image

Spinoza Lyceum lekt gegevens leerlingen via Google Drive

donderdag 20 juli 2017, 09:57 door Redactie, 30 reacties

Het Spinoza Lyceum in Amsterdam Zuid heeft door een fout met het verzenden van een Google Drive-document de persoonlijke en gevoelige gegevens van zo'n honderd leerlingen gelekt. Het document bevat informatie over de persoonlijke omstandigheden en thuissituaties van de leerlingen.

Door een fout werd het document naar leerlingen gestuurd. Ook kwam het in handen van de Telegraaf. Volgens de school kwam het door snelheid bij de verkeerde terecht. "Maar het is een fout die absoluut niet gemaakt had mogen worden en we keuren dit niet goed", zegt rector Jan Paul Beekman tegenover Parool.

De school heeft melding gemaakt bij de Autoriteit Persoonsgegevens en een onderzoek ingesteld hoe het datalek zich kon voordoen. Ook wordt er gekeken naar mogelijke maatregelen om herhaling te voorkomen, zoals het scheiden van dataverkeer tussen docenten en leerlingen. De ouders die in het document voorkomen zijn per brief ingelicht. Tevens vond er gisteren een bijeenkomst plaats op school.

Reacties (30)
20-07-2017, 10:04 door Anoniem
Ja hoor, daar is er weer eentje.
Wat een klotezooi.
Gelukkig hebben wij niets te verbergen.
Wanneer worden die instanties en de overheid eens een keer ter verantwoording geroepen, bijvoorbeeld via Justitie/
20-07-2017, 10:24 door Anoniem
een menselijke vergissing waarschijnlijk. zo gaat het vaak, we bouwen een kaartenhuis van techniek en verliezen de menselijkheid daarbij en dan gaat het eens fout. tja dan krijg je ook meteen weer die cowboys van de 'ja maar de dit en de dat' en de 'je moet niet zo dom zijn'.

voorbeeldje:

heeft iemand onlangs nog eens een half uurtje op een NS station gekeken en hoe ouderen of touristen voor een chip kaart apparaat staan?

hoeveel accounts met ww die allemaal geheim en niet op een papiertje mogen tegenwoordig?

de techniek gaat vlugger dan de mens en we zijn doorgeschoten en dit zijn de consequenties. omdat jij iets kan betekent dat nog niet dat iedereen dat dan ook kan. dat wordt regelmatig vergeten. ook in de zorg.
20-07-2017, 10:40 door Anoniem
Dus, ook hier weer 1000 euro boete per dossier. Dus dit kost de school een slordige 100.000 euro. Misschien dat men dan voorzichtiger wordt. Misschien moet de boete hier wel naar 10.000 euro per dossier omdat het om minderjarigen gaat!

Ik vraag me af wanneer de eerste rechtszaak komt hierover. De school heeft geen 'straf' gekregen. Krijgt geen boete. Dus er is totaal geen prikkel om het beter te gaan doen.

Dit is echt om je voor te schamen. Het internet is als meer dan 20 jaar oud, maar mensen snappen nog steeds niet hoe het werkt...

TheYOSH
20-07-2017, 10:46 door Ron625
Ach, voor het vakantie geld van de leerlingen is hier mischien een leuke aanvulling uit te halen.
Gewoon €1000,00 per leerling en de extra kosten voor de school verhalen op de verantwoordelijken.
Dat deze verantwoordelijken dan misschien geen pensioen meer hebben is dan hun eigen schuld.

Helaas is dit juridisch niet mogelijk, maar wel een goed idee, lijkt mij..........
20-07-2017, 10:51 door Anoniem
De bedoeling van dit bericht is om instanties te waarschuwen en op te passen waar je mee bezig bent.
Een opleiding volgen voor deze digitale toepassingen zou geen overbodige luxe zijn.
20-07-2017, 11:27 door Anoniem
Door Anoniem: Dus, ook hier weer 1000 euro boete per dossier. Dus dit kost de school een slordige 100.000 euro. Misschien dat men dan voorzichtiger wordt. Misschien moet de boete hier wel naar 10.000 euro per dossier omdat het om minderjarigen gaat!

