Welkom in de (Cloud)klas
Cloudaanbieders zoals Amazon, Microsoft en Google zijn helaas nauwelijks meer weg te denken binnen het onderwijs. In de razendsnelle digitale transformatie van het onderwijslandschap, waarin grote hoeveelheden persoonsgegevens gedeeld worden met private partijen, staan daardoor de fundamenten van privacy op het spel.
De ‘macht’ van de cloudaanbieder
Een groot punt van zorg bij Privacy First zijn de vaak vage en uitgebreide gebruiksvoorwaarden die door deze commerciële “cloudreuzen” worden opgelegd. De complexe juridische taal en het gebrek aan transparantie maken het moeilijk voor onderwijsinstellingen en hun gebruikers om volledig te begrijpen hoe hun gegevens worden gebruikt, opgeslagen en gedeeld. Ook stellen cloudaanbieders vaak hun eigen voorwaarden op en zijn er op dataverzameling gebaseerde verdienmodellen aanwezig. Dit terwijl onderwijsinstellingen verantwoordelijk zijn voor de verwerking van de persoonsgegevens van hun medewerkers en scholieren. Het is dan ook maar de vraag of onderwijsinstellingen voldoende toezicht hierop kunnen houden. Door samenwerkingen in de onderwijssector zijn ze beter in staat om eisen te stellen, zoals SIVON en SURF die het afgelopen jaar met Google om tafel zaten om bepaalde privacyrisico’s te bespreken. Desondanks dienen onderwijsinstellingen scherp te blijven op het gebruik van dergelijke cloudaanbieders, en het implementeren van maatregelen om de risico’s te beperken (bijvoorbeeld de technische handleiding voor Google Workspace for Education).
Vendor lock-in
Bovendien brengt de afhankelijkheid van grote cloudaanbieders het risico van vendor lock-in met zich mee. Scholen en universiteiten die eenmaal verstrikt zijn geraakt in het web van een specifieke provider, kunnen moeilijk overstappen vanwege technische beperkingen en hoge kosten. Dit gebrek aan keuzevrijheid versterkt de positie van de cloudaanbieders en kan publieke waarden in het onderwijs zoals rechtvaardigheid (o.a. inclusiviteit en transparantie), menselijkheid (o.a. sociale veiligheid) en autonomie (o.a. zelfbeschikkingsrecht, privacy en de professionele autonomie van docenten, onderzoekers en instellingen) aantasten.[1] In het bijzonder omdat deze cloudaanbieders lang niet meer alleen de infrastructuur leveren, ze bepalen ook steeds meer de inhoud én de aard van het onderwijs. Dit komt doordat het overgrote deel van scholen werkt met grote cloudaanbieders en uitgevers hun lesmaterialen aanpassen aan de wensen van deze cloudaanbieders.
Verder blijkt dit ook uit het feit dat onderwijsinstellingen het label ‘Google Reference School’ dragen. Een voorbeeld hiervan zijn alle WSKO-scholen. “Met Google skills for kids hebben wij een zelfsturend trainingsprogramma ontwikkeld met Youtube-tutorials waarmee ze in hun eigen tempo Google Drive, Docs, Presentaties, Classroom en de zoekmachine leren gebruiken”, vermeldt hun website. Er zijn in Nederland enkele tientallen Google Reference Schools, zowel basisscholen als middelbare scholen. Dit is zorgelijk omdat publieke waarden, overheidsgeld en publieke kennis zo in handen komen van grote commerciële partijen. Dit wordt ook onder de aandacht gebracht in een recent artikel van de Groene Amsterdammer, waarin ook wordt opgemerkt dat kinderen op deze manier heel subtiel grootgebracht worden tot Google-consumenten, via het publiek-betaalde onderwijs. Privacy First steunt dan ook de petitie van de Coalitie Eerlijk Digitaal Onderwijs (CEDO), waarin zij een alternatief ontwerp verzoeken van digitale leeromgevingen waarmee publieke waarden en autonomie voor het individu worden gewaarborgd.
Profilering
Een ander groot zorgpunt over deze cloudaanbieders is het verzamelen en analyseren van gegevens. Niet alleen worden er educatieve gegevens verzameld, maar ook bijvoorbeeld gegevens over wie met wie mailt, omdat onderwijsinstellingen ook grote cloudaanbieders gebruiken voor bijvoorbeeld mail, online-videobellen en surveillance. Op basis van deze gegevens kunnen er gedetailleerde profielen opgesteld worden van leerlingen en medewerkers van onderwijsinstellingen. Gezien de hoeveelheid aan documenten en gebrek aan transparantie van grote cloudaanbieders is het voor individuen vaak niet mogelijk op de hoogte te zijn van de omvang van hun verzamelde gegevens en welk profiel daaraan gekoppeld is. Dit kan resulteren in het opstellen van onjuiste profielen, wat kan leiden tot onder andere discriminatie, oneerlijke behandeling of onjuiste aannames en beslissingen. Ook kunnen gebruikers op basis van hun dataprofiel in een bepaalde richting worden gedreven, anders dan hun eigen voorkeur. Dit heeft effect op iemands persoonlijke keuzeruimte.
Privacy in het onderwijs is voor Privacy First de komende jaren een belangrijk aandachtsgebied. Wij vinden dan ook dat de prijs van gemak van grote cloudaanbieders niet de inbreuk op privacy mag zijn. In het bijzonder omdat in het onderwijs ook gegevens worden verwerkt van minderjarigen die extra kwetsbaar zijn.
[1] Rathenau Instituut, Naar hoogwaardig digitaal onderwijs, figuur 1: Waardenkader voor de onderwijssector. Zie: Naar hoogwaardig digitaal onderwijs (rathenau.nl)