(door Fulvio Oscar Benussi) De prof. Fulvio Oscar Benussi, lid van AIDR, is leraar, trainer en publicist op de middelbare school. Didactische innovatiedeskundige hield tal van toespraken op Italiaanse en buitenlandse universiteiten. Verschillende van zijn bijdragen, veel geschreven in samenwerking met Annamaria Poli-onderzoeker van de Universiteit van Milaan Bicocca, zijn gepubliceerd in wetenschappelijke tijdschriften van het universitaire veld.

De langdurige behoefte aan sociale distantiëring en het daaruit voortvloeiende uitstel van de heropening van scholen impliceert de noodzaak om te gaan met CyberSecurity en de bescherming van de privacy van platforms voor afstandsonderwijs (1). Na een analyse van de kritische vraagstukken van de platforms hopen we op opheldering door de minister.

De inspanningen van leerlingen en studenten, hun families, leraren en schoolleiders en meer in het algemeen van de schooladministratie om de continuïteit van de educatieve dienst te behouden door middel van afstandsonderwijs is prijzenswaardig, maar recente nieuwsberichten suggereren te overwegen met veel aandacht de hele zaak.

Op 9 april vond een hackeraanval plaats op het educatieve platform van Axios (La Repubblica https://www.repubblica.it/cronaca/2020/04/09/news/axios_hacker-253550285/?ref=RHPPLF-BH-I253495487-C8 -P4-S2.5-T1) terwijl er de afgelopen dagen hackeraanvallen op andere educatieve platforms hadden plaatsgevonden. Met de aanslagen werd tijdens de lessen gewelddadig en pornografisch materiaal geïntroduceerd en moesten sommige instellingen de lessen op afstand enkele dagen onderbreken.

Laten we ons dus afvragen wat de school had kunnen doen om deze problemen het hoofd te bieden

Het educatieve platform van Axios is getroffen door een DDoS-hackeraanval die een groot aantal frauduleuze toegangen veroorzaakt. Iets analoog aan dit type aanval (2) werd geleden door die scholen die, zonder zich tot de door de markt aangeboden gratis platforms te wenden, probeerden hun afstandsonderwijs over te brengen door in plaats daarvan te kiezen voor oplossingen die worden aangeboden door de aanbieders van andere digitale schooldiensten. , bijvoorbeeld van elektronische registers, die hun systeem hebben zien zitten en de enorme hoeveelheid gegenereerd digitaal verkeer niet kunnen beheren.

Dit type moeilijkheid werd ook ervaren in de Alpen door onze Franse buren die, om continuïteit te geven aan schoolactiviteiten, het CNED-platform genaamd "Mijn klas thuis" in het hele land en voor elk type school gebruikten. De keuze van het Franse ministerie om dit systeem te gebruiken, stuitte echter op enkele moeilijkheden. Door te veel gelijktijdige verbindingen was de toegang tot de site meerdere keren verzadigd en gecrasht.

In Italië werd, afgezien van de eerder genoemde ervaringen op sommige scholen, besloten niet te vertrouwen op een nationaal institutioneel platform, dat ook niet beschikbaar is en dat ad hoc zou zijn gecreëerd.

In het licht van de uitkomst van de keuze van de Fransen, kunnen we zeggen dat we meer toekomstgericht waren.

Maar elke keuze die afstand doet van het nemen van een weg, leidt ertoe dat we voor het andere alternatief moeten kiezen, en de MIUR heeft ervoor gekozen om de leraren het gebruik van gratis platforms die door de markt worden aangeboden, voor te stellen.

Slim lesgeven en slim leren met gratis platforms

Bij het uitvoeren van onderwijsactiviteiten op afstand met betrekking tot de bescherming van de privacy van leerlingen en studenten, moet worden overwogen:

• De kenmerken van het werkstation van de leraar dat het biedt (zie GDPR-verordening (3));
• Ad hoc training en opdracht voor individuele docenten;
• De indicaties vervat in de Bepaling "Afstandsonderwijs: eerste indicaties (4)" van de Garant voor de bescherming van persoonsgegevens van 26 maart 2020.

