(von Fulvio Oscar Benussi) Der prof. Fulvio Oscar Benussi, Mitglied der AIDR, ist Lehrer, Trainer und Publizist an einer weiterführenden Schule. Der didaktische Innovationsexperte hielt zahlreiche Reden an italienischen und ausländischen Universitäten. Verschiedene seiner Beiträge, viele davon in Zusammenarbeit mit der Forscherin Annamaria Poli der Universität Mailand, Bicocca, wurden in wissenschaftlichen Fachzeitschriften veröffentlicht.

Das anhaltende Bedürfnis nach sozialer Distanzierung und die damit verbundene Verschiebung der Wiedereröffnung von Schulen impliziert die Notwendigkeit, sich mit CyberSecurity und dem Schutz der Privatsphäre von Fernlernplattformen zu befassen (1). Nach einer Analyse der kritischen Fragen der Plattformen hoffen wir auf eine Klärung durch den Minister.

Die Bemühungen von Schülern und Schülern, ihren Familien, Lehrern und Schulleitern sowie allgemein der Schulverwaltung, die Kontinuität des Bildungsdienstes durch Fernunterricht aufrechtzuerhalten, sind lobenswert große Aufmerksamkeit die ganze Sache.

Am 9. April kam es zu einem Hackerangriff auf die Axios-Bildungsplattform (La Repubblica https://www.repubblica.it/cronaca/2020/04/09/news/axios_hacker-253550285/?ref=RHPPLF-BH-I253495487-C8) -P4-S2.5-T1), während in den vergangenen Tagen Hackerangriffe auf andere Bildungsplattformen stattgefunden hatten. Mit den Angriffen wurde während des Unterrichts gewalttätiges und pornografisches Material eingeführt, und einige Einrichtungen mussten den Fernunterricht für einige Tage unterbrechen.

Fragen wir uns also, was die Schule hätte tun können, um diese Probleme einzudämmen

Die Axios-Bildungsplattform hat einen DDoS-Hackerangriff erlitten, der eine große Anzahl betrügerischer Zugriffe verursacht. Etwas Analoges zu dieser Art von Angriff (2) erlitten jene Schulen, die, ohne sich den vom Markt angebotenen freien Plattformen zuzuwenden, versuchten, ihr Fernstudium zu vermitteln, indem sie sich stattdessen für Lösungen entschieden, die von den Anbietern anderer digitaler Schuldienste angeboten wurden. Zum Beispiel aus elektronischen Registern, deren System sich hinsetzt und die enorme Menge des erzeugten digitalen Verkehrs nicht verwaltet.

Diese Art von Schwierigkeit wurde auch in den Alpen von unseren französischen Nachbarn erlebt, die, um die Schulaktivitäten fortzusetzen, die CNED-Plattform „Meine Klasse zu Hause“ im ganzen Land und für jede Art von Schule nutzten. Die Entscheidung des französischen Ministeriums, dieses System zu verwenden, stieß jedoch auf einige Schwierigkeiten. Aufgrund zu vieler gleichzeitiger Verbindungen war der Zugriff auf die Site gesättigt und stürzte mehrmals ab.

In Italien wurde abgesehen von den oben genannten Erfahrungen, die an einigen Schulen unternommen wurden, beschlossen, sich nicht auf eine nationale institutionelle Plattform zu stützen, die jedoch nicht verfügbar ist und die ad hoc geschaffen worden wäre.

In Anbetracht des Ergebnisses der von den Franzosen getroffenen Wahl können wir sagen, dass wir vorausschauender waren.

Aber jede Entscheidung, die auf eine Straße verzichtet, führt dazu, dass wir uns für die andere Alternative entscheiden müssen, und das MIUR hat beschlossen, den Lehrern die Nutzung der vom Markt angebotenen kostenlosen Plattformen vorzuschlagen.

Intelligentes Lehren und intelligentes Lernen mit kostenlosen Plattformen

Bei der Durchführung von Fernunterrichtsaktivitäten im Hinblick auf den Schutz der Privatsphäre von Schülern und Studenten ist Folgendes zu berücksichtigen:

• Die Merkmale des Arbeitsplatzes des Lehrers, der ihn bereitstellt (siehe DSGVO-Verordnung (3));
• Ad-hoc-Schulung und Aufgabe für einzelne Lehrer;
• Die Angaben in der Bestimmung "Fernunterricht: erste Angaben (4)" des Garantiegebers zum Schutz personenbezogener Daten vom 26. März 2020.

