- Uitleg
- |
- Informatiebeveiliging en privacy
- |
- po
- vo
- mbo
Schaduw-ict op school: de IBP-uitdagingen van ChatGPT
ChatGPT en andere generatieve-AI-tools stellen het onderwijs voor een flinke uitdaging. Welke plaats hebben deze tools in de les, of in de schoolorganisatie? Past de inzet ervan binnen de regels voor informatiebeveiliging en privacy (IBP)? Omdat de technologie nog nieuw is, gebeurt de inzet vaak in de vorm van schaduw-ict: experimenteel, buiten het zicht van de ict-afdeling en de IBP’er. Toch blijft het bevoegd gezag verantwoordelijk voor de inzet van zulke software, ook als er dingen misgaan. Hoe houd je grip op schaduw-ict in je school en wanneer medewerkers op eigen houtje gaan experimenteren?
Door Pi Rogaar
Als een school software gaat gebruiken, gaan daar normaal gesproken wat stappen aan vooraf. De ict-afdeling brengt behoeften van gebruikers en de organisatie in kaart, en vergelijkt verschillende leveranciers. Er volgt een inkooptraject, met onderhandelingen over prijs en voorwaarden. Tot slot neemt de school de software in gebruik. Als het nodig is, traint de organisatie medewerkers in het gebruik, of stelt regels voor de inzet van de software.
Maar soms besluiten medewerkers ook zelf om tools te gaan gebruiken. Op internet zijn er veel gratis tools en diensten beschikbaar, die medewerkers voor uiteenlopende doelen kunnen inzetten. Vaak zit er onder deze gratis software alsnog een verdienmodel, dat lang niet altijd duidelijk is voor de gebruiker.
Als medewerkers zulke gratis tools buiten de reguliere processen van de school om inzetten, spreken we van schaduw-ict (shadow IT). Schaduw-ict komt in veel sectoren voor. Maar omdat leraren in het onderwijs veel autonomie hebben, kunnen ze relatief gemakkelijk gebruikmaken van schaduw-ict voor hun lessen.
Opkomst van schaduw-ict in het onderwijs
Het is voor medewerkers aantrekkelijk om tools te gebruiken buiten de reguliere processen om. Ze hoeven dan immers niemand te overtuigen en er is geen lang inkoopproces voor nodig. Ook kunnen ze de tool kiezen die precies bij hun behoefte past.
Dit is geen nieuw risico, maar de breedte van beschikbare tools groeit wel. Voorbeelden van toepassingen die vaak voorkomen als schaduw-ict zijn generatieve-AI-tools, VR-brillen en TikTok. Het gaat vaak om tools die veel functionaliteit bieden, maar waarvan de gebruiksvoorwaarden nog ter discussie staan.
Het risico op schaduw-ict groeit, omdat zulke tools steeds aantrekkelijkere functionaliteit voor gebruikers bevatten. Deze tools gaan steeds gevoeligere (persoons)gegevens verwerken. Ook zijn de gebruiksvoorwaarden van zulke tools vaak niet transparant. Dat maakt dat de kans op problemen met schaduw-ict toeneemt.
Wat zijn de risico’s van schaduw-ict?
Als een medewerker van de school tools gebruikt die niet via de reguliere processen zijn goedgekeurd, kan dat problemen opleveren voor de school. De school overtreedt hiermee waarschijnlijk regels over informatiebeveiliging en privacy. En omdat de school geen grip meer heeft op de informatie, kan deze gemakkelijk lekken of op andere manieren misbruikt worden. Dat kan ernstige gevolgen hebben voor leerlingen, collega’s en de medewerker zelf.
Op juridisch vlak kan het gebruik van schaduw-ict op verschillende manieren tot problemen leiden. Zo kan de leverancier van de tool gegevens op oneigenlijke manieren hergebruiken, waardoor privacy- of auteursrecht wordt geschonden. Ook kunnen de gegevens buiten de invloed van de school belanden. De school kan zo zijn verantwoordelijkheid tegenover leerlingen en medewerkers, en zijn verplichtingen vanuit de AVG niet vervullen.
Veel leveranciers van gratis tools hebben hun informatiebeveiliging niet op orde. Daardoor kunnen gegevens van leerlingen of medewerkers op straat komen te liggen. Zie ook het ‘Dreigingsbeeld Funderend Onderwijs 2023’, dat datalekken een belangrijke dreiging noemt. Ook kunnen gegevens te wijzigen zijn voor mensen die dat niet horen te kunnen, of onverhoopt onbeschikbaar blijken, bijvoorbeeld als een tool ophoudt te bestaan.
