Privacy van je leerlingen op het internet

Hoe bescherm je de privacy van je leerlingen bij het gebruik van diensten op het web? Dat kan door allerlei eisen te stellen aan de diensten die je leerlingen gebruiken. Maar die diensten hebben soms beperkte middelen, en kunnen niet ingaan op de (soms absurde) privacy-eisen die scholen aan het gebruik van hun dienst stellen. Zie de reactie van Runestone Interactive op dit soort verzoeken:

• https://runestoneinteractive.org/2021/05/28/data_privacy_agreements.html#

Een belangrijk punt is dat deze dienst niet geïnteresseerd is in de identiteit van de deelnemers (leerlingen). Voor het bijhouden van de vorderingen van een leerling door het materiaal hoeft deze dienst de identiteit van de leerling niet te kennen. Een unieke identificatie (gebruikersnaam) is voldoende. Alleen de leerling en eventueel de docent hoeven de echte (publieke) identiteit van de leerling te kennen.

Een leerling kan een unieke naam en e-mailadres gebruiken die alleen betekenis hebben in deze context. Deze hoeven niet (voor derden) herleidbaar te zijn naar de “publieke” identiteit van de leerling. Deze niet-herleidbare identiteit kun je beschouwen als een “micro-identiteit” die alleen voor deze dienst betekenis heeft.

Voor zo’n niet-herleidbaar e-mailadres kun je een alias gebruiken, gebaseerd op fantasie-namen en nummers; de meeste e-maildiensten maken het mogelijk om bij een e-mailadres meerdere aliassen te maken. (Mogelijk is dit wat extra werk voor de IT-afdeling.) Bij voorkeur gebruik je een alias per dienst; je kunt dan aan de alias van een ontvangen bericht zien van welke dienst de mail afkomstig is, of welke dienst het e-mailadres verkocht heeft of heeft laten lekken.

Als het e-mailadres alleen nodig is voor een password-reset dan kun je ook de truc gebruiken van het genoemde Runestone-artikel. Je kunt een gmail-adres voorzien van extra gegevens na een “+”-teken in het e-mailadres, bijvoorbeeld jan.jansen+leerling123@gmail.com als alias voor jan.jansen@gmail.com. De “+” en alles wat daarachter staat wordt niet gebruikt bij het afleveren van de (g)mail. Op die manier kan een docent gemakkelijk een alias maken voor alle leerlingen. Hiermee kan de docent dan zelf de password-reset uitvoeren.

• https://support.google.com/a/users/answer/9308648?hl=nl

Heb je nog andere tips voor het verbeteren van de privacy van je leerlingen op het internet? Deel die hieronder.

In principe door ze geen internetdiensten te laten gebruiken. Ik werk op twee scholen, de een faciliteert alle IT zelf in huis, tot videobellen aan toe op eigen servers (wat stabieler en beter werkt dan Teams, met minder bandbreedte!), de andere is meer van “liefst online” zodat IT er niks aan hoeft te doen. Als ik dan vraag of ze een verwerkingsovereenkomst voor me willen regelen is het vaak toch snel lokaal geregeld. Soms wat geklooi met inTune, maar daar vinden ook wel omwegen voor. Portable installs op USB stick bijvoorbeeld.

Ik weet dat git en andere clouddiensten het helemaal zijn in de IT, maar daar heeft iedere vervolgopleiding/bedrijf toch ook weer een eigen invulling van. Het is geen leerdoel in het examenprogramma om ze voor te bereiden op online-samenwerkingstools. Hoe dat werkt daar zijn ze vaak snel genoeg achter als ze naar de TU of Fontys gaan.