Big Brother Awards Nederland 2004
Digidoor
Winnaar in de categorie Bedrijven en
Instellingen
In de categorie bedrijven en instellingen heeft
Digidoor de Big Brother Award 2004 gekregen. Digidoor
is een project van scholen in Almere waarbij gegevens
van basisschool-leerlingen in een digitaal bestand
worden verzameld, met het doel om de aanmelding bij een
vervolgonderwijs makkelijker te maken. Het bestand
bevat veel gevoelige informatie over leerlingen en is
te benaderen vanaf het internet. Ouders Online
ontdekte, dankzij een melding van een bezorgde ouder,
dat bij de opzet nooit was nagedacht over privacy en
beveiliging. Ook ontbrak een reglement en werden de
ouders van de leerlingen niet geïnformeerd.
De bezorgde ouder meldde in het forum van Ouders
Online: "Die digitale dossiers worden gevuld door
leerkrachten van de basisschool. Daarbij worden
observaties, ideeën over wat er met kinderen aan
de hand zou kunnen zijn en allerlei 'relevante'
gebeurtenissen opgeschreven. Daarbij worden vage
criteria gehanteerd. Al die opmerkingen en observaties
worden in het dossier opgenomen, zodat de vervolgschool
weet wat voor vlees ze in de kuip krijgt. En alles met
de beste bedoelingen. Hoe lang die dossiers en
opmerkingen bewaard blijven, is onbekend (!). De
leerkracht bepaalt welke informatie relevant is en
welke niet (!). De dossiers worden opgeslagen in een
centrale database, waar de middelbare scholen dan via
internet de informatie uit kunnen putten."
En de ouder concludeerde: "Een vechtpartij in de
zandbak kan je dus nu tot op het hbo blijven
achtervolgen."
Ook de gemeente bleek van plan adresgegevens aan te
leveren, en gebruik te willen maken van de dossiers om
oa op verzuim te controleren. De website werd in elkaar
gezet door een paar studenten van de Hogeschool van
Amsterdam, zonder kennelijk besef van de
security-gevaren van een Microsoft Windows omgeving. De
projectleider wordt bij Ouders Online treffend
geciteerd:
"De applicatie is ontwikkeld door studenten. Als we dit
door professionals hadden laten bouwen, was het
onbetaalbaar geweest. De website is dan wel niet veilig
genoeg, maar dat betekent nog niet dat hij onveilig
is."
Het e-zine Netkwesties had vervolgens weinig moeite om
vast te stellen dat de site op een Microsoft webserver
draaide, versie IIS/5.0, waarvan de kwetsbaarheid
overbekend is. Ook had de site een open FTP-poort.
Misschien nog wel het meest vanwege deze
verontschuldiging verdient Digidoor de uitverkiezing
tot Big Brother bedrijf van het jaar. Dat directeuren
van basisscholen nadenken over digitale dossiers valt
te begrijpen, maar dat ze zich daarbij vooraf geen
enkele rekenschap geven over privacy en security is
huiveringwekkend. Tegen Netkwesties zei Justine Pardoen
van Ouders Online te vrezen dat dit nog maar het topje
is van de ijsberg: "In het onderwijs worden
tegenwoordig veel gegevensstromen gedigitaliseerd,
bijvoorbeeld rondom de Wet Onderwijsnummer, waarvoor
binnenkort de eerste testen beginnen."
Ouders Online heeft het College bescherming
persoonsgegevens ingeschakeld. Dat heeft beloofd
binnenkort met een advies te komen.
Toelichting jurylid Bart Jacobs op de uitverkiezing van Digidoor voor
de Big Brother Award 2004 in de categorie 'Bedrijven en instellingen'.
De BigBrother-jury heeft altijd veel aandacht gehad voor de risico's
van het opslaan van persoonsgegevens in digitale databanken. Het is
goed om die risico's op een rij te zetten.
1. Foute gegevens kunnen vergaande consequenties hebben, zoals de
afgelopen maanden duidelijk is geworden voor senator Ted Kennedy in de
Verenigde Staten. Hem is meermalen de toegang tot een binnenlandse
vlucht geweigerd omdat hij door naamsverwisseling op een zwarte lijst
was komen te staan.
Hoe je van zo'n zwarte lijst afkomt, is de vraag. Kennedy moest
hiervoor de minister van Homeland Security, Tom Ridge, persoonlijk
bellen. Hoe gewone mensen zoiets moeten aanpakken, is onduidelijk.
2. Misbruik van de opgeslagen gegevens is altijd een risico. In het
algemeen geldt, hoe lager de drempel, hoe groter de kans op misbruik.
Het is algemeen bekend dat agenten die prive een tweedehands auto
willen kopen, het betreffende kenteken eerst opzoeken bij de
Rijksdienst voor het Wegverkeer (RDW), om zich een beeld te vormen van
de historie van het voertuig.
3. De beveiliging van databanken, zeker wanneer ze toegankelijk zijn
via het internet, is een serieus punt van zorg. Adequate beveiliging
vraagt heden ten dage een hoge mate van professionaliteit en permanente
zorg. De systemen moeten up-to-date zijn en adequaat beveiligd tgen de
laatste virussen en wormen.
4. Door digitalisering kunnen gebeurtenissen uit de directe levenssfeer
een oncontroleerbaar eigen leven gaan leiden. Er is een zeer groot
verschil tussen een aantekening in de persoonlijke agenda van een
schooljuf over het driftige gedrag van een kind, met daarbij de
opmerking dat er geruchten zijn over een mogelijke scheiding thuis, en
een notitie hierover in een elektronisch leerlingvolgsysteem dat door
verschillende partijen over langere termijn toegankelijk is.
5. Na digitalisering vallen databanken heel makkelijk aan elkaar te
koppelen, waarna via data-mining vergaande conclusies kunnen worden
getrokken. Stel je hebt in een vliegtuig wel eens een halal maaltijd
gereserveerd, je houdt van duiken, je hebt een baard, je was wel eens
driftig en opstandig op de kleuterschool en je kent iemand uit
Pakistan, dan vormt dit alles tesamen mogelijk voldoende informatie om
je op een zwarte lijst te plaatsen.
Bij deze toekenning van de prijs aan Digidoor wil de jury nog eens
expliciet op deze risico's wijzen. Er bestaan in NL duidelijke regels
van het College bescherming persoonsgegevens (Cbp) over de opslag van
gevoelige gegevens. Wij gaan er niet van uit dat de mensen achter
Digidoor moedwillig hebben geprobeerd niet aan deze regels te voldoen.
Wij menen echter wel dat hier sprake is van naieviteit, of zelfs
onnozelheid, als het gaat om technische beveiliging, als om het
reguleren van het recht op toegang en correctie van de opgeslagen
gegevens. Regels alleen zijn niet voldoende: bewustzijn van de
gevoeligheid van de materie is absoluut noodzakelijk. Daar heeft het
bij Digidoor duidelijk aan ontbroken.
Digitaal Doorstromen
http://www.digidoor.nl/
Onderwijs en privacy: project Digidoor Almere
(17.09.2004)
http://www.ouders.nl/mdiv2004-digidoor.htm
Ouders Online schiet privacygaten in onderwijswet
(16.09.2004)
http://www.netkwesties.nl/editie109/artikel2.html
|
|
|