Der Arbeitsplatz des Lehrers muss geeignet sein, um sicherzustellen, dass "angemessene technische und organisatorische Maßnahmen getroffen wurden, damit die Verarbeitung den Anforderungen dieser Verordnung entspricht" (siehe Art. 28 Absatz 4 der DSGVO-Verordnung). Um nicht das Risiko einer Datenverletzung einzugehen (5), sollte dies unserer Meinung nach bedeuten, dass der für Fernunterricht verwendete Computer durch Virenschutz und Firewall geschützt werden muss. Darüber hinaus sollte der PC vom Lehrer nicht einmal für seine persönlichen Aktivitäten wie E-Mail, Konten in sozialen Netzwerken usw. verwendet werden. Dies könnte das Eindringen von Malware, Spyware usw. begünstigen. Selbst wenn dies die ideale Lösung wäre, kann nicht davon ausgegangen werden, dass: "Die Workstation von und auf Kosten von Schulen und Bildungseinrichtungen zur Verfügung gestellt, installiert und getestet wird, wodurch die Wartungs- und Verwaltungskosten belastet würden Unterstützungssysteme für Arbeitnehmer ". Dies sind jedoch die vertraglichen Bedingungen für die Telearbeit des Schulpersonals (ART. 139 - Regelung der Telearbeit CCNL School 2006-2009), und selbst wenn die Telearbeit für Lehrer zum Zeitpunkt der Unterzeichnung der CCNL nicht geregelt war, ist die neue Situation unserer Meinung nach Beachten Sie, ermöglicht die Analogie.

Alle oben aufgeführten Bedingungen sind unter den aktuellen Notfallbedingungen offensichtlich nicht möglich.

Wir glauben jedoch, dass es nützlich wäre, das Schulpersonal von den Verantwortlichkeiten zu befreien, die sich aus einer Verletzung der persönlichen Daten der Schüler ergeben, da die Lehrer mit PCs arbeiten, die in vielen Fällen nicht die oben angegebenen Merkmale aufweisen.

In diesem Sinne hoffen wir auf eine Intervention des Ministeriums, die die Angelegenheit klären kann.

Für den Fernunterricht sollten die Lehrkräfte einen speziellen Schulungskurs (6) zum Thema Datenschutzgesetzgebung (7) absolviert und von ihren Schulleitern ein spezielles Auftragsschreiben mit spezifischen Anweisungen für die Verarbeitung personenbezogener Daten im IT-Bereich erhalten haben. .

Angesichts der großen Veränderungen im Zusammenhang mit der aktuellen Situation und der Dringlichkeit, die Kontinuität der Bildungstätigkeit zu gewährleisten, scheinen objektive Schwierigkeiten bei der rechtzeitigen Umsetzung der oben genannten Maßnahmen zu bestehen.

Die Angaben in der Bestimmung "Fernunterricht: erste Angaben" des Garantiegebers zum Schutz personenbezogener Daten vom 26. März 2020 sind die Referenz, auf deren Grundlage wir die verschiedenen verwendbaren DAD-Plattformen analysiert haben.

"Darüber hinaus verdienen die personenbezogenen Daten von Minderjährigen" einen besonderen Schutz in Bezug auf ihre personenbezogenen Daten, da sie sich möglicherweise der damit verbundenen Risiken, Folgen und Schutzmaßnahmen sowie ihrer Rechte in Bezug auf die Verarbeitung personenbezogener Daten weniger bewusst sind. " (Rec. 38 der Verordnung) ".

Ausgehend von dieser Überlegung des Garanten haben wir die von uns analysierten DAD-Plattformen überprüft.

Angaben zum Verfahren zur Analyse der DAD-Plattformen

Wir weisen darauf hin, dass die Hinweise, die wir jetzt veranschaulichen werden, auch von den Lehrern befolgt werden können, die die Einhaltung der Datenschutzregeln der von ihnen verwendeten DAD-Plattformen überprüfen möchten oder sich auf die Verwendung vorbereiten.

