Inleiding: De urgentie van privacybewustzijn in het onderwijs
In de huidige digitale onderwijspraktijk worden dagelijks persoonsgegevens van leerlingen verwerkt door een breed scala aan private partijen. Dit gebeurt vaak zonder dat ouders of leerlingen expliciet begrijpen welke data wordt gedeeld, met wie, en waarom. Scholen, als verantwoordelijken onder de AVG, bevinden zich hierdoor in een uiterst kwetsbare positie. De opkomst van Self-Sovereign Identity (SSI) biedt een fundamenteel alternatief waarin regie, transparantie en bescherming van de persoonlijke levenssfeer centraal staan.
Wat is Self-Sovereign Identity (SSI)?
Self-Sovereign Identity is een digitaal identiteitssysteem waarin gebruikers volledige controle hebben over hun persoonlijke gegevens. In plaats van dat centrale instanties toegang beheren tot identiteitsdata, bewaren gebruikers hun gegevens in een digitale wallet. Die wallet bepaalt vervolgens — op basis van expliciete toestemming — welke gegevens gedeeld worden, met wie, en waarvoor. Dit model sluit naadloos aan bij de AVG-principes van dataminimalisatie en privacy by design.
De Proeftuin van SURF: publieke resultaten en tools
SURF heeft via een SSI-proeftuin onderzocht hoe deze technologie kan worden ingezet in het onderwijs:
- Een Proof-of-Concept van een open-source digitale wallet werd ontwikkeld.
- De wallet integreert met bestaande diensten zoals eduID en edubadges.
- Resultaten en broncode zijn publiek beschikbaar via de SURF Wiki (Apache 2.0-licentie).
- Een uitgebreide publicatie bevat technische, ethische en gebruikersgerichte inzichten.
Bron: SURF Communities SSI Wallets
Risico’s bij de huidige praktijk zonder SSI
Scholen werken momenteel met tientallen externe partijen, waaronder:
- ADIT-test (digitale cognitieve toetsen)
- DUO (onderzoeken en datakoppelingen)
- Toetsleveranciers, leerlingvolgsystemen, gedragsanalysesystemen
- Communicatie-apps, schoolfotografen, edtech-platforms
Deze partijen vallen onder het Privacyconvenant Onderwijs, maar blijven grotendeels buiten structureel toezicht. In de praktijk betekent dit:
- Scholen dragen eindverantwoordelijkheid, ook bij datalekken die elders ontstaan.
- De meldplicht van verwerkers is beperkt (72 uur vanaf moment van ontdekking, wat bij niet-opgemerkte lekken geen bescherming biedt).
- Competentieprofielen, psychologische kenmerken en metadata worden zonder context of expliciete toestemming verwerkt en soms opgeslagen.
- Leerlingen kunnen op jonge leeftijd worden geprofileerd, zonder terugroep- of herstelmogelijkheid.
Hoe SSI dit fundamenteel verandert
Met SSI:
- Behoudt het kind, met ouderlijke ondersteuning, controle over welke gegevens worden gedeeld.
- Worden gegevens alleen verstrekt bij expliciete toestemming en voor een concreet doel.
- Kunnen scholen aantonen dat zij voldoen aan AVG-verplichtingen via transparante data-uitwisseling en logging.
- Kan de ethiek rond leerlinggegevens worden verankerd in technologie.
Burgerschapsonderwijs en ouderbetrokkenheid
Het curriculum benadrukt het belang van competentiegerichte ontwikkeling en privacy binnen burgerschapsvorming. SSI:
- Biedt een praktisch kader om dit toe te passen.
- Maakt ouderlijke inspraak in gegevensverwerking structureel mogelijk.
- Versterkt het bewustzijn bij leerlingen over digitale autonomie en verantwoordelijkheid.
Conclusie: Van privacybeheer naar wederzijdse erkenning
Wat SURF heeft gedaan met haar proeftuin is waardevol: het biedt scholen een technisch haalbare manier om AVG-compliance te verbeteren en gebruikers meer controle te geven over hun gegevens. Toch blijft het in essentie een top-down model: instellingen stellen de spelregels vast, en de gebruiker mag binnen dat kader kiezen wat hij wel of niet deelt. De controle is individueel, maar niet structureel wederkerig.
