Wie gaat zijn schoen opeten als Google in augustus daadwerkelijk is gestopt met het toe-eigenen van ALLE metadata (alle gegevens OVER de kinderen dus) die ze nu als hun eigen data beschouwen?
En hoe gaat Google controle op deze nieuwe privacy verklaring en principes toestaan en organiseren?
Sluiten ze zich dan ook aan bij het privacy convenant onderwijs? Wie eet er twee schoenen op als dat in augustus de kers op de taart blijkt te zijn?
Als je een iets lichter verteerbaar product voorstelt durf ik dat zeker wel aan
Big-Tech hoort gewoon niet in het Onderwijs. Dat moet ongedaan gemaakt worden.
Het digitale domein op scholen hoort van NIEMAND te zijn, data-opslag in neutraliteit en op geen enkele manier te ontsluiten. Big-Tech zouden tenminste de 18-jaars grens als morele standaard moeten respecteren.
@G-J Ik ben even los geweest van de discussie hier. Lopen er, al dan niet ondersteund door Sivon, projecten waar basisscholen in kunnen participeren? Beetje ala SimPC? Een linux gebaseerd systeem dat direct op basispoort schakelpunt kan inloggen (met het kind basispoort account dat volledig privé is) en de onderwijs applicaties daar kan gebruiken?
Daar is volgens mij de meeste behoefte aan op basisscholen. Alle extra apps zoals Google erbij aanbiedt als email, chat, meet, office, etc zijn allemaal extra maar vooral NIET noodzakelijk. En al helemaal niet als het niet veilig kan worden gebruikt.
@Dick welkom terug 
Het plan waar aan gewerkt wordt is nog de zelfde link:
Citaat [Overheidsbeleid:] Big Tech in het Onderwijs - 41 van G-J
Wel stuk verder uitgewerkt, maar er is nog geen dienst waar we samen met een school een project mee kunnen draaien.
Basispoort lijkt gehost te worden op Microsoft Azure, dat zou ik proberen te vermijden. Basispoort gebruikt aan de achterkant https://www.eck-id.nl/ om bij uitgevers van lesmethoden te komen. (zie info)
Gelijk met hardware voor scholen aan de gang gaan lijkt me duur en complex, dus in de eerst fase zou ik starten met iets dat in een browser werkt waar je reeds aanwezige computers voor kunt gebruiken. (Al zul je Chromebooks behoorlijk moeten aanpassen om de spy-ware eraf te krijgen)
Een single sign-on oplossing met een ‘eck-id’ om makkelijk bij de lesmethoden van uitgevers te komen is voor PO idd nodig, ik verwacht alleen dat dit veel moeilijker is te realiseren dan een Nextcloud/Moodle/Onlyoffice/BBB omgeving.
Basispoort is dus een oplossing die eigenlijk geen oplossing is?
Is Moodle zo te configureren dat het als portaal voor lesmateriaal van uitgevers kan dienen? Of hoe moet ik dit zien? Ik verwacht binnenkort een gesprek te hebben met een school over het gewenste “online curriculum” dat het klassikaal leren kan ondersteunen. Ik verwacht dat de grootste portie wordt ingenomen door digitaal aanbod van het normale lesprogramma waarvoor ook boeken beschikbaar zijn.
Maar voor sommige lessen zijn misschien wel zinvolle online toevoegingen ontwikkeld. Als deze via ook via Moodle kunnen worden ontsloten dan is basispoort inderdaad niet nodig.
Deze school heeft vorig jaar heel veel Chromebooks aangeschaft, die hebben dus wel een financiële strop aangezien deze weliswaar als Linux machine gebruikt kunnen worden, maar dit niet makkelijk te beheren is. Dus puntje van aandacht is nog wel op welke apparaten kan Moodle dan gebruikt gaan worden? Is een Windows 10 systeem waarvan alle telemetrie is uitgeschakeld, een firewall enkele telemetrie poorten sluit en enkel lokale accounts worden gebruikt geschikt als AVG compliant?
Het plan dat wordt uitgewerkt, wie zijn hier aangesloten? Zijn dit ook opdrachtgevers als schoolbesturen? Is er contact met Sivon?
In hoeverre uitgevers bereidt zijn hierin mee te gaan hangt af van de verdere uitspraken in de zaak Iddink
Wanneer Sanoma/Iddink (o.a. Magister)/Malmberg/The Implementation Group/c.s. de markt gaat regeren en prijsexplosies opkomen dan is er een aanzienlijke kans dat zowel onderwijsinstellingen en andere uitgeverijen die dit niet accepteren andere oplossingen gaan zoeken.
Is een Windows 10 systeem waarvan alle telemetrie is uitgeschakeld: Dit is een eufemisme voor Not going to happen…
Er is een work around mogelijk nl alle toegang tot Microsoft.com voor telemetrie verbieden…, wie gaat alle firewalls bij de mensen thuis herinrichten zodra dit ga gebeuren of is de Laptop op School veilig en thuis vrij om alle data alsnog naar M$FT te sturen.
