De klant gebruikt het berichtensysteem in Moodle actief om berichten te sturen tussen docenten en deelnemers. Het berichtensysteem van Moodle is overal in Moodle toegankelijk zowel vanuit een cursus als vanuit je eigen profiel. Het staat op de context van de site en is daarmee voor elke deelnemer te gebruiken. In het berichtensysteem kan je ook zoeken naar andere deelnemers. Door het intypen van een naam, krijg je verschillende namen en profielfoto’s van bestaande deelnemers te zien. En dat is een privacy probleem. Ook in de privacyverklaring van het opleidingsinstituut staat niet dat de namen en foto’s van alle deelnemers te vinden zijn. Wel van medecursisten en docenten van dezelfde opleiding.

Maar hoe groot is dit risico eigenlijk? En wat is de impact? Dat zal per organisatie en inrichting van Moodle afhankelijk zijn. Om een goed beeld te krijgen van alle risico’s en waar je echt maatregelen moet nemen, moest ik denken aan een rekenmethode die ik gebruik in de ISO 27001 certificering (informatiebeveiliging). Elke kans en impact van een risico schat je in met een hoog, middel of laag. Een hoog telt voor 3, middel voor 2 en laag voor 1. Door de waardes van kans en impact te vermenigvuldigen krijg je een berekening als hieronder.

Bij een waarde van 6 of meer moet je extra maatregelen nemen.

Als ik dit toepas voor het berichtensysteem dan krijg je (mijn inschatting):
* Kans dat persoonsgegevens toegankelijk zijn voor anderen: hoog (3)
* Impact op gebruikers: middel (2)
De som wordt: 2 * 3 = 6 (en dat betekent maatregelen nemen)

Maak een overzicht in een spreadsheet van de belangrijke processen en onderdelen in Moodle en vul de kans en impact in. Laat de berekening los, pas voorwaardelijke opmaak toe met kleurtjes en je ziet gelijk waar je extra maatregelen moet nemen. Dit kunnen technische, maar ook organisatorische en juridische maatregelen zijn.

Wil je meer weten over de AVG en Moodle, volg dan de workshop op 22 november 2018 in de Avetica Academie.

Het bericht Moodle Privacy (15): Rekenmethode voor inschatting privacy risico’s verscheen eerst op Avetica.

Moodle HQ heeft een video van bijna 10 minuten ontwikkeld met uitleg hoe deze privacy API geïmplementeerd moet worden. Vooral Moodle developers zullen deze video erg waarderen. Ben je minder technisch aangelegd, dan geeft deze video een goed beeld hoe serieus Moodle de uitdaging om AVG-proof te worden heeft aangepakt.

Meer informatie kan je vinden op docs.moodle.org/dev/Privacy_API.

Het bericht Moodle Privacy (14): Implementatie privacy-API in Moodle plugins #video verscheen eerst op Avetica.

Wat mij opvalt is dat met enige regelmaat gevraagd wordt de volgende gegevens in te vullen voor de klant:

• doel van de verwerking
• het soort persoonsgegevens
• categorieën van betrokkenen

Maar Avetica moet als Verwerker deze gegevens niet invullen, dat moet de Gegevensverantwoordelijke doen! Onze klanten zijn verantwoordelijk voor de data in Moodle en daarom moeten zij ook bepalen wat het doel van de verwerking is, het soort persoonsgegevens en welke categorieën van betrokkenen er zijn. Het oude gezegde ‘Wie betaalt, bepaalt’ is hier ook van kracht.

Jij moet als eigenaar van een Moodle site een ‘duidelijk omschreven en gerechtvaardigd doel’ voor gegevensverwerking bepalen. Daarna kan je toetsen of de gegevens in Moodle wel of niet nodig zijn voor dit doel.

Stel, je hebt het doel van de verwerking als volgt omschreven:

Het aanbieden van online leermateriaal, het volgen van de deelnemers in hun leerproces en het online begeleiden van de deelnemers.

Het verzamelen van het woonadres van je deelnemers is niet noodzakelijk voor dit doel. Zonder dat de docent weet waar je woont, kan hij je online helpen. Het e-mailadres verzamelen van de deelnemers is wel nodig om het doel te bereiken, want communicatie met de docent, het opvragen bij een vergeten wachtwoord en het ontvangen van notificaties bij nagekeken opdrachten, past binnen het kader van dit doel.

Besteed voldoende aandacht aan het goed omschrijven van het doel en blijf denken aan dataminimalisatie.

Het bericht Moodle Privacy (13): Wie bepaalt het doel en het soort persoonsgegevens? verscheen eerst op Avetica.

‘Privacy by design’ houdt in dat de voor verwerking gebruikte mechanismen zo zijn ontworpen en ontwikkeld dat zij zo veel mogelijk rekening houden met de privacy van de gebruikers. Een voorbeeld hiervan is als er een knop is ingebouwd waarmee een gebruiker inzage krijgt in alle persoonsgegeven van hemzelf. Een andere maatregel kan zijn het minimaleren van data.

Een organisatie moet passende technische en organisatorische maatregelen nemen om te waarborgen dat alle verwerkingen volgens de eisen van de AVG worden uitgevoerd. Deze waarborgen moet je ook kunnen aantonen! De AVG kent geen uitzondering voor software die een organisatie reeds in gebruik heeft. Je kan dus niet zeggen dat je volgend jaar pas jouw Moodle 3.1 site gaat upgraden omdat dan het support afloopt van deze Long-Term-Support versie.

