Het onderwijs loopt nog steeds aan de leiband van Google
Op 27 juni 2024 heeft de minister aan de Tweede Kamer gemeld dat nu echt alle problemen met Google Workspace in het onderwijs zijn opgelost. Blijkens recent onderzoek (DPIA en DTIA) is er geen sprake meer van hoge risico’s op het gebied van privacy en van internationale gegevensdoorgifte, mits scholen een aantal nieuwe instellingen in de software doorvoeren en er regelmatig wordt gecontroleerd of Google zich aan de gemaakte afspraken houdt.
Alleen in theorie
Maar dit is een schijnoplossing. Juridisch lijkt het misschien te kloppen – op dit moment – maar dat geldt alleen in theorie en alleen binnen de schoolomgeving. Het onderwijs loopt nog steeds aan de leiband van Google. Zolang er niet wordt gekozen voor de ontwikkeling van een eigen digitale infrastructuur, blijven we steeds achter de feiten aanlopen. Nemen we het risico dat de data van onze kinderen toch in vreemde handen komen. Leren we onze leerlingen niet om kritisch te denken en om te gaan met digitale hulpmiddelen.
Gegeven de (gekozen) afhankelijkheid van Big Tech kan alleen via tijdrovende assesments en daadwerkelijke implementatie van technische instructies worden gezorgd voor bescherming van de privacy van de leerlingen. Voor veel scholen is dat te veel gevraagd (kijk alleen al naar hoe scholen omgaan met cookies op hun website). Het gevolg is dat ondanks wetgeving en de kritische beoordeling van de Google-diensten, de digitale veiligheid in de praktijk totaal niet gegarandeerd is. Intussen maakt Google goede sier met de gunstige uitkomsten van de assesments.
Alleen op dit moment
De uitkomsten van DPIA en DTIA gelden alleen voor de huidige functies van Google Workspace.
De ervaring leert dat Google bij de introductie van nieuwe functies deze standaard ‘aan’ zet, vaak zonder de gebruikers te informeren. In feite zou het hele assesment-traject opnieuw moeten worden doorlopen, dat naar verwachting als volgt verloopt:
- Google introduceert een nieuwe functie, ‘privacy-schending-by-design’.
- Er wordt een nieuwe DPIA gedaan waarbij nieuwe risico’s worden geconstateerd.
- Er worden gesprekken gevoerd met Google om tot ‘oplossingen’ te komen.
- Dan wordt een technische handleiding opgesteld waarin staat dat bepaalde (moeilijk te vinden) instellingen aan- of uitgevinkt moeten worden.
Scholen zullen – net als nu – de geadviseerde aanpassingen amper doorvoeren. Er is te veel op het onderwijs bezuinigd, de prioriteiten liggen bij het nog ernstiger geworden lerarentekort, of misschien vindt men de nieuwe functie toch wel erg handig… En Google gaat er met de data vandoor.
Alleen de kerndiensten
De afspraken met Google betreffen alleen de ‘kern’-diensten van Google Workspace. ‘Aanvullende’ diensten zijn bijvoorbeeld Google Zoeken, Google Maps en YouTube. Die werken op basis van toestemming. Op een paar privacy-specialisten na, heeft niemand het onderscheid tussen kern- en aanvullende diensten helder. Google biedt de kern- en aanvullende diensten bovendien door elkaar aan. Menige lesmethode heeft zelfs de aanvullende dienst YouTube ingesloten in het lesmateriaal, inclusief alle advertentietrackers. Het gevolg is dat docenten en leerlingen zonder nadenken toestemming geven en daarmee hun data weggeven. Terwijl bijvoorbeeld OpenStreetMap of PeerTube een veilig alternatief bieden.
Alleen binnen de schoolomgeving
Zelfs al zou de digitale veiligheid binnen de schoolomgeving goed geregeld zijn, dan geldt dat nog niet daarbuiten. De geadviseerde instellingen om op school AVG-compliant met Google te werken, kunnen vaak niet worden toegepast in een privé-account. Erger is dat leerlingen op school niet leren om kritisch te kijken naar digitale hulpmiddelen en de voorwaarden waaronder zij die gebruiken. Integendeel, het lijkt voor hen ‘normaal’ om klakkeloos toestemming te geven voor gebruik van hun data en zij zullen dat ook doen buiten de schoolomgeving. Commerciële partijen kunnen hiermee persoonsprofielen opbouwen voor gerichte advertenties, het trainen van AI-algoritmen en het ‘personaliseren’ van diensten.
Aan de leiband van Google
Het is inmiddels 6 jaar geleden dat de AVG van toepassing werd voor de hele Europese Unie. Hoewel Google de juridische kennis en technisch capaciteit heeft om op dag één aan de wet te voldoen, lijkt ze er vooral op gericht om zoveel mogelijk tijd te rekken. Zo kunnen intussen de kostbare data worden verzameld, die het bedrijf helpen hun diensten te verbeteren en nog meer geld te verdienen. Het onderwijs worstelt al die tijd met de opdracht om deze gigant te controleren en te corrigeren op onwetmatig gebruik van persoonlijke data. Een eindeloze en ongelijke strijd.
