Van het Twentse bedrijf Switch ontving ik een mooi lijstje. Lijstjes zijn handig, je loopt ze eens na en vaak zie je iets waar je nog nooit eerder aan hebt gedacht.
Het lijstje dat Switch je, desgevraagd, gratis toe stuurt is sterk gericht op Office 365. Als je de 10 vragen leest zie je al snel dat dit niet alleen maar voor Office 365 geldt.
De 10 vragen zijn belangrijk voor scholen. Scholen hebben immers elders hun website staan en de leerling administratie vindt ook buiten de deur plaats. De oude archiefkasten zijn ingeruild voor servers in data centra. Leerlingvolgsystemen en persoonlijke data vullen menig datacentrum buiten de fysieke muren van de school. Wat daarmee in het beroerdste geval kan gebeuren moet je je als schoolleiding wel beseffen.
Ik loop het lijstje eens na en vertaal het naar een school met ELO, schooladministratiesysteem, website hosting en Office 365 of Google docs.
1. Wie is de eigenaar van de gegevens die de school opslaat?
Wie denkt dat de gegevens elders opgeslagen ook je eigendom zijn heeft het mis. In het verleden heeft onze school veel gedoe gehad met het wisselen van administratiesysteem.
Het eigenaarschap van de database werd door de houder betwijfeld. Dat geldt zelfs voor websites. Niet spannend? Ik denk het wel, vaak staan er inloggegevens in de site verwerkt. Die hoeven niet op straat te liggen. Tevens zijn er nog wel eens hosters die ook de domeinnaam overnemen. Als eigenaar van de naam hoef je die naam niet zomaar weer af te geven. (vooral als het algemene namen betreft)
2. Is er een individueel aanpasbare beveiligingsfuncties binnen de dienstverlening mogelijk?
Een beheerder moet makkelijk de rechten tot bepaalde onderdelen kunnen beperken of vergroten. Is dat bij alle providers wel geregeld. Dit is wenselijk omdat er in de school vaak een toegangsverschil nodig is (denk aan bijv. docenten en leerlingen)
3. Kan de school inzicht krijgen in de locatie van hun gegevens binnen de service?
We zijn na de NSA schandalen ons ervan bewust dat gegevens door buitenlandse- en onze eigen veiligheidsdiensten worden bekeken. Bij leerling gegevens is het zeker van belang die zo dicht mogelijk bij ons te houden en onder de Nederlandse wetgeving te laten vallen. Al is het verder geen garantie.
4. Wat is het beveiligingsbeleid van de hostingsorganisatie en hoe is de beveiliging ingericht ter bescherming van externe aanvallen van de eigen diensten?
Het is logisch dat de servers goed beschermd zijn tegen externe aanvallen. Toch moet alles ook weer bereikbaar blijven. Het is dus van groot belang dat de plek waar de materialen staan een veilige plek is. Goed doorvragen over het veiligheidsbeleid van de diverse organisaties waarop de schoolmaterialen staan is dan ook van groot belang.
5. Kan de school zijn eigen gegevens uit de Cloud verkrijgen?
Hier geldt of het makkelijk is alle data snel uit de Cloud op te vragen en te bewaren. Dat is belangrijk voor het gebruik in andere applicaties of voor het veiligheidsgevoel. ER zijn scholen die alle gegevens ook in een eigen kluis als backup willen hebben liggen.
6. Informeert de hostings-organisatie een ieder over wanneer de dienstverlening verandert, of wanneer gegevens aan gevaar bloot dreigen te staan?
Je zou bijna zeggen “waarom niet?”. Helaas ontbreekt dat er nog al eens aan. Een andere fout is “over-informeren”. Veel organisaties geven zoveel informatie over updates, aanpassingen en veranderingen dat die niet meer gelezen worden. Een heldere en begrijpelijke informatievoorziening is dan ook van belang.
7. Is het bedrijf waar de school mee in zee gaat transparant ten aanzien van de wijze waarop ze toegang heeft tot en gebruik maakt van de gegevens?
Hierbij moeten scholen er op letten of een organisatie bereid is ernstige problemen uit te leggen. Bedrijven moeten aangeven en willen aangeven wanneer iemand, van het bedrijf of uit de eigen organisatie toegang heeft tot de gegevens. Het betreft vaak uiterst privacygevoelige zaken die bij scholen bekend zijn. Monitoren en loggen daarop is een must.
8. Wat voor soort verplichtingen gaat de school aan met betrekking tot beveiliging en privacy?
Er zijn een aantal standaarden voor veiligheid. Het is verstandig om die goed door te nemen. Als er helemaal geen standaard is dan is het lastig om de juridische gevolgen te doorgronden.
9. Hoe garandeert men de betrouwbaarheid van de services?
Redundantie, robuustheid, gedistribueerde services en monitoring staan garant voor een betrouwbaar systeem. Daar zitten kosten aan, kosten die alleen grote organisaties kunnen dragen. Het is verstandig om bij het buiten de school plaatsen daar over na te vragen. Een uptime van 99,9% is door iedereen gewenst, de praktijk is soms anders.
10. Wat zijn de garanties met betrekking tot de beschikbaarheid van de dienst?
Een lastig vraagstuk is het verkrijgen van de garanties met betrekking tot de diensten. Transparante organisaties doen daarover niet moeilijk. Diverse organisaties (vb. Microsofts Office 365) compenseren zelfs bij het wegvallende beschikbaarheid.