Self-Sovereign Identity biedt in zijn diepere vorm echter meer dan dat. Het stelt mensen in staat om elkaar op een gelijkwaardige manier te erkennen — niet alleen instellingen of werkgevers die diploma’s valideren, maar ook burgers, ouders, kinderen, en leerkrachten die elkaars waarde erkennen in sociale interactie en samenwerking. Dit past naadloos bij de uitgangspunten van burgerschapsvorming.
De UbuntuKids-aanpak bouwt hierop voort. Niet alleen met technologie, maar met pedagogische, culturele en sociale kaders waarin de burger zelf medevormgever is van identiteit en vertrouwen. Het feit dat we met een formele speler als SURF het gesprek kunnen voeren, toont aan dat de infrastructuur er is. Maar dat betekent niet dat de opdracht van de samenleving ophoudt bij diploma’s tonen: het begint pas wanneer erkenning wederzijds wordt.
Daarom is dit document niet alleen een pleidooi voor privacybescherming, maar ook een uitnodiging aan scholen om deel te nemen aan een breder gesprek over autonomie, eigenaarschap, en menselijke waardigheid.
Aanbevelingen:
- Informeer ouders actief over de partijen waarmee persoonsgegevens worden gedeeld.
- Vraag geen opt-out, maar bied expliciete opt-in-keuzes via transparante middelen.
- Start gesprekken met SURF, Kennisnet en andere partijen over ondersteuning bij privacybeleid.
- Gebruik het bestaande Proof-of-Concept van SURF als startpunt.
- Werk samen met organisaties zoals De Kamer van Sociale Waarden en UbuntuKids voor bewustwording en beleidsontwikkeling.
Met SSI kunnen scholen eindelijk structureel AVG-compliant worden — én het vertrouwen van ouders en leerlingen herwinnen.
Bijlage: overzicht van deelnemende partijen aan het Privacyconvenant Onderwijs (toetsleveranciers, communicatieapps, gedragsmonitoring).
Hieronder vind je een overzicht van leveranciers die deelnemen aan het Privacyconvenant Onderwijs, onderverdeeld in drie categorieën: toetsleveranciers, communicatieapps en gedragsmonitoringtools. Deze partijen hebben een positieve toetsverklaring afgelegd en hanteren de modelverwerkersovereenkomst, wat betekent dat zij zich committeren aan de AVG-normen binnen het onderwijs.
📝 Toetsleveranciers
- Cito B.V.
- Bureau ICE
- AMN
- Ans
- CETrainer
- Bureau KwaliteitsAnalyse
- CED-Groep
- Cedin B.V. (Uitgeverij Eduforce)
- Consortium Beroepsonderwijs
- Boom beroepsonderwijs
- Boom voortgezet onderwijs
- Boom uitgevers Amsterdam
- Bohn Stafleu van Loghum
📱 Communicatieapps
- Basisschool-apps
- BasisOnline
- Parro
- Social Schools
- Ziber Education
- SchouderCom
- Klasbord
- Ouderportaal
📊 Gedragsmonitoringtools
- Bereslim
- Beweegbaas
- ChildPoint
- Coach like a Champion
- Compasser
- Bosos
- Brightskills
- Bloomwise
- Bizzerd.work
- Augeo Academy
🔍 Belangrijke Opmerkingen
Controleer de huidige status: Deelnemers aan het Privacyconvenant worden periodiek getoetst. Het is raadzaam om de actuele status van een leverancier te verifiëren via het register van deelnemers.
Verwerkersovereenkomst: Scholen dienen met deze leveranciers een verwerkersovereenkomst af te sluiten die voldoet aan de AVG-eisen.
Opt-out verzoeken: Bij het ontvangen van opt-out verzoeken van scholen is het belangrijk dat ouders zich bewust zijn van welke gegevens worden gedeeld en met welke partijen.
📚 Aanvullende Informatie
Voor meer details over het Privacyconvenant en de bijbehorende modelverwerkersovereenkomst kun je terecht op de officiële website: privacyconvenant.nl.
Indien je specifieke vragen hebt over een bepaalde leverancier of aanvullende ondersteuning wenst bij het beoordelen van privacyrisico’s, neem dan contact op met de privacyfunctionaris van de school of raadpleeg de medezeggenschapsraad.
📚 Bronnen en referenties
- SURF Communities – SSI Wallets
- Privacyconvenant Onderwijs – officiële website
- European Commission – GDPR Portal: gdpr.eu
- Sovrin Foundation – Whitepaper Self-Sovereign Identity (2018)
- Kamer van Sociale Waarden – UbuntuKids visie