Voordeel is dan ook dat niet om de zoveel tijd je machine door M$FT gesloopt wordt, of updates midden in een proefwerk worden uitgevoerd oid. Nadeel de beveiliging wordt een dingetje.
Waarom zou Moodle niet op Chromebooks werken? Moodle is een web based omgeving, je hebt dus een browser nodig. Firefox of zo.
Chromium kan een overweging zijn (Chrome zonder google saus), of Chrome + wat privacy uitbreidingen (uMatrix + een default data file die veel blokkeert is een mogelijkheid).
uMatrix zou zo wie zo een zinnige uitbreiding zijn.
Dank. Windows is inderdaad lastig. Is het niks voor Freedom om een knopje “kill Microsoft telemetrics” in de firewall instellingen van de Fritzbox te zetten? Waarna de juiste poorten en ip-adressen worden afgesloten. Ik heb zelf overigens een eigen router, maar ik kom er wel uit denk ik.
Er loopt nog een los onderzoek naar gebruik van de Chromebook in het onderwijs. Daar is nog geen uitkomst. Wat verzamelt Chrome OS als niet is ingelogd (gast account). En is Google is staat genoeg gegevens te verzamelen en met Moodle mee te kijken en alsnog een uniek user ID te maken? Dan kunnen kinderen alsnog geïdentificeerd worden en is de hele exercitie voor niks.
Er is een bedrijf dan oude laptops voorziet van ChromeOS. Zou er vraag zijn naar een bedrijf dat Chromebooks transformeert naar SimPC achtige Linux versie voor kinderen?
Rapportgesprekken via Google Workspace (meet), vanaf het account van de leerkracht naar:
Hoe verhoudt dit zich tot AVG? De metadata geeft informatie prijs over de frequentie en duur van “externe gesprekken”, wat de ouders zullen zijn, wellicht ook al als zodanig geïdentificeerd door Google.
Voor het eenmalig account heb je ook een telefoon nummer moeten invoeren, een mailadres.
Tenzij je burner nummers hebt… best een dingetje. Je moet toch ergens afrekenen wanneer
een simkaart aanschaft. Is een VPN gebruikt, fingerprinting van het canvas van de PC browser?
etc.
Vandaag kondigen Google en Surf/Sivo aan een overkomst te hebben bereikt om de privacy te waarborgen. Ik ben héél benieuwd!
Google bereikt akkoord met onderwijsinstellingen over verkleinen privacyrisico’s
Vanwege de nogal vage formulering van Google Workspace net als de audit op Microsoft ben ik ook benieuwd en wel naar beide. Het is niet echt overtuigend en de afhankelijkheid/compromis bereidheid druipt er werkelijk vanaf.
Zucht, die formulering van de audit bij MS is inderdaad niet heel concreet. De conclussie evenmin 
Grote belangen, weinig ruggengraat
Ondertussen …in Duitsland.
Wordt er gewerkt aan het uitbouwen van het netwerk van open schoolsoftware en slaan schoolgemeenschappen de handen ineen om elkaar te helpen.
Netzwerk Schule.pdf (993,4 KB)
Afgelopen week is er een ICO. blogpost verschenen in het kader van het realiseren van een standaard waarden bij het ontwikkelen en aanbieden van applicaties en tools aan kinderen. Alhoewel de ICO. vanuit de UK opereert en het hun ’ Children’s Code’ is, kunnen we gerust stellen dat de basis een universeel principe zou moeten zijn.
A blog by Michael Murray, ICO’s Head of Regulatory Strategy
28 July 2021
Providing detailed explanations of each standard is one of the ways we’re supporting organisations to conform with the ICO’s Children’s Code.
Our Spotlight blogs are aimed at organisations that are already familiar with the code and the UK General Data Protection Regulation (UK GDPR).
If you’re new to the code and think you may be impacted by it, our Children’s Code video is a good place to start.
Our second post focuses on the standards that compel you to think about what you are doing with children’s data, why you’re doing it, and if it can be justified.
The concept of the best interests of the child comes from the United Nations Convention on the Rights of the Child (UNCRC). Put simply, the best interests of the child are whatever is best for any individual child using your service.
You should consider how your use of children’s data impacts on the range of rights they hold under the UNCRC.
Highlighted here are four general parts of the UNCRC that organisations should be addressing.
Internet society services should avoid default personalised targeting of service features that generate revenue. Think about how you can provide transparent information around how children’s data may be monetised. Personalised advertising should not be on-by-default; should abide by the Committee of Advertising Practice standards; and avoid marketing age-inappropriate or fraudulent products.
On-by-default data sharing with other service users might expose children to risks of violence or abuse. Think about privacy settings – are they set at high privacy by default? Do the children who use your service understand how their information is shared? You need to think about how to ensure children’s personal data doesn’t fall into the wrongs hands.
Think about whether children can find diverse, age-appropriate information as they learn and grow and how they can find it. Online services should not serve personalised news and information that exposes children to information not in their best interests. For example disinformation or content that may be harmful to their health.
This may be as simple as using data analytics to improve gameplay functions or the safe functioning of connected toys or devices. That might mean using children’s personal data to improve their user experience, making it more enjoyable or easier to use.