Ik vraag me af wanneer de eerste rechtszaak komt hierover. De school heeft geen 'straf' gekregen. Krijgt geen boete. Dus er is totaal geen prikkel om het beter te gaan doen.

Dit is echt om je voor te schamen. Het internet is als meer dan 20 jaar oud, maar mensen snappen nog steeds niet hoe het werkt...

TheYOSH

Ha, ha, ha.

Dus 1000,00 euro per leerling. Dat klinkt leuk.
Maar wie gaat dat dan uiteindelijk bekostigen?

- De ouders via de ouderlijke bijdrage van school.
- De school zelf, waarna ze een tekort op de balans zullen hebben. En dat zullen of het Rijk (wij allemaal) of de ouders dan moeten ophoesten.
- Een aantal jaren geen activiteiten meer voor de scholieren. (Dan zijn de scholieren de pineut)
- De persoon die de fout maakt, de schade laten vergoeden. (Dan is die persoon en zijn gezin meteen failliet te verklaren; en geen werknemers in het onderwijs meer te vinden)

Leuke vooruitzichten.
Maar ja, niemand maakt ooit fouten. Jij vooral niet. :-)
20-07-2017, 11:28 door Anoniem
Waarom staan die gegevens überhaupt op een server van google. Daar kan je toch geen persoonlijke omstandigheden van leerlingen opzetten.

Mag hopen dat ze niet weg komen met een waarschuwing. Zoiets zou eigenlijk gewoon voor de strafrechter moeten komen.

Daarnaast mogen deze gegevens natuurlijk ook niet bij de Telegraaf terecht komen.
20-07-2017, 11:41 door Anoniem
Door Anoniem: Waarom staan die gegevens überhaupt op een server van google. Daar kan je toch geen persoonlijke omstandigheden van leerlingen opzetten.

Mag hopen dat ze niet weg komen met een waarschuwing. Zoiets zou eigenlijk gewoon voor de strafrechter moeten komen.

Daarnaast mogen deze gegevens natuurlijk ook niet bij de Telegraaf terecht komen.

Behoorlijk ernstig dat deze gegevens op Google servers staan inderdaad. Hopelijk gaat hier een gepaste straf of wat dan ook voor komen.
20-07-2017, 11:42 door Anoniem
Door Anoniem: Waarom staan die gegevens überhaupt op een server van google?
Kijk, dat vind ik nou een relevante vraag. Als het om gevoelige persoonsgegevens gaat dan zou ik dit nooit op een Google-server laten wegschrijven.
20-07-2017, 12:13 door PietdeVries - Bijgewerkt: 20-07-2017, 12:15
- Ja hoor, daar is er weer eentje.Wat een klotezooi.
- Dit is echt om je voor te schamen. Het internet is als meer dan 20 jaar oud, maar mensen snappen nog steeds niet hoe het werkt...
- Hopelijk gaat hier een gepaste straf of wat dan ook voor komen.
- Dat deze verantwoordelijken dan misschien geen pensioen meer hebben is dan hun eigen schuld.

Tjonge - gelukkig weten we het hier allemaal zooo veel beter dan die sukkels in de buitenwereld! Wij bij security.nl maken namelijk nooooit fouten! Wij handelen altijd ethisch, kijken als BoFH nooit in folders/files van een ander, hebben nooit per vergissing een server gereboot of gebruiker afgesloten. En de oh-no second (http://bfy.tw/Cw9r) is ons natuurlijk vreemd. Alle code die onze desk verlaat is wiskundig aantoonbaar vrij van fouten, overflows en andere enge zaken. We hebben nog nooit op een vreemde link geklikt, een malware-bijlage geopend of met open ogen in een CEO-fraude getrapt. En omdat we in de catacomben van het bedrijf werken komen we eigenlijk ook niet in de verleiding om naar een andere vrouw te kijken...

Ofwel, hij die zonder zonde is werpe de eerste steen.