De werkplek van de leerkracht moet geschikt zijn om ervoor te zorgen dat "passende technische en organisatorische maatregelen zijn getroffen zodat de verwerking voldoet aan de vereisten van deze verordening" (Ref. Art. 28 lid 4 van de AVG-verordening). Om geen risico op datalekken te lopen (5), zou dit naar onze mening moeten betekenen dat de computer die voor afstandsonderwijs wordt gebruikt, moet worden beschermd door een antivirusprogramma en een firewall. Bovendien mag de docent de pc niet gebruiken, zelfs niet voor zijn eigen persoonlijke activiteiten zoals e-mail, sociale netwerkaccounts, enz. die het binnendringen van malware, spyware, enz. kunnen bevorderen. Bovendien, zelfs als het de ideale oplossing zou zijn, is het niet mogelijk om aan te nemen dat: `` De werkplek wordt ter beschikking gesteld, geïnstalleerd en getest door en ten koste van scholen en onderwijsinstellingen, waarop onderhouds- en beheerkosten zouden worden gedrukt ondersteunende systemen voor werknemers ". Toch zijn dit de contractuele voorwaarden voor telewerken van schoolpersoneel (ART. 139 - regeling telewerken CCNL School 2006-2009) en zelfs als telewerken voor leerkrachten niet geregeld was op het moment van ondertekening van het CCNL, is de nieuwe situatie naar onze mening let op, staat de analogie toe.

Alle bovengenoemde voorwaarden zijn uiteraard onmogelijk in de huidige noodsituaties.

We denken echter dat het nuttig zou zijn om het schoolpersoneel te ontlasten van de verantwoordelijkheden die voortvloeien uit schending van de persoonlijke gegevens van de leerlingen, omdat de leraren werken met pc's die in veel gevallen niet over de bovengenoemde kenmerken beschikken zoals nodig.

In die zin hopen we op een interventie van het ministerie die de zaak kan verhelderen.

Om afstandsonderwijs te geven, hadden leerkrachten een speciale opleiding (6) over privacywetgeving (7) moeten volgen en een specifieke opdrachtbrief van hun schoolmanagers ontvangen met specifieke instructies voor de verwerking van persoonsgegevens op IT-gebied. .

Gezien de grote veranderingen die verband houden met de huidige situatie en de urgentie om de continuïteit van de onderwijsactiviteit te garanderen, lijken er objectieve moeilijkheden te zijn bij de tijdige uitvoering van het bovenstaande.

De indicaties opgenomen in de Bepaling "Afstandsonderwijs: eerste indicaties" van de Garant voor de bescherming van persoonsgegevens van 26 maart 2020 zijn de referentie op basis waarvan we de verschillende DAD-platforms die kunnen worden gebruikt, hebben geanalyseerd.

"De persoonlijke gegevens van minderjarigen" verdienen bovendien specifieke bescherming met betrekking tot hun persoonlijke gegevens, omdat ze zich mogelijk minder bewust zijn van de risico's, gevolgen en vrijwaringsmaatregelen en hun rechten met betrekking tot de verwerking van persoonlijke gegevens " (overweging 38 van de verordening) ".

We zijn uitgegaan van deze overweging van de Garant door te gaan met de verificatie van de DAD-platforms die we hebben geanalyseerd.

Indicaties over de gevolgde procedure om de DAD-platforms te analyseren

We wijzen erop dat de indicaties die we nu zullen illustreren ook kunnen worden opgevolgd door docenten die de naleving van de privacyregels van de DAD-platforms die ze gebruiken of die zich voorbereiden op gebruik willen verifiëren.

Allereerst is het voor de verificatie noodzakelijk om de disclaimers te lezen in de - Privacy - sectie van het platform. We wijzen erop dat u, om ervoor te zorgen dat u het privacybeleid in zijn geheel hebt gelezen, niet tevreden moet zijn met samenvattingen en samenvattingen, maar dat u de volledige versie moet herstellen. De platforms bieden vaak alleen toegang tot de volledige versie door het gebruik van knoppen en links die met een klik kunnen worden geactiveerd.

Opgemerkt moet worden dat wanneer de disclaimer van privacy is geschreven voor meerdere aangeboden diensten of betrekking heeft op zowel gebruikers van de dienst als bedrijfsmedewerkers, het buitengewoon moeilijk is om te begrijpen welke specificaties anderen kunnen betreffen en welke studenten of professoren.

De tweede stap is om de volledige informatie over cookies te lezen om te controleren welke informatie ze verzamelen.

De derde stap is om wat door de leverancier van het DAD-platform wordt aangegeven te vergelijken met de bepalingen van de "Afstandsonderwijs: eerste indicaties". Verstrekking van de Garant voor de bescherming van persoonsgegevens om het gebruik ervan te vermijden, om de DAD uit te voeren, indien het platform overwogen voldoet niet aan de indicaties van de Garant.

Door talrijke DAD-platforms (8) te analyseren, hebben we enkele kritieke problemen geïdentificeerd.

