alle artikelen

Onderwijssoftware krijgt zelfde Microsoftstandaarden als Het Rijk

De AVG is sinds 25 mei 2018 van kracht, maar dit betekent niet dat de producten van alle softwareleveranciers hier ook compleet mee in lijn zijn. Om ervoor te zorgen dat scholen met producten van Microsoft die voldoen aan de AVG kunnen werken, neemt het onderwijsconsortium – bestaande uit APS IT-diensten, SLBdiensten en SURF – deel aan de Microsoft Klantenraad. Dit doet het consortium samen met onder meer het ministerie van Justitie en Veiligheid en de Vereniging van Nederlandse Gemeenten. Jan Bakker, namens het SURF consortium, gaat in op het belang van deze Klantenraad.

Het Rijk, de Nederlandse onderwijsinstellingen en de gemeenten hebben ieder hun eigen contracten en commerciële afspraken met softwareleveranciers zoals Microsoft. Maar er zijn ook zaken die op alle drie de (semi-)overheidsbranches van toepassing zijn. “Zoals privacyvraagstukken en specifieker het voldoen aan de Algemene Verordening Gegevensbescherming (AVG, red.)”, legt Jan Bakker uit. “Daarom is er begin dit jaar, met name op initiatief van het ministerie van Justitie en Veiligheid, een Microsoft Klantenraad ingesteld. Samen met andere partijen uit het publieke domein, waaronder de Vereniging van Nederlandse Gemeenten (VNG, red.), maakt ook het onderwijsconsortium deel uit van deze Klantenraad.”

Het mes snijdt binnen de Klantenraad aan twee kanten: de deelnemende partijen staan samen sterk en communiceren één uniforme boodschap richting Microsoft, terwijl Microsoft één contactpunt heeft voor specifieke thema’s. Het belang hiervan komt weer samen rondom de AVG: iets waar Het Rijk al langer met Microsoft over in gesprek is. Bakker: “Het Strategisch Leveranciersmanagement Microsoft Rijk (SLM Microsoft Rijk) is het aanspreekpunt voor Microsoft vanuit het Rijk. Aan de hand van een Data Privacy Impact Assessment (DPIA, red.) constateerde zij in 2018 dat bepaalde Microsoft-producten niet strookten met de bepalingen van de AVG. Daarop is vanuit het Rijk actie ondernomen, met resultaat.”

In 2019 zijn diverse technische verbeteringen doorgevoerd, waardoor Office ProPlus en ook Windows 10 Enterprise beter aan de meest recente privacywetgeving voldoen. Zo zijn er nu instellingsmogelijkheden voor beheerders om de verzamelde gegevens tot een minimum te beperken. Dit is inmiddels contractueel met APS IT-diensten, SURF en SLBdiensten voor alle scholen vastgelegd. “Heel mooi dat dit voor het Rijk werd geregeld, maar als Klantenraad hebben wij aangegeven dat dit ook voor de andere in de raad vertegenwoordigde sectoren moest gelden”, geeft Bakker aan. Microsoft bleek hier gevoelig voor. “Onze juristen zijn aanvullingen op onze overeenkomst met Microsoft overeengekomen, om ervoor te zorgen dat de doorgevoerde verbeteringen ook binnen het Nederlandse onderwijs geïmplementeerd kunnen worden.”

In de praktijk

Bakker benadrukt dat het hierbij niet alleen om papieren aanpassingen gaat. “De routering van de data verandert inderdaad.” Het feit dat het Rijk en het onderwijs straks dezelfde privacy-standaarden hanteren, geeft veel onderwijsinstellingen een fijn gevoel. “Dat je een AVG-compliant IT-infrastructuur hebt waar ook het Ministerie van Justitie en Veiligheid zijn stempel op heeft gezet, wekt veel vertrouwen.”

Nu is het aan de scholen zelf om de Microsoft-producten op de juiste wijze te implementeren. “Ook de allermooiste technologische toepassingen kunnen een bron van datalekken zijn. Daarom is juist de implementatie belangrijk om te voldoen aan wet- en regelgeving. Hiervoor moeten scholen wel over de juiste kennis en ervaring beschikken.” SURF, SLBdiensten en APS IT-diensten staan de onderwijsinstellingen hierin bij.

Auditrechten

Een ander belangrijk punt wat het onderwijsconsortium via de Klantenraad van Microsoft wil regelen, zijn de auditrechten. “Microsoft acht het niet wenselijk wanneer, naast het Rijk, ook scholen en gemeenten ieder apart audits uit gaan voeren, om te testen of de Microsoft-producten en -dienstverlening inderdaad voldoen aan wet- en regelgeving.” Als belangenbehartiger van de onderwijsinstellingen, is het ook voor het onderwijsconsortium efficiënter om audits gemeenschappelijk uit te voeren. “Ik verwacht dan ook dat we hier op korte termijn afspraken over kunnen maken vanuit de Microsoft Klantentraad.”

Op de vraag of er een vergelijkbare aanpak richting andere vendoren zoals Google in het verschiet ligt, geeft Bakker aan: “De samenwerking met het Rijk smaakt naar meer. Vanuit het Rijk en het onderwijs zijn er inmiddels gesprekken met Google gestart.” Volgens hem zijn dit echter geen nationale kwesties. “Uiteindelijk dienen onderwerpen zoals privacy op Europees niveau geborgd te zijn en zou je je hier als eindgebruiker eigenlijk niet druk over moeten maken. De Nederlandse Autoriteit Persoonsgegevens is hierover dan ook in gesprek met de European Data Protection Board.”

Vragen of meer informatie?

Onze Servicedesk staat voor je klaar. We zijn elke werkdag bereikbaar tussen 8:30 en 17:00 uur.

030 2856 870 info@apsitdiensten.nl