Home » Artikelen » Een vechtpartijtje in de zandbak kan je tot het hbo blijven achtervolgen

"Een vechtpartijtje in de zandbak kan je tot het HBO blijven achtervolgen."

Door:

Justine Pardoen

In Almere wisselen scholen leerling-gegevens uit via het Internet. Dat lijkt handig, maar is het wel verantwoord? Ouders Online maakt zich zorgen.

Op 24 augustus 2004 meldt zich een klokkenluider op het Forum van Ouders Online. Hij/zij vertelt dat de gemeente Almere voortvarend bezig is met een project waarbij allerlei gegevens van basisschool-leerlingen in een digitaal bestand worden verzameld. Dat is erg handig, want zo kunnen de middelbare scholen waar de kinderen worden aangemeld voor vervolgonderwijs deze gegevens online bekijken. Het versturen van papieren formulieren is hiermee verleden tijd.

De klokkenluider vertelt: "De bedoeling is dat de doorstroom van basisschool naar voortgezet onderwijs administratief vereenvoudigd wordt en dat alle 'relevante informatie' over kinderen overgedragen wordt aan de nieuwe mentor. Die informatie bestaat niet alleen uit Cito-scores en andere toetsgegevens, maar ook uit opmerkingen over de sociaal-emotionele ontwikkeling van het kind, de echtscheiding van de ouders, ruzietjes, druk gedrag, blauwe plekken of een bleek smoeltje.

De scholen vinden het een groot voordeel dat het kind daarmee gedurende de hele schoolloopbaan gevolgd kan worden. Niet alleen wat de leerprestaties betreft, maar ook wat betreft de 'problemen'. Drama's zoals in Roermond (kinderen uit een probleemgezin komen om door brandstichting) of van het meisje van Nulde (niemand had het kind gemist) zouden daarmee voorkomen moeten worden. Dankzij het dossier denkt 'men' tijdig in te kunnen grijpen."

Klopt dit? Ja, het klopt. Zo gaat het in Almere. Jaren geleden hebben basisscholen en scholen voor voortgezet onderwijs al een standaardformulier in gebruik genomen, waarop allerlei gegevens over de kinderen uit groep 8 verzameld worden voor doorgifte aan de middelbare school.

Geel formulier en oranje boekje

Dit standaardformulier staat bekend als 'het gele formulier'. Bij leerlingen waar iets mee aan de hand is, vult de basisschool daarnaast nog een 'oranje boekje' in, met een uitvoerige toelichting.

Beide documenten worden sinds vorig jaar digitaal verwerkt via Digidoor. Dat is een online database waar basisscholen en scholen van voortgezet onderwijs toegang toe hebben.

Erich van de Heuvel is projectleider van Digidoor. Hij is trots op zijn project: op twee basisscholen na hebben alle scholen uit Almere eraan meegewerkt. Het project is nooit aangemeld bij het College Bescherming Persoonsgegevens (CBP), omdat het gaat om het onderwijskundig rapport. Dat soort informatie is noodzakelijk voor het geven van goed onderwijs en daarom mogen scholen het gewoon uitwisselen, meent van de Heuvel.

Wet Bescherming Persoonsgegevens

De Wet Bescherming Persoonsgegevens stelt echter wel regels aan het verzamelen van persoonsgegevens, ook als het gaat om het onderwijs. Een van die regels is dat ouders op de hoogte gebracht moeten worden van datgene wat scholen doen.

Scholen en gemeentes kunnen niet zomaar aan de slag. Ze hoeven weliswaar niet voor álles toestemming te vragen aan de ouders, maar voor veel ook wel. De basisschool is in ieder geval wettelijk verplicht om ouders te vertellen welke gegevens de school verzamelt en waarom, en welke gegevens worden doorgegeven aan de school van het voortgezet onderwijs.

Rechten van ouders

Weten ouders wat hun rechten zijn? Nee, over het algemeen weten ouders dit niet en ze vragen er ook niet naar.