Met betrekking tot de problemen in verband met profilering, stelt de Garant: "Wanneer het echter nodig wordt geacht gebruik te maken van complexere en" generalistische "platforms, die niet uitsluitend op onderwijs gericht zijn, dienen alleen de strikt noodzakelijke diensten standaard te worden geactiveerd training, ze zo te configureren dat de te verwerken persoonsgegevens worden geminimaliseerd, zowel tijdens de activering van de diensten als tijdens het gebruik ervan door leraren en studenten (bijvoorbeeld het vermijden van het gebruik van gegevens over geolocatie, d.w.z. sociale inlogsystemen die, door derden te betrekken, grotere risico's en verantwoordelijkheden met zich meebrengen). "

Met betrekking tot de gegevens met betrekking tot de geolocatie van de gebruiker, kunnen deze gegevens ook worden geïdentificeerd door het IP-adres (9) of het MAC-adres (10) te verkrijgen.

Voor de profilering van de gebruiker (de student) stelt de Garant: "Deze specifieke bescherming moet met name betrekking hebben op het gebruik van dergelijke gegevens voor marketing- of profileringsdoeleinden en, in brede zin, op de gerelateerde verzameling in het kader van dienstverlening aan minderjarigen zelf "

In dit opzicht hebben we op sommige geanalyseerde DAD-platforms niet echt geruststellende indicaties gevonden, bijvoorbeeld:

"We zullen ook redelijke inspanningen leveren om ervoor te zorgen dat we onze producten niet gebruiken om informatie te verzamelen wanneer u websites bezoekt die worden aangeboden door andere bedrijven dan de onze."

"De deactivering van de aangegeven technische cookies [...] kan een correcte navigatie op de site verhinderen en / of de bruikbaarheid ervan beperken (11)"

Voor meer informatie achten wij het ook nuttig enkele artikelen (12) aan te wijzen waarin de kritieke aspecten worden benadrukt van DAD-platforms die docenten hebben gebruikt en die in veel gevallen nog steeds worden gebruikt.

Van het ZOOM-platform zegt Jules Polonetsky, CEO van het Future of Privacy Forum, “dat de servicevoorwaarden van Zoom enkele clausules bevatten die de privacy van gebruikers kunnen schenden. Dus, zoals bij alle producten, moeten gebruikers voorzichtig zijn met het gebruik van Zoom zonder zich bewust te zijn van enkele privacyproblemen die hen aanbelangen. Always Polonetsky zegt dat met het standaard privacybeleid van Zoom u gegevens kunt delen voor gerichte marketing. En sommige standaardvoorwaarden van het bedrijf zijn niet in overeenstemming met de American Family Educational Rights and Privacy Act, of FERPA, naast andere regels voor de bescherming van persoonsgegevens (we kunnen de AVG aangeven) (13). "

We rapporteren ook de phishingaanval op het Webex-platform van Cisco (14), voor indicaties over de te nemen voorzorgsmaatregelen en om studenten bewust te maken van de risico's van frauduleuze e-mails die aan hen kunnen worden bezorgd. Het is in feite belangrijk om het virtuele klaslokaal te beschermen tegen hackaanvallen die worden uitgevoerd door degenen die, door het vertrouwen van de ontvanger te winnen met frauduleuze e-mails, de inloggegevens krijgen om er toegang toe te krijgen en vervolgens verontrustende of slechtere acties te ondernemen (15).

conclusies

De tussenkomst van de Garant voor de bescherming van persoonsgegevens over de specifieke kenmerken die de DAD-platforms moeten garanderen met betrekking tot de bescherming van de privacy van minderjarigen (leerlingen en studenten) heeft expliciet benadrukt dat er sprake is van een privacyprobleem.

Het is duidelijk dat de multidisciplinaire vaardigheden (16) die nodig zijn om te bepalen of een DAD-platform het juiste niveau van privacy garandeert, niet kunnen worden bezeten en daarom worden geëist door individuele leraren of door individuele schoolmanagers.

In het bijzonder is het onwaarschijnlijk dat, voor deze DAD-platforms, leraren en schoolmanagers, zonder het risico te lopen fouten te maken, "standaard de enige diensten die strikt noodzakelijk zijn voor training activeren en configureren om de te verwerken persoonsgegevens tot een minimum te beperken. , zowel tijdens de activering van de diensten als tijdens het gebruik ervan door docenten en studenten "zoals gevraagd door de Privacygarantie.

Daarom hopen we op een tussenkomst van de minister die het probleem kan verhelderen en het schoolpersoneel in staat kan stellen hun afstandsonderwijsactiviteiten met de nodige sereniteit voort te zetten

De prof. Fulvio Oscar Benussi, lid van AIDR, is leraar, trainer en publicist op de middelbare school. Didactische innovatiedeskundige hield tal van toespraken op Italiaanse en buitenlandse universiteiten. Verschillende van zijn bijdragen, veel geschreven in samenwerking met Annamaria Poli-onderzoeker van de Universiteit van Milaan Bicocca, zijn gepubliceerd in wetenschappelijke tijdschriften van het universitaire veld.