Zur Überprüfung müssen zunächst die Haftungsausschlüsse im Abschnitt "Datenschutz" der Plattform gelesen werden. Wir weisen darauf hin, dass Sie, um sicherzustellen, dass Sie die Datenschutzrichtlinie vollständig gelesen haben, nicht mit Zusammenfassungen und Zusammenfassungen zufrieden sein dürfen, sondern die Vollversion wiederherstellen müssen. Die Plattformen bieten häufig nur über Schaltflächen und Links, die mit einem Klick aktiviert werden können, Zugriff auf die Vollversion.

Es sollte beachtet werden, dass es äußerst schwierig ist zu verstehen, welche Spezifikationen andere betreffen können und welche Studenten oder Professoren betreffen, wenn der Haftungsausschluss für mehrere angebotene Dienste geschrieben wird oder sowohl Benutzer des Dienstes als auch Mitarbeiter des Unternehmens betrifft.

Der zweite Schritt besteht darin, die vollständigen Informationen zu Cookies zu lesen, um zu überprüfen, welche Informationen sie sammeln.

Der dritte Schritt besteht darin, die Angaben des Anbieters der DAD-Plattform mit den Bestimmungen des "Fernunterrichts: erste Angaben" zu vergleichen. Bestimmung des Garanten zum Schutz personenbezogener Daten, um deren Verwendung zu vermeiden, um den DAD durchzuführen, falls die Plattform berücksichtigt entspricht nicht den Angaben des Garantiegebers.

Durch die Analyse zahlreicher DAD-Plattformen (8) haben wir einige kritische Probleme identifiziert.

In Bezug auf die Probleme im Zusammenhang mit der Profilerstellung stellt der Garantiegeber fest: "Wenn es jedoch als notwendig erachtet wird, auf komplexere und" generalistische "Plattformen zurückzugreifen, die keine ausschließlich auf den Unterricht ausgerichteten Dienste anbieten, sollten standardmäßig nur die unbedingt erforderlichen Dienste aktiviert werden Schulung, Konfiguration so, dass die zu verarbeitenden personenbezogenen Daten sowohl während der Aktivierung der Dienste als auch während ihrer Nutzung durch Lehrer und Schüler minimiert werden (wobei beispielsweise die Verwendung von Daten zur Geolokalisierung vermieden wird, d. h. soziale Anmeldesysteme, die durch die Einbeziehung Dritter größere Risiken und Verantwortlichkeiten mit sich bringen). "

In Bezug auf die Daten, die sich auf die Geolokalisierung des Benutzers beziehen, können diese Daten auch durch Erfassen der IP-Adresse (9) oder der MAC-Adresse (10) identifiziert werden.

Für die Profilerstellung des Benutzers (des Schülers) erklärt der Garantiegeber: "Dieser spezifische Schutz sollte insbesondere die Verwendung solcher Daten für Marketing- oder Profilerstellungszwecke und im weiteren Sinne die damit verbundene Sammlung im Kontext von betreffen Erbringung von Dienstleistungen für Minderjährige selbst "

In dieser Hinsicht haben wir in einigen analysierten DAD-Plattformen keine wirklich beruhigenden Hinweise gefunden, zum Beispiel:

"Wir werden auch angemessene Anstrengungen unternehmen, um sicherzustellen, dass wir unsere Produkte nicht zum Sammeln von Informationen verwenden, wenn Sie Websites besuchen, die von anderen Unternehmen als unseren angeboten werden."

"Die Deaktivierung der angegebenen technischen Cookies [...] könnte die korrekte Navigation auf der Website verhindern und / oder deren Verwendbarkeit einschränken (11)."

Für weitere Informationen halten wir es auch für nützlich, auf einige Artikel (12) hinzuweisen, in denen die kritischen Aspekte der DAD-Plattformen hervorgehoben wurden, die Lehrer verwendet haben und die in vielen Fällen immer noch verwendet werden.