Wie gooit?
20-07-2017, 12:41 door Anoniem
@ Piet de Vries

Daarom moet er ook altijd een tweede 'stenengooier' naast staan, zodat de ene "raket-technoloog" de andere dubbel kan checken. Allemaal een kwestie van goed ingeplande procedures op de werkvloer. Van zo iets moet je 'getrained aapjeswerk' maken, zodat het niet fout kan gaan. Nu komt er even iemand langs van de IT met een smartfoon of zit even achter een komputer die vrijgehouden wordt voor admin procedures (in het lokaal). De "griebels lopen je soms over de grabbels'' als je ziet wat er zich afspeelt. Proctors zien heel veel, weet je en zeker degenen die zelf van de hoed en de rand weten.

Dit had je vroeger ook als de leraar het werk van de amenuensis moest overnemen, Natuurlijk menselijke fouten moeten worden ingecalculeerd en je moet er van uitgaan dat ze kunnen worden gemaakt en voorkomen. Dat laatste is altijd beter dan achteraf genezen en niet omdat de beste stuurlui altijd aan de wal staan, Vroeger zeiden ze daar in Mokum, "Lekker puh".
20-07-2017, 13:04 door Anoniem
Door PietdeVries:
- Ja hoor, daar is er weer eentje.Wat een klotezooi.
- Dit is echt om je voor te schamen. Het internet is als meer dan 20 jaar oud, maar mensen snappen nog steeds niet hoe het werkt...
- Hopelijk gaat hier een gepaste straf of wat dan ook voor komen.
- Dat deze verantwoordelijken dan misschien geen pensioen meer hebben is dan hun eigen schuld.

Tjonge - gelukkig weten we het hier allemaal zooo veel beter dan die sukkels in de buitenwereld! Wij bij security.nl maken namelijk nooooit fouten! Wij handelen altijd ethisch, kijken als BoFH nooit in folders/files van een ander, hebben nooit per vergissing een server gereboot of gebruiker afgesloten. En de oh-no second (http://bfy.tw/Cw9r) is ons natuurlijk vreemd. Alle code die onze desk verlaat is wiskundig aantoonbaar vrij van fouten, overflows en andere enge zaken. We hebben nog nooit op een vreemde link geklikt, een malware-bijlage geopend of met open ogen in een CEO-fraude getrapt. En omdat we in de catacomben van het bedrijf werken komen we eigenlijk ook niet in de verleiding om naar een andere vrouw te kijken...

Ofwel, hij die zonder zonde is werpe de eerste steen.

Wie gooit?
Eerlijk? Bij mij is dat nog nooit 1 keer gebeurd!
Dus ik gooi effe..... en dan gaan we weer over tot de orde van de dag.
20-07-2017, 13:28 door Anoniem
Door Anoniem: Waarom staan die gegevens überhaupt op een server van google. Daar kan je toch geen persoonlijke omstandigheden van leerlingen opzetten.

Mag hopen dat ze niet weg komen met een waarschuwing. Zoiets zou eigenlijk gewoon voor de strafrechter moeten komen.

Daarnaast mogen deze gegevens natuurlijk ook niet bij de Telegraaf terecht komen.

Waarom zouden ze er niet mogen staan?
20-07-2017, 13:33 door Anoniem
"Allemaal een kwestie van goed ingeplande procedures op de werkvloer."

dit is volgens mij naief en erg theoretisch
20-07-2017, 13:34 door Anoniem
"Eerlijk? Bij mij is dat nog nooit 1 keer gebeurd!
Dus ik gooi effe..... en dan gaan we weer over tot de orde van de dag."

you will be in for a wake up call als je strakjes wat ouder bent :).
20-07-2017, 13:36 door Anoniem
ik vraag iedereen die hier weer reageerd als 'die sukkels' eens na te denken over het voorbeeld van een kleuter een stanly mes te geven. handig gereedschap en kleuter denk echt er mee overweg te kunnen. jullie reageren nu als ouders die zeggen 'ja daar had ie niet mee moeten rennen, eigen schuld dikke bult'
20-07-2017, 13:38 door Anoniem
De meest elementaire fout is het om vertrouwelijke persoonsgegevens bij Google te deponeren.
Wat is daar in godsnaam het nut van. Kan er geen wet komen om dit in ieder geval voor overheidsdiensten
te verbieden
20-07-2017, 14:14 door Anoniem
Ja hoor, daar is er weer eentje. Wat een klotezooi. Gelukkig hebben wij niets te verbergen. Wanneer worden die instanties en de overheid eens een keer ter verantwoording geroepen, bijvoorbeeld via Justitie/

Als jij onbedoelt een fout maakt, dan vind je zeker ook dat je direkt strafrechtelijk vervolgt moet worden. Wat een overreactie.....
20-07-2017, 14:17 door Anoniem
Dus, ook hier weer 1000 euro boete per dossier. Dus dit kost de school een slordige 100.000 euro. Misschien dat men dan voorzichtiger wordt. Misschien moet de boete hier wel naar 10.000 euro per dossier omdat het om minderjarigen gaat!