Note

1. Afstandsonderwijs, hierna DAD
2. Dit is het type aanval waarvan onlangs is aangenomen dat het de INPS-site heeft geraakt
3. Met "GDPR-verordening" bedoelen we VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016. https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri= CELEX: 32016R0679 & from = it
4. https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9300784
5. Met gegevensinbreuk, in Italiaanse schending van persoonlijke gegevens, bedoelen we de inbreuk op de beveiliging die per ongeluk of onwettig de vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking of toegang tot verzonden, opgeslagen of anderszins verwerkte persoonlijke gegevens met zich meebrengt .
6. Zie art. 32 paragraaf 4 van de AVG
7. De gegevens met betrekking tot de privacy van studenten kunnen bijvoorbeeld de lijst met hun e-mailadressen zijn.
8. We hebben verschillende platforms geanalyseerd, waaronder die vermeld op de link: https: // www. Education.it/coronavirus/didattica-a-distanza.html
9. "[...] Met dit alles in gedachten, is het enige dat wij" gewone stervelingen "mogen doen om een ​​IP-adres te lokaliseren door algemene informatie te verkrijgen over het gebied waarin de regeleenheid waarmee de verbinding is verbonden, aanwezig is. referentie. Er worden in feite speciale hulpmiddelen gebruikt, ook al is het goed om er rekening mee te houden dat ze de straat, het huisnummer en misschien zelfs het telefoonnummer en de naam en achternaam van een persoon niet kennen. Dit neemt echter niet weg dat ze interessant kunnen blijken te zijn. " Van: https://www.aranzulla.it/find-nome-and-address-of-home-a-partire-from-an-ip-address-bufala-966.html Geolocatieservice vanaf het IP-adres https://it.geoipview.com/
10. “[…] Hoewel het MAC-adres kan worden gewijzigd via software, zijn het gegevens die bijna altijd in duidelijke tekst worden verzonden door de verschillende netwerkapparaten. Uit de Verenigde Staten blijkt uit een enquête hoe Android-telefoons regelmatig de MAC-adressen van draadloze apparaten die in de buurt worden gedetecteerd, noteren door ze naar de servers van Google te verzenden. Een soortgelijke praktijk wordt gebruikt door Apple, Microsoft en Skyhook Wireless met als doel de geografische positie van de routers en toegangspunten over de hele wereld in kaart te brengen. ' Genomen uit: https://www.ilsoftware.it/articoli.asp?tag=Dammi-il-tuo-MAC-address-e-ti-diro-dove-ti-trovi_7476
11. Bedenk dat de Garant stelt: "Wanneer het echter nodig wordt geacht gebruik te maken van meer complexe en" generalistische "platforms, die geen diensten aanbieden die uitsluitend zijn gericht op onderwijs, moeten alleen de diensten die strikt noodzakelijk zijn voor opleiding standaard worden geactiveerd, door ze in te stellen in om de te verwerken persoonsgegevens tot een minimum te beperken, zowel tijdens de activering van de diensten als tijdens het gebruik ervan door docenten en studenten [...] "
12. Betreffende ZOOM https://www.ilsole24ore.com/art/non-solo-privacy-zoom-bufera-elon-musk-vieta-l-uso-dipendenti-AD2whdH?utm_medium=FBSole24Ore&utm_source=Facebook#Echobox=1585842151&refresh_ce_ce Zie ook: https://www.wired.it/internet/web/1/2020/03/zoom-privacy-facebook/?refresh_ce=
13. Mischitelli, Zoom en Houseparty: alle privacy- en beveiligingsproblemen van de meest gebruikte apps voor videoconferenties, https://www.agendadigitale.eu/sicurezza/privacy/zoom-e-houseparty-tutti-i-problemi-privacy-e-security -of-app-to-video-langer-gebruikte /
14. Zie: https://threatpost.com/cisco-critical-update-phishing-webex/154585/
15. Vedere: https://www.corriere.it/scuola/secondaria/20_aprile_01/coronavirus-lezioni-distanza-chi-fa-bullo-commette-reato-pagano-genitori-bbc54664-734c-11ea-bc49-338bb9c7b205.shtml e anche: https://iltirreno.gelocal.it/pisa/cronaca/2020/04/02/news/scuola-lezioni-a-distanza-interrotte-con-video-porno-o-violenti-1.38669535?refresh_ce
16. Om de beschouwde activiteit uit te voeren, zijn juridische, IT- en taalvaardigheden vereist (vaak zijn de disclaimers in het Engels geschreven).

Slim lesgeven en slim leren in veiligheid