Mr. P. Bunt van het College Bescherming Persoonsgegevens (CBP): "Scholen moeten ouders inderdaad informeren, maar tegelijkertijd moeten ouders ook wel interesse tonen in wat de scholen doen. Misschien was dat tot nu toe té weinig het geval, waardoor het voor scholen ook wel heel gemakkelijk was om veel te doen zonder dat aan de ouders te vertellen. En als ouders nu ineens vragen gaan stellen over die gegevensverzamelingen, dan wordt dat vrijwel onmiddellijk als kritiek ervaren. Dat moet natuurlijk veranderen. Scholen moeten eraan wennen dat het heel normaal is dat ouders een partij zijn met rechten, en dat ze op z'n minst op de hoogte gebracht worden van de gegevensverzameling en de doorgifte daarvan."

De klokkenluider vervolgt: "Die digitale dossiers worden gevuld door leerkrachten van de basisschool. Daarbij worden observaties, ideeën over wat er met kinderen aan de hand zou kunnen zijn en allerlei 'relevante' gebeurtenissen opgeschreven. Daarbij worden vage criteria gehanteerd.

Al die opmerkingen en observaties worden in het dossier opgenomen, zodat de vervolgschool weet wat voor vlees ze in de kuip krijgt. En alles met de beste bedoelingen.

Hoe lang die dossiers en opmerkingen bewaard blijven, is onbekend (!). De leerkracht bepaalt welke informatie relevant is en welke niet (!). De dossiers worden opgeslagen in een centrale database, waar de middelbare scholen dan via internet de informatie uit kunnen putten."

Gaat het inderdaad zo? Ja, zo gaat het. We vroegen projectleider Erich van de Heuvel wie er nu eigenlijk verantwoordelijk is voor Digidoor. Wie bepaalt welke gegevens er in het dossier worden opgenomen? Bij wie kunnen ouders terecht als ze vragen hebben? En wie is er aanspreekbaar als er iets mis gaat?

Projectleider van de Heuvel kan het niet zeggen. Het directeuren-overleg van de scholen voor voortgezet onderwijs in Almere (Dovoa) was de opdrachtgever, Van de Heuvel – ICT-docent op het Oostvaarders College – heeft het concept bedacht, en een paar studenten van de Hogeschool van Amsterdam hebben het uitgevoerd. Maar verantwoordelijk in de zin van de wet (WBP)? Niemand.

De klokkenluider: "De gemeente zal ook gebruik gaan maken van deze database, onder andere (!) voor in- en uitstroomgegevens en controle op naleving van de leerplicht.

De gemeente zal ook gegevens aanleveren, zoals adresgegevens en geboortedata.

Er is ook sprake van mogelijke uitwisseling met instellingen voor kinderen met leer-en opvoedingsproblemen en van doorgifte van de dossiers naar mbo- en hbo-scholen (!). Een vechtpartij in de zandbak kan je dus nu tot op het hbo blijven achtervolgen."

Klopt dat? Ja, de gemeente kan bijna niet wachten. Wethouder Johanna Haanstra (Onderwijs en Zorg) juicht gegevensuitwisseling tussen allerlei instanties rondom het kind enorm toe, verklaart haar beleidsadviseur Marcel Schaafsma: "De wethouder vindt het heel belangrijk om informatie-uitwisseling zo te organiseren dat iedereen in de hele zorgketen op het juiste moment over alle informatie kan beschikken die nodig is. Als je een betere koppeling tussen gegevens kunt maken, is dat in het belang van het kind. Denk maar aan het meisje van Nulde."

"Alle mensen in dit hele proces doen dit met de beste bedoelingen", benadrukt adviseur Schaafsma. "Ook wij vinden dat wetgeving soms heel belemmerend werkt. En u bekijkt het zo negatief. Het is toch allemaal in het belang van het kind?"

De klokkenluider: "Voor de privacy zal er een protocol worden gemaakt. Dat is er nu dus nog niet. Wat de invloed van ouders en kinderen is op de dossiervorming, is nog niet bekend, hoewel het systeem al wel in gebruik is genomen. De betrokken beleidsmedewerkers vinden dat er weinig principieel verschil is tussen de oude papieren dossieroverdracht en het nieuwe digitale dossier.