Wat allemaal ten koste gaat van de leerlingen, omdat dat geld vervolgens niet aan onderwijs uitgegeven kan worden. Of je daar nou veel aan hebt, kan je je ook afvragen. Ik heb liever dat de school van mijn kind, ook na het maken van een fout, de financiele middelen uit kan geven aan onderwijs i.p.v. het betalen van boetes aan de overheid.
20-07-2017, 14:39 door Anoniem
als google een ander buisness model had, dan hadden we heel veel minder issues. als google diensten aanbood waarvoor je netjes betalen moet, dan had ze niet data hoeven graaien voor marketing ad rotzooi, en dan hadden we geen van alle ook zulke privacy issues. het is wel erg gelijk aan het drugsdealers methodiek 'de eerste hit is gratis, hier neem maar'.

maargoed pandoras doos is open nu, dus nou moeten we de maatschappij met mensen van allerlij lagen en kennis levels om moeten leren gaan op een wijze manier met 'de digtale revolutie' die vwb het makkelijker maken voor de mens, nog wel wat steekjes laat vallen als je eens goed om je kijkt en de success van one eigen overheid op dat vlak onder ogen ziet.

begrijp me goed, ik ben geen digibeet of een tegenstander van technology, maar we moeten het menselijke in ons zelf niet steeds negeren of weg wuiven!
20-07-2017, 14:44 door Anoniem
"Kan er geen wet komen om dit in ieder geval voor overheidsdiensten te verbieden"

een wet zal misschien een aantal mensen zorgvuldiger maken, maar geen oplossing zijn: er zijn nog steeds criminelen onder ons die per definitie zich niet aan de wet houden.

dus niet te naief aub en oplossingen meer dan een afspraak of procedure. op zijn minst handhaven erbij en nog beter is prikkels weghalen zodat de behoefte minder is: zorg dat de IT in de school niet 'tegen werkt' zodat mensen niet zo vlug naar die google drives grijpen en kom ook met alternatieven. er is niet een dingetje dat het op zal lossen. net zoals security met controleerbare transparante lagen komt en een process is ipv een toestand.
20-07-2017, 14:45 door Anoniem
Door Anoniem: De meest elementaire fout is het om vertrouwelijke persoonsgegevens bij Google te deponeren.
Wat is daar in godsnaam het nut van. Kan er geen wet komen om dit in ieder geval voor overheidsdiensten
te verbieden

Precies! Iedereen kan een foutje maken en een "interne" link per ongeluk naar buiten sturen. Maar Google Drive gebruiken voor de opslag van documenten met persoonsgegevens van leerlingen??? WTF
Daar ligt een veel groter probleem.
20-07-2017, 15:06 door Anoniem
Een groep docenten van het ICT-team van de Hogeschool Zeeland (HZ University of Applied Sciences) gebruiken helaas ook Dropbox voor het doorsturen van diverse (beoordeelde) documenten van leerlingen. Ook wordt er gebruik gemaakt van Google Drive voor het inventariseren van allerlei gegevens van de studenten omtrent studievoortgang. Hier wordt geen gebruik gemaakt van invul-formulieren, maar van een Excel-sheet waar anonieme lees- en schrijfrechten op zijn. De link om de Excel-sheet in te vullen wordt per mail verstuurd naar de leerlingen.