You must also think about a child’s freedom to join or leave online groups. You should provide clear privacy notices that children can understand and give them control over who they can share information with.
To conform with the detrimental use standard, you must comply with the requirements laid out in the UK GDPR, but also conform with industry codes of practice, other regulatory provisions, or Government advice. Keeping up to date with the relevant guidance for your industry or sector is a good starting point. The ICO has guidance on the relevant provisions that you should consider before marketing, broadcasting, gaming and news publication for children.
We will refer to other codes of practice, such as the Advertising Standards Agency’s CAP code or the Office of Fair Trading’s Principles for online and app based games, or regulatory advice where relevant to help us assess your conformance to this standard.
You must also consider the obligations defined in relevant provisions, and the potential risks and detriment to children, in your DPIA, as set out in our previous blog.
You must be clear about the purposes for which you collect personal data; collect the minimum amount of data you need for those purposes; and store that data for the minimum amount of time.
You need to differentiate between each individual element of your service and consider what personal data is needed to deliver each element and for how long.
Children should be given as much choice as possible over which elements of your service they wish to use and how much personal data they need to provide. Avoid using data beyond its original function, or gathering more data than is necessary to perform this function.
This is particularly important if you are using personal data to ‘improve’ ‘enhance’ or ‘personalise’ your users’ online experience beyond the provision of your core service.
Working through these three standards is a fundamental step towards understanding your responsibilities to children when it comes to handling their personal data online.
There’s much more detail in our dedicated guidance.
Our next blog post will cover transparency, parental controls and online tools.
Michael Murray is the Head of Regulatory Strategy at the ICO.
De Nederlandse variant is ontwikkeling (Waag):
UPDATE
Privacy Company heeft een update van het DPIA rapport gepubliceerd voor Google Workspace for Education, eveneens terug te vinden in de instructies van Kennisnet/SIVON voor scholen.
De schoolbesturen moeten nog wel expliciet akkoord gaan met de gewijzigde voorwaarden en de afweging maken ten aanzien van de eigen schoolspecifieke DPIA. Lastige beslissingen zo in de vakantie, met de rug tegen de muur en commerciele/budgettaire belangen en afhankelijkheden.
“De AVG schrijft echter voor dat elke onderwijsinstelling zelf een eigen risicoafweging moeten maken. Dit heeft niet alleen te maken met de formele verantwoordelijkheid van het schoolbestuur, maar ook met de specifieke manier waarop Google Workspace for Education binnen uw organisatie wordt ingezet en de maatregelen die daarbij zijn genomen.”
https://www.sivon.nl/actueel/veelgestelde-vragen-dpia-google-en-het-ap-advies-over-google-workspace/
Wie moet de nieuwe overeenkomst ondertekenen?
“De overeenkomst wordt door de onderwijsinstelling geaccepteerd door op de link te klikken. Omdat het gaat over het accepteren van de nieuwe voorwaarden met Google, moet het bevoegd gezag – de bestuurder of het college van bestuur – akkoord geven op het accepteren van deze voorwaarden. De persoon die op de link klikt, moet dus het mandaat hebben de voorwaarden te accepteren.”
Waar staat de overeenkomst met Google?
“De overeenkomst staat niet online. U ontvangt de overeenkomst op het e-mailadres van de beheerder van uw Workspace account.”
“Google blijft zichzelf zien als verwerkingsverantwoordelijke van sommige verzamelde data in plaats van verwerker. Dit betekent dat Google vindt dat zij mogen bepalen voor welk doel zij deze metadata verzamelen en op welke manier dat gebeurt. Google is hier onvoldoende transparant over. Daardoor hebben onderwijsinstellingen die Google Workspace gebruiken, geen of onvoldoende controle op het gebruik van deze data door Google.”
UPDATE: Google workspace for Education
Google gaat dus meer transparant zijn over de verzamelde gegevens en zelfs een aparte versie van Chrome OS voor het Onderwijs maken, als we hun toezegging mogen geloven. De belangrijkste wijziging ten opzichte van de eerdere beloften is dat Google niet langer als gegevensverantwoordelijke optreedt, maar fungeert als gegevensverwerker voor de basiselementen van Google Workspace for Education. Er wordt gewerkt aan een ‘Verwerkersversie’.
Wel zou zij gegevensverantwoordelijke blijven voor de ‘additionele services’. Dit zou betekenen dat wanneer kinderen Google’s zoekfunctie gebruiken, zij automatisch uitloggen uit hun Google account, waardoor de zoekopdrachten niet gekoppeld worden aan de zoekopdrachten en daardoor niet voor gepersonaliseerde advertenties advertenties maar wel voor commerciële doeleinden.
We weten dat het belang van Google niet bepaald afhangt van de verkoopprijs van de Chromebooks, nu dus ook niet meer van de gepersonaliseerde advertenties via Google Workspace Educational. De waarde voor Google lijkt in ieder geval dusdanig hoog dat ze deze prijs wel te willen betalen/beloven.
In de vorm van een ‘Q&A’ wordt er door SLM een soort van verantwoording afgelegd voor de inkoop en het gebruik van Big Tech.