Beiden kunnen immers dezelfde informatie bevatten. Dat die informatie veel sneller en voor veel meer partijen opvraagbaar is, is alleen maar handig. Men vindt dat de privacy wel heel belangrijk is, maar er zijn nog geen procedures voor bedacht. Ik vind dat nogal zorgwekkend."

Is er inderdaad nog niets vastgelegd tussen de betrokken partijen? Is er geen overeenkomst tussen de bewerker en de verantwoordelijke? Is er geen protocol dat de privacy beschermt? Nee, er is helemaal niets.

Digidoor-projectleider Van de Heuvel moet toegeven dat daarover eigenlijk nog helemaal niet is nagedacht. In het hele proces is niemand die in de gaten houdt of de grenzen van de privacy-wet (WBP) niet overschreden worden. Van de Heuvel: "Het is niets anders dan wat we al jaren deden via het gele formulier". Dat kregen ouders ook niet te zien overigens.

Laten we nou praktisch blijven

Formeel moet er een overeenkomst worden opgesteld tussen de basisscholen en de scholen voor voortgezet onderwijs, waarin de taken en verantwoordelijkheden geregeld zouden moeten worden. Maar die overeenkomst is er niet.

Van de Heuvel: "Dat zal wel zo zijn, maar laten we nou praktisch blijven. Als we alles volgens de regeltjes moeten doen, komt er nooit iets van de grond."

Uitdraai vragen

Kunnen ouders de dossiers van hun kinderen inzien? Van de Heuvel denkt dat ouders aan de basisscholen kunnen vragen om een uitdraai te maken van het dossier.

Dat kan. Maar de basisscholen kunnen het dossier niet zelf verwijderen als een ouder daarom zou vragen, of als de wet het zou vereisen. Daarvoor moeten ze weer bij het voortgezet onderwijs zijn. Maar daar hebben ze nu juist weer geen bevoegdheid om iets in het dossier te wijzigen.

Wie heeft er iets te zeggen over die gegevensverzameling? Wie controleert dat deze dossiers – zoals de wet voorschrijft – verwijderd worden, twee jaar nadat een kind de basisschool heeft verlaten? Van de Heuvel: "Oh, moet dat dan?"

De klokkenluider: "Het systeem is eerst ontwikkeld en geïmplementeerd, en nu pas is men bezig te bedenken wie welke informatie mag krijgen, en hoe de procedures ingericht moeten worden. Dat wekt weinig vertrouwen in de bescherming van de persoonsgegevens.

Iedereen die de digitalisering van informatie een beetje heeft gevolgd, weet dat digitale informatie een stuk makkelijker en sneller uitgewisseld wordt dan papieren. Bovendien zijn mensen niet geneigd zich in te houden bij het bepalen van welke informatie potentieel relevant is of niet. Als er een database is, komt-ie wel vol ook."

Grassroots

Andere Forum-deelnemers reageerden onmiddellijk op het bericht van de klokkenluider. Ze gingen zelfstandig op zoek naar meer informatie en hielden elkaar op de hoogte via het Forum. Vragen aan het directeuren-overleg (Dovoa) of aan de Almeerse wethouder van Onderwijs werden echter niet beantwoord, zo meldden de grassroots-onderzoekers van het Forum.

Uiteindelijk lukte het de verontruste Forum-ouders om een gesprek aan te vragen met de projectleider van Digidoor. Dat gesprek vond plaats op 7 september 2004. Maar toen ze na een langdurig en moeizaam overleg weer buiten stonden, was nóg steeds niet duidelijk wie er nu aanspreekbaar is voor datgene wat er in Almere gebeurt.

Niet veilig, maar niet onveilig

Ondertussen is ook duidelijk geworden dat ook de technische beveiliging van Digidoor niet op orde is. Fred Leeflang, een van de verontruste ouders, is IT-specialist met kennis van systeembeveiliging. Leeflang heeft aangeboden om gratis een risico-analyse te maken en advies uit te brengen aan de makers van Digidoor over de beveiliging, maar tot nu toe is dat aanbod nog niet aangenomen.

Projectleider van de Heuvel blijkt zelf ook niet helemaal tevreden over de veiligheid: "Zoiets is een proces. De applicatie is ontwikkeld door studenten. Als we dit door professionals hadden laten bouwen, was het onbetaalbaar geweest. De website is dan wel niet veilig genoeg, maar dat betekent nog niet dat hij onveilig is."