Het indienen van een klacht hierover resultaat helaas in nul op rekest: de betreffende docenten zien het probleem niet in of geven aan dat er geen gebruik wordt gemaakt van een publieke Dropbox of Google Drive. Dat klopt, maar een fout is natuurlijk snel gemaakt. Daarnaast:
- Is er geen authenticatie: iedereen die de URL van het bestand kent kan het document benaderen.
- Wachtwoordbeleid organisatie wordt hiermee niet afgedwongen.
- Docent blijft toegang tot bestanden behouden na ontslag of overplaatsing andere afdeling (er wordt gebruik gemaakt van privé Gmail/Dropbox-accounts, niet door de HZ zelf verstrekt).
- Daarnaast ga ik niet akkoord met de algemene voorwaarden van Dropbox en Google Drive. Toch worden mijn privégegevens op deze platformen bewaard zonder mijn toestemming.

Hierbij een rotte tomaat voor deze organisatie. En ik durf te wedden dat dit veel vaker voorkomt. Helaas zijn leerlingen in een kwetsbare positie omdat ze de risico's niet begrijpen en/of niet durven op te treden omdat professionele klachten persoonlijke consequenties kunnen hebben. Qua wetgeving kom je ook in een soort grijs gebied en ga je een strijd aan met een organisatie waar je juist zo afhankelijk van bent. Dat gebeurt dus in de praktijk niet. Zoals ik al zei; een fout is snel gemaakt en bovenstaand artikel is hier het bewijs van. Laat het een waarschuwing aan andere organisaties zijn.
20-07-2017, 15:29 door Tha Cleaner
Door Anoniem: als google een ander buisness model had, dan hadden we heel veel minder issues. als google diensten aanbood waarvoor je netjes betalen moet, dan had ze niet data hoeven graaien voor marketing ad rotzooi, en dan hadden we geen van alle ook zulke privacy issues. het is wel erg gelijk aan het drugsdealers methodiek 'de eerste hit is gratis, hier neem maar'.
Je bedoelt G-Suite? De zakelijke variant van google?
Waar ze juist ook gebruik van maken bij Spinoza Lyceum.
20-07-2017, 16:19 door Anoniem
Door Anoniem: Dus, ook hier weer 1000 euro boete per dossier. Dus dit kost de school een slordige 100.000 euro. Misschien dat men dan voorzichtiger wordt.
Het is waarschijnlijker dat die school dan door gebrek aan budget de komende tijd helemaal niet meer in staat is om de situatie te verbeteren.
De school heeft geen 'straf' gekregen. Krijgt geen boete. Dus er is totaal geen prikkel om het beter te gaan doen.
Hoe kom je erbij dat straf de enige prikkel is om dingen te vebeteren? Is straf vermijden jouw enige drijfveer, of krijg je ook nog wel eens iets voor elkaar omdat je het leuk vindt, het goed wil doen, tevreden wordt van een goed resultaat? En word je wel eens zo geraakt door een fout die je hebt gemaakt dat je die fout écht niet wilt herhalen?

Als je geen andere motieven kent dan straf vermijden dan ben je zelf iemand die ik niets belangrijks zou willen toevertrouwen. Als je dergelijke motieven wel herkent bij jezelf, wat doet je dan veronderstellen dat je de enige bent en dat anderen het enkel van straf moeten hebben?
Het internet is als meer dan 20 jaar oud, maar mensen snappen nog steeds niet hoe het werkt...
Hoe veilig waren auto's, 20 jaar nadat ze voor het eerst op straat verschenen? Hoe lang duurde het voordat kreukelzones, veiligheidsgordels, airbags, ABS, veiligheidsstoeltjes voor kinderen en dergelijke hun intrede deden? Ik heb zelf nog meegemaakt dat auto's geen verplichte gordels hadden, laat staan airbags, dat gordels alleen voorin verplicht waren en kinderen op de achterbank helemaal los ronddartelden, dat Postbus51-spotjes je erop wezen dat je bij een gladde weg pompend moest remmen. En ik ben echt niet zo oud dat ik de eerste 20 jaar van het bestaan van de automobiel nog heb meegemaakt.