Über die ZOOM-Plattform sagt Jules Polonetsky, CEO des Future of Privacy-Forums: „Die Nutzungsbedingungen von Zoom enthalten einige Klauseln, die in die Privatsphäre der Benutzer eingreifen könnten. Wie bei allen Produkten sollten Benutzer daher vorsichtig sein, Zoom zu verwenden, ohne sich einiger Datenschutzprobleme bewusst zu sein, die dies betreffen. Laut Polonetsky können Sie mit der Standard-Datenschutzrichtlinie von Zoom Daten für gezieltes Marketing freigeben. Und einige der Standardbedingungen des Unternehmens stimmen nicht mit dem amerikanischen Gesetz über Rechte und Datenschutz im Bereich der Familienerziehung (FERPA) überein, zusätzlich zu anderen Regeln zum Schutz personenbezogener Daten (wir können die DSGVO angeben) (13). "

Wir berichten auch über den Phishing-Angriff auf die Webex-Plattform von Cisco (14), um Hinweise auf die zu treffenden Vorsichtsmaßnahmen zu erhalten und die Schüler auf die Risiken im Zusammenhang mit betrügerischen E-Mails aufmerksam zu machen, die an sie gesendet werden können. In der Tat ist es wichtig, das virtuelle Klassenzimmer vor Hacking-Angriffen zu schützen, die von Personen ausgeführt werden, die das Vertrauen des Empfängers in betrügerische E-Mails gewinnen und es schaffen, die Anmeldeinformationen für den Zugriff darauf zu erhalten und dann störende oder schlechtere Aktionen auszuführen (15).

Schlussfolgerungen

Das Eingreifen des Garantiegebers zum Schutz personenbezogener Daten in Bezug auf die spezifischen Merkmale, die die DAD-Plattformen in Bezug auf den Schutz der Privatsphäre von Minderjährigen (Schülern und Studenten) gewährleisten müssen, hat ausdrücklich darauf hingewiesen, dass ein Datenschutzproblem besteht.

Es ist klar, dass die multidisziplinären Fähigkeiten (16), die erforderlich sind, um festzustellen, ob eine DAD-Plattform das richtige Maß an Privatsphäre garantiert, nicht von einzelnen Lehrern oder einzelnen Schulleitern besessen und daher gefordert werden können.

Insbesondere ist es unwahrscheinlich, dass Lehrer und Schulleiter für diese DAD-Plattformen in der Lage sein werden, ohne Fehler zu riskieren, "standardmäßig die einzigen Dienste zu aktivieren, die für die Schulung unbedingt erforderlich sind, und sie zu konfigurieren, um die zu verarbeitenden personenbezogenen Daten zu minimieren." , sowohl während der Aktivierung der Dienste als auch während der Nutzung derselben durch Lehrer und Schüler ", wie vom Datenschutzgaranten gefordert.

Aus diesem Grund hoffen wir auf eine Intervention des Ministers, die das Problem klären und es dem Schulpersonal ermöglichen kann, seine Fernunterrichtsaktivitäten mit der erforderlichen Gelassenheit fortzusetzen

Der prof. Fulvio Oscar Benussi, Mitglied der AIDR, ist Lehrer, Trainer und Publizist an einer weiterführenden Schule. Der didaktische Innovationsexperte hielt zahlreiche Reden an italienischen und ausländischen Universitäten. Verschiedene seiner Beiträge, viele davon in Zusammenarbeit mit der Forscherin Annamaria Poli der Universität Mailand, Bicocca, wurden in wissenschaftlichen Fachzeitschriften veröffentlicht.