CBP-dossier

Lange tijd horen de ouders niets meer op hun mail. Niemand geeft antwoord op hun vragen. Miriam Lavell, een van de verontruste ouders, heeft het CBP (College Bescherming Persoonsgegevens) om hulp gevraagd: wat te doen? Het CBP heeft er inmiddels een dossier van gemaakt.

Op 14 september laat Jenneke Peek, voorzitter van het directeuren-verleg Dovoa, iets van zich horen: "Uiteraard voelen wij ons betrokken bij de aandachtspunten die u aan de orde stelt." De initiatiefnemers van Digidoor blijken niet stil te hebben gezeten. Wakker geschud door de goed gedocumenteerde kritiek van de ouders, hebben ze afgelopen donderdag (16 september) het Bestuurs-Managersoverleg Almere – BMA – bijeen geroepen om over de kwestie te vergaderen. Projectleider Van de Heuvel heeft ondertussen opdracht gekregen om op papier te zetten waar die ouders het nu eigenlijk over hebben en of dat enig hout snijdt.

De dag daarop, op vrijdag 17 september, liet Chris Kool – voorzitter van het BMA – weten dat besloten is dat het BMA zich vanaf nu zal opstellen als verantwoordelijke in de zin van de Wet bescherming Persoonsgegevens. Ouders met vragen over bescherming van de persoonsgegevens, of ouders die willen klagen, moeten dus bij het BMA wezen. Miriam Lavell overweegt intussen om van haar vraag aan het CBP een klacht te maken.

Vroeger nog veel erger

Chris Kool, de voorzitter van het BMA, dat nu officieel verantwoordelijk is gemaakt: "U moet weten dat onze motivatie om te verbeteren heel erg groot is. Bedenk wel, dat het vroeger nog veel erger was. Scholen wisselden toen van alles gewoon mondeling uit. U wilt helemaal niet wéten om wat voor informatie dat toen ging. Wat dat betreft zijn we er eigenlijk op achteruit gegaan met deze digitalisering: de dossiers bevatten nu veel minder informatie dan we vroeger kregen."

Het BMA heeft de kwestie dus op de agenda. Zowel de privacy als de beveiliging waren tot nu toe niet goed geregeld bij Digidoor. Kool: "Maar de actie van de ouders heeft tot gevolg gehad dat we daar nu wel mee aan de slag gaan." Het kostte weinig moeite om te constateren dat het proces van gegevensverzameling en -doorgifte getoetst moet worden aan de WBP.

Ook was snel geanalyseerd dat de beveiliging verbeterd kan worden. Kool mailde ons drie punten die aangepakt zouden kunnen worden:

  • A. het installeren van een dedicated server [een server die nergens anders voor wordt gebruikt - red.] en een versleutelde SSL-verbinding;
  • B. het opstellen van convenanten waarin beschreven wordt welke informatie toegankelijk is per rol. Plus: het afsluiten van contracten met de applicatiebeheerders waarin beschreven wordt hoe omgegaan moet worden met de privacy van de gegevens;
  • C. het jaarlijks verplicht wijzigen van het wachtwoord.

"Deze maatregelen zouden al een hele verbetering zijn, maar voorlopig zijn het alleen nog maar voorstellen", zegt IT-er Fred Leeflang. "Eigenlijk hadden ze hiermee moeten beginnen. Maar dan nog... Wie zijn nu eigenlijk die applicatie-beheerders? Zijn er soms nog steeds studenten bezig met het ontwikkelen van Digidoor? Ik heb nog steeds vragen en ik denk ook niet dat bovenstaande maatregelen voldoende zijn. Mijn aanbod om te helpen staat nog steeds."

Justine Pardoen

is hoofdredacteur van Ouders Online.

Reacties

Flanagan

2014; inhoudelijk niets veranderd. Ondertussen is het niet alleen bij Almere gebleven maar meer een landelijk fenomeen. Amsterdam, Haaglanden, Utrecht hanteren ook een electronisch systeem, en de ouders staan nog steeds buiten spel.