Het internet is nog piepjong. Het is ook nog eens stormachtig in ontwikkeling; veel diensten en technieken zijn, in ieder geval in de vorm waarin ze ingezet worden, nog eens aanzienlijk jonger dan 20 jaar. Zelfs een doorgewinterde deskundige kan meemaken dat zijn kennis veroudert waar hij bij staat. Voor leken is het helemaal niet bij te benen. Dát is de kern van het probleem. Dat los je echt niet op met boetes.
20-07-2017, 17:48 door Anoniem
Door Anoniem: Waarom staan die gegevens überhaupt op een server van google.
Hoeveel mensen gebruiken 'gratis' Gmail?
21-07-2017, 12:21 door Anoniem
Google for business nemen en niet toestaan dat met derden documenten worden gedeeld (alleen @spinoza.nl toestaan).
Dat scheelt al heel veel ellende..
21-07-2017, 12:35 door Anoniem
Ik snap alleen al niet waarom mensen het opslaan van dergelijk gevoelige informatie op google drive ook zelfs maar indirect recht durven te praten. De crux ligt in dat met een foute druk op de knop, die heel makkelijk te maken is, zomaar iedereen die toevallig de juiste url zou hebben onherstelbaar toegang geeft... als zulke kritische fouten zo simpel gemaakt kunnen worden is het simpelweg beter om het platform te vermijden... zeker waar eindgebruikers zélf handelen.
21-07-2017, 15:37 door Anoniem
Door Anoniem: Een groep docenten van het ICT-team van de Hogeschool Zeeland (HZ University of Applied Sciences) gebruiken helaas ook Dropbox voor het doorsturen van diverse (beoordeelde) documenten van leerlingen. Ook wordt er gebruik gemaakt van Google Drive voor het inventariseren van allerlei gegevens van de studenten omtrent studievoortgang. Hier wordt geen gebruik gemaakt van invul-formulieren, maar van een Excel-sheet waar anonieme lees- en schrijfrechten op zijn. De link om de Excel-sheet in te vullen wordt per mail verstuurd naar de leerlingen.

Het indienen van een klacht hierover resultaat helaas in nul op rekest: de betreffende docenten zien het probleem niet in of geven aan dat er geen gebruik wordt gemaakt van een publieke Dropbox of Google Drive. Dat klopt, maar een fout is natuurlijk snel gemaakt. Daarnaast:
- Is er geen authenticatie: iedereen die de URL van het bestand kent kan het document benaderen.
- Wachtwoordbeleid organisatie wordt hiermee niet afgedwongen.
- Docent blijft toegang tot bestanden behouden na ontslag of overplaatsing andere afdeling (er wordt gebruik gemaakt van privé Gmail/Dropbox-accounts, niet door de HZ zelf verstrekt).
- Daarnaast ga ik niet akkoord met de algemene voorwaarden van Dropbox en Google Drive. Toch worden mijn privégegevens op deze platformen bewaard zonder mijn toestemming.

Hierbij een rotte tomaat voor deze organisatie. En ik durf te wedden dat dit veel vaker voorkomt. Helaas zijn leerlingen in een kwetsbare positie omdat ze de risico's niet begrijpen en/of niet durven op te treden omdat professionele klachten persoonlijke consequenties kunnen hebben. Qua wetgeving kom je ook in een soort grijs gebied en ga je een strijd aan met een organisatie waar je juist zo afhankelijk van bent. Dat gebeurt dus in de praktijk niet. Zoals ik al zei; een fout is snel gemaakt en bovenstaand artikel is hier het bewijs van. Laat het een waarschuwing aan andere organisaties zijn.

Meteen melding van maken bij de AP lijkt mij. Dit soort gedrag kan anno 2017 dus echt niet meer.
25-07-2017, 11:04 door Anoniem
Door Anoniem: een menselijke vergissing waarschijnlijk. zo gaat het vaak, we bouwen een kaartenhuis van techniek en verliezen de menselijkheid daarbij en dan gaat het eens fout. tja dan krijg je ook meteen weer die cowboys van de 'ja maar de dit en de dat' en de 'je moet niet zo dom zijn'.


"We bouwen een kaartenhuis van techniek" mooi gesproken want dat is het probleem. Dingen veilig doen is moeilijk voor velen, dingen veilig _blijven_ doen is nog moeilijker door alle vernieuwingen e.d.

Beveiliging is ieders plicht maar het wordt steeds complexer waardoor steeds meer gewone gebruikers het niet meer bij kunnen benen. Een vergissing is dan zo gemaakt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.