Alternatief
Eerder hebben we een pleidooi gehouden voor een alternatief digitaal leersysteem, met als belangrijkste kenmerken: opensource software, privacy-by-design, (lokale) gegevensverwerking in Nederland of de EER. Daarmee nemen we het heft in eigen handen en maken we ons niet meer afhankelijk van Big Tech. Laten we leerlingen van kleins af aan leren om met opensource software te werken, zodat ze wèl zelf zeggenschap over hun data behouden. Dan vervullen scholen ook hun kerntaak: leerlingen voorbereiden op een leven als zelfstandige kritisch-denkende burger, in plaats van een klikkende cloud consument. Bovendien ontwikkelen we zodoende de benodigde competenties, die op lange termijn voor een bloeiende lokale IT-sector zorgen en behouden we onze autonomie en concurrentiepositie tegenover de USA en China.
Lees ook:
Dat SURF en SIVON zich lenen om dit circus van schijnzekerheid in stand te houden en (de betrokken medewerkers in ieder geval) er ook nog trots op zijn, vind ik nog het meest onbegrijpelijke. Klein landje, groot in domme daden: geen afdwinger van betere privacyvoorwaarden, maar instrument om illegale praktijken in stand te houden door continu een “ze doen hun best EU-keurmerkje” te verstrekken. Dat de Nederlandse inspanningen op privacy-gebied tot een ander businessmodel van Bigtech, zoals het New York Times artikel suggereert, betwijfel ik. In ieder geval mag het geen reden zijn om hele generaties leerlingen, onderwijspersoneel en ouders nog langer aan dit circus bloot te blijven stellen.
Dat ‘alles goed is’ als de digibete leraar maar netjes de nieuwe instellingen doorvoert, gaat voorbij aan de vragen die eigenlijk gesteld zouden moeten worden. Scholen zijn juist Google verslaafd, omdat ze moeite hebben met het uitvoeren van complexe technische instructies, wat de effectiviteit van deze oplossingen in de praktijk sowieso beperkt. Wat niemand vraagt is wat de lange-termijn impact van deze afhankelijkheid is op de autonomie van ons onderwijs en de ontwikkeling van eigen lesmateriaal? Wat zijn de specifieke juridische risico’s bij de voortdurende samenwerking met partijen als Google, vooral bij de introductie van nieuwe functies? Het is heel gewoon dat cloudleveranciers nieuwe functies aanzetten, zonder voldoende gebruikersinformatie (wie leest überhaupt de kleine lettertjes?) Technisch zou per nieuwe functie een nieuwe DPIA moeten worden doorlopen. Succes met alle updates. Wie bepaalt eigenlijk wat onze leerlingen mogen gebruiken? Hoe meet je standaardisatie als de ene school ‘autonoom en privacy vriendelijke Open Source’ kiest en de andere school ‘Google’? Veel belangrijker is om te onderzoeken hoe onderwijs kan bijdragen aan de digitale geletterdheid en kritische denkvaardigheden van leerlingen. Scholen moeten leerlingen leren kritisch om te gaan met digitale hulpmiddelen en privacy-instellingen, zowel binnen als buiten de schoolomgeving. Is het dan niet beter om vast te kunnen stellen dat de stof ook daadwerkelijk begrepen is? Als dat zo is, moet dan niet veel meer aandacht worden gegeven aan verifieerbare claims op credentials, dan op ‘privacy’? Wat heb je aan privacy als voor het buitenland precies duidelijk is welke studenten om welke redenen de meest relevante kennis hebben? In onze vergrijzende westerse wereld heerst een veldslag om talent. Ons vrije verkeer van goederen en diensten, betekent ook het vrije verkeer van onze kenniswerkers … die we straks zelf niet eens kennen.
Dat Classroom, Meet en Teams lekker gebruiksvriendelijk en schaalbaar zijn, gaat samen met de mogelijkheid van geavanceerde data-analyse om gepersonaliseerde leertrajecten te creëren en biedt dashboards en rapportagetools voor docenten. We leven in een tijd van blended learning modellen, dus WAAR je les neemt is minstens zo belangrijk als DAT je lees neemt. AI en machine learning worden steeds vaker geïntegreerd in educatieve tools voor adaptief leren en persoonlijke begeleiding. Ook gamificatie vervloeit meer en meer met de leerervaring, met alle mogelijkheden om je reactiesnelheid, aandachtscurve, probleemoplossend vermogen en prioritering van hoofd- en bijzaken te meten. Nog los van je biometrie, sociometrie en psychometrie. (wie je bent, wie je kent en hoe jij je voelt) De tijd van massa educatie is sowieso voorbij. Microlearning modules winnen aan populariteit vanwege hun korte en gefocuste leerervaringen, maar alleen een computer weet dan nog wat je gevolgd hebt en hoe je scoort. Privacy is nog het minste zorgpunt.