Note

1. Fernunterricht, im Folgenden DAD
2. Dies ist die Art von Angriff, von der kürzlich angenommen wurde, dass sie die INPS-Site getroffen hat
3. Mit "DSGVO-Verordnung" ist die VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 gemeint. Https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri= CELEX: 32016R0679 & from = it
4. https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9300784
5. Unter Datenverletzung verstehen wir unter italienischer Verletzung personenbezogener Daten die Sicherheitsverletzung, die versehentlich oder rechtswidrig die Zerstörung, den Verlust, die Änderung, die unbefugte Offenlegung oder den Zugriff auf übertragene, gespeicherte oder anderweitig verarbeitete personenbezogene Daten beinhaltet .
6. Siehe Kunst. 32 Absatz 4 der DSGVO
7. Die Daten zum Datenschutz der Schüler können beispielsweise die Liste ihrer E-Mail-Adressen sein.
8. Wir haben verschiedene Plattformen analysiert, einschließlich der unter dem Link https: // www. Education.it/coronavirus/didattica-a-distanza.html gemeldeten
9. "[...] Vor diesem Hintergrund dürfen wir" gewöhnlichen Sterblichen "nur eine IP-Adresse suchen, indem wir allgemeine Informationen zu dem Bereich erhalten, in dem sich die Steuereinheit befindet, mit der die Verbindung verbunden ist. Referenz. Es gibt in der Tat spezielle Werkzeuge, die für diesen Zweck verwendet werden, auch wenn es gut ist, die Straße, die Hausnummer und vielleicht sogar die Telefonnummer und den Vor- und Nachnamen einer Person nicht zu kennen. Dies beeinträchtigt jedoch nicht die Tatsache, dass sie sich als interessant erweisen können. " Von: https://www.aranzulla.it/find-nome-and-address-of-home-a-partire-from-an-ip-address-bufala-966.html Geolocation-Dienst ab der IP-Adresse https://it.geoipview.com/
10. „[…] Obwohl die MAC-Adresse per Software geändert werden kann, handelt es sich um Daten, die von den verschiedenen Netzwerkgeräten fast immer im Klartext übertragen werden. In einer Umfrage aus den USA wird daran erinnert, dass Android-Telefone regelmäßig die MAC-Adressen von in der Nähe erkannten drahtlosen Geräten notieren, indem sie diese an die Server von Google übertragen. Eine ähnliche Vorgehensweise wird von Apple, Microsoft und Skyhook Wireless angewendet, um die geografische Position der Router und Access Points auf der ganzen Welt zu "kartieren". Entnommen aus: https://www.ilsoftware.it/articoli.asp?tag=Dammi-il-tuo-MAC-address-e-ti-diro-dove-ti-trovi_7476
11. Erinnern Sie sich daran, dass der Garant erklärt: "Wenn es jedoch als notwendig erachtet wird, auf komplexere und" generalistische "Plattformen zurückzugreifen, die keine ausschließlich auf den Unterricht ausgerichteten Dienste anbieten, müssen standardmäßig nur die Dienste aktiviert werden, die für die Schulung unbedingt erforderlich sind, und diese konfigurieren." um die zu verarbeitenden personenbezogenen Daten sowohl während der Aktivierung der Dienste als auch während ihrer Nutzung durch Lehrer und Schüler zu minimieren [...] "
12. In Bezug auf ZOOM https://www.ilsole24ore.com/art/non-solo-privacy-zoom-bufera-elon-musk-vieta-l-uso-dipendenti-AD2whdH?utm_medium=FBSole24Ore&utm_source=Facebook#Echobox=1585842151_re_ Siehe auch: https://www.wired.it/internet/web/1/2020/03/zoom-privacy-facebook/?refresh_ce=
13. Mischitelli, Zoom und Houseparty: Alle Datenschutz- und Sicherheitsprobleme der am häufigsten verwendeten Videokonferenz-Apps, https://www.agendadigitale.eu/sicurezza/privacy/zoom-e-houseparty-tutti-i-problemi-privacy-e-security -von-App-to-Video-mehr-gebraucht /
14. Siehe: https://threatpost.com/cisco-critical-update-phishing-webex/154585/
15. Vedere: https://www.corriere.it/scuola/secondaria/20_aprile_01/coronavirus-lezioni-distanza-chi-fa-bullo-commette-reato-pagano-genitori-bbc54664-734c-11ea-bc49-338bb9c7b205.shtml e anche: https://iltirreno.gelocal.it/pisa/cronaca/2020/04/02/news/scuola-lezioni-a-distanza-interrotte-con-video-porno-o-violenti-1.38669535?refresh_ce
16. Für die Durchführung der betreffenden Aktivität sind juristische, IT- und Sprachkenntnisse erforderlich (häufig werden die Haftungsausschlüsse in englischer Sprache verfasst).

Intelligentes Lehren und intelligentes Lernen in Sicherheit