeven) in een specifieke situatie is. Laat staan om het direct toe te passen. Het is vooral zaak om te zorgen dat je jezelf bewust bent van je online gedrag én dat je het een natuurlijk onderdeel maakt van je werk.

Op de AZ-lijst op Mijn HvA vind je tips om te zorgen dat jij zelf jouw eigen ICT-beveiliging op orde hebt én dat je daarnaast digitaal veilig werkt, volgens de ICT-gedragsregels. Lees verder op deze pagina’s: AZ-lijst: ICT-beveiliging en AZ-lijst: ICT-gedragsregels.

Wil je testen of jij voldoende weet hoe je veilig werkt én of je dat in praktijk ook echt doet? Kijk dan eens op de pagina van SURF Cybersave Yourself. Je kunt daar een korte game spelen. Heb jij al de perfecte score? Zie: https://www.cybersaveyourself.nl/.

ondersteuning

Heb je zelf ook een goed voorbeeld waarvan jouw collega’s kunnen leren? Een persoonlijk vraagstuk waarover je advies wilt inwinnen? Een nieuwe applicatie of dienst die je wilt gaan gebruiken? Neem dan contact op met ICT-FOO.

Tot slot: We zijn verplicht om data-lekken van persoonsgegevens te registreren en melden. Meld een data-lek daarom altijd bij de ICTS Servicedesk via 020 595 1400. Denk bijvoorbeeld aan de situatie waarbij je een USB-stick of laptop met gegevens verloren bent. Twijfel je of er sprake is van een data-lek? Neem dan voor advies contact op met Pascal Brugmans, Privacy Officer van FOO.

Creative Commons License

Gerelateerde documenten:

© ICTO bij FOO 2022