Naar het Dreigingsbeeld Funderend OnderwijsWat adviseert Kennisnet?
Kennisnet adviseert om schaduw-ict te verbieden in het IBP-beleid, te toetsen welke gratis tools er onder voorwaarden wel gebruikt mogen worden, en pragmatisch om te springen met gevallen waarin er toch schaduw-ict opduikt. Als je schaduw-ict alleen maar verbiedt, is dat waarschijnlijk niet zo effectief. Medewerkers hebben veel ruimte om de regels te omzeilen, waardoor ze gemakkelijk alsnog met de verboden tools aan de slag kunnen.
Verbied schaduw-ict in IBP-beleid
Het uitgangspunt is dat het verboden is om tools buiten de reguliere processen om te gebruiken. Maak dat duidelijk voor medewerkers met helder beleid, waarin je ook uitlegt waarom het een probleem is. Zo maak je de risico’s inzichtelijk voor medewerkers.
Sta gebruik gratis tools onder voorwaarden toe
Sommige gratis tools zijn onder voorwaarden alsnog veilig te gebruiken. Je kunt er dan bijvoorbeeld geen persoonsgegevens in verwerken, maar wel openbare informatie. Richt een proces in om populaire gratis tools te toetsen, zodat je medewerkers de ruimte kunt geven om die te gebruiken wanneer dat veilig kan. Welke aanvullende maatregelen daarvoor nodig zijn, zal afhangen van de specifieke toepassing. Informeer je medewerkers over welke gratis tools er onder welke voorwaarden alsnog bruikbaar zijn.
Ga in gesprek als je toch schaduw-ict ontdekt
Schaduw-ict vormt een risico, maar ook een kans. Ontdek je toch nog schaduw-ict in je organisatie, beëindig dan het gebruik ervan maar voer ook het goede gesprek met de betrokken medewerkers. Hun doel is immers om goed onderwijs te bieden, niet om de regels te overtreden. Wat maakte dat ze hiervoor kozen? Wat kan er beter in de organisatie of de ict, zodat ze hier niet voor zouden kiezen? Zo is een incident vooral een mooie aanleiding om de organisatie te verbeteren. Pas als een medewerker herhaaldelijk in de fout gaat, is het zinnig om na te denken over sancties.
In de praktijk: ChatGPT en generatieve-AI-tools
Generatieve-AI-tools zoals ChatGPT zijn toepassingen waarbij scholen vaak zullen willen zoeken naar ruimte om ze toch te gebruiken. De technologie is nog nieuw, waardoor men wil experimenteren en onderzoeken welke waarde deze toepassingen voor het onderwijs hebben. Volledig verbieden is dan waarschijnlijk niet de beste optie. Het kan dan helpen om specifieke instructies te geven over hoe je deze tools IBP-verantwoord kunt gebruiken, zoals:
- Stop nooit persoonsgegevens, vertrouwelijke informatie of auteursrechtelijk beschermd materiaal in de tool.
- Wees transparant over de inzet: laat ontvangers weten dat bepaalde inhoud deels uit zo’n tool afkomstig is.
- Gebruik de tool niet voor geautomatiseerde besluitvorming of om leerlingen en medewerkers te beoordelen.
Mogelijk kleur je hiermee alsnog wat buiten de lijntjes, maar het resultaat is een stuk veiliger en verantwoorder dan wanneer medewerkers zulke tools stiekem gebruiken.
Aan de slag
- Controleer je ict-beleid: is schaduw-ict inderdaad verboden?
- Maak voor gebruikers in de organisatie zichtbaar welke ict-middelen er officieel al tot hun beschikking staan.
- Toets gratis tools om te beoordelen of ze onder voorwaarden ook gebruikt mogen worden.
- Laat gebruikers weten welke gratis tools ze onder voorwaarden mogen gebruiken.
- Zorg dat je weet hoe je in jouw organisatie ict-gebruikersbehoeftes zichtbaar kunt maken bij degenen die ze kunnen vervullen.
- Pleit ervoor dat gebruikers betrokken worden in de selectie van ict-middelen die de organisatie aanschaft.
- Zorg dat de risico’s van schaduw-ict terugkomen in training en instructie voor medewerkers. Je kunt hen bijvoorbeeld wijzen op de Appchecker op de Aanpak IBP.
- Ontdek je toch nog schaduw-ict? Ga dan het gesprek aan met de betrokken medewerkers.