In de context van Moodle is het probleem wel dat de 2e maandag van mei Moodle 3.5 uitkomt die AVG-proof is en anderhalve week later al de AVG van kracht wordt. Binnen die korte periode alle Moodle sites upgraden, is ondoenlijk. Zeker als hier maatwerk in zit waar ook de privacy API geïmplementeerd moet worden.

Organisaties die Moodle 3.3 en 3.4 draaien kunnen vanaf volgende week hun sites gaan updaten, omdat dan minor releases uitkomen die AVG-compliant zijn.

Na 25 mei 2018 zal het probleem van de legacy software niet gelijk opgelost zijn. Zorg in ieder geval dat je upgradeplannen zijn uitgewerkt en dat je kan aantonen welke andere maatregelen je hebt genomen. Uiteraard in alle redelijkheid met de omvang, het doel van de verwerking en het soort gegevens (bv bijzondere persoonsgegevens).

Lees onze hele serie blogs over Moodle en de AVG.

Het bericht Moodle Privacy (10): Upgrade je Moodle site vanwege privacy by design verscheen eerst op Avetica.

Middels een fictief voorbeeld uit Moodle wil ik dit duidelijk maken. Je hebt een Moodle site en alle updates van Moodle en de plugins zijn bijgewerkt. Je site draait op SSL en alle beveiliginginstellingen staan goed.  Je hebt netjes in de security en privacy boekhouding het doel van de verwerking, de betrokkenen en welke soorten gegevens verwerkt worden beschreven. Maar nu komt het; een docent uit je organisatie heeft in Moodle een cursus met docentrechten. Voor een praktijkopdracht heeft de docent het feedbackformulier aangemaakt. De docent wil inventariseren welke politieke voorkeur zijn studenten hebben en daarmee een debat organiseren. Klinkt als een leuke opdracht die goed past zo net voor de gemeenteraadsverkiezingen.

Het probleem is dat politieke voorkeur een bijzonder persoonsgegeven is en deze mag je alleen verwerken (gegevens inventariseren en opslaan is ook verwerken!) als er in de wet een uitzondering voor is. Dat wordt lastig in deze situatie.

De organisatie is de Gegevensverantwoordelijke, maar niet op de hoogte van het verwerken van bijzondere persoonsgegeven. Dat is een risico en erg lastig om met technische maatregelen dit te voorkomen.

Bewustwording van alle docenten en beheerders is noodzakelijk en dit is geen eenmalige actie. Periodiek zal je alle medewerkers moeten trainen en hierover voldoende moeten communiceren. En mocht je ooit in de situatie komen dat er een onderzoek wordt ingesteld naar aanleiding van een datalek, dan hoop ik voor je dat je ook kunt aantonen dat je voldoende aan bewustwording hebt gedaan.

Het bericht Moodle Privacy (9): Voorbeeld waarom bewustwording zo belangrijk is verscheen eerst op Avetica.

Eerst een stukje context. Onze klant maakt gebruikt van Global Search, een nieuwe functionaliteit sinds Moodle 3.1 om allerlei content te doorzoeken. Onze klant verkoopt online leermateriaal aan meerdere klanten en gebruikt hiervoor één Moodle site. Een docent is via het zoeken in Moodle op een profielpagina gekomen van een deelnemer van een andere klant.

Welke oplossingen hebben we samen met onze klant direct doorgevoerd?

1. Stel de zoekzones van Global Search goed in. Voor veel elementen uit Moodle kan je instellen of Global Search dit wel of niet mag doorzoeken. Nu staat het doorzoeken van gebruikers uitgeschakeld.

2. Verander het recht ‘gebruikersprofielen bekijken’ van de rol geauthenticeerde gebruiker. Verbied het recht dat een ingelogde gebruiker een ander profielpagina mag bekijken.

Hoe nu verder? Onze klant is de Gegevensverantwoordelijke en gaat in overleg met betrokkene. Naar aanleiding van die uitkomst zal wel of niet dit datalek gemeld worden bij de Autoriteit Persoonsgegevens.

Of je nu wel of niet Global Search gebruikt in Moodle, controleer de rechten van gebruikers zodat deze privacy-proof zijn en binnen de doeleinden van de verwerking van gegevens passen. En die doeleinden bepalen is ook een taak voor de Gegevensverantwoordelijke.

Het bericht Moodle Privacy (8): Stel Global Search en de rechten van de rollen goed in verscheen eerst op Avetica.

Voor de zekerheid; in de nieuwe privacywet die 25 mei 2018 van kracht wordt, krijgen gebruikers meer rechten. De drie belangrijkste nieuwe rechten zijn:

1. het recht om informatie op te vragen welke type persoonlijke gegevens worden verwerkt en hoe lang deze bewaard wordt;
2. het recht om een kopie te vragen van alle persoonlijke gegevens die verwerkt worden in een leesbaar digitaal format;
3. het recht om verwijderd te worden van alle persoonlijke gegevens die verwerkt wordt.

Van elke Moodle plugin moet het volgende duidelijk beschreven worden:

1. welke type gegevens worden verwerkt in de plugin;
2. op welke wijze worden deze gegevens geëxporteerd als de gebruiker hierom vraagt;
3. welke data moet verwijderd worden als de gebruiker hierom verzoekt.

Op moment van schrijven zijn er 1451 plugins geregistreerd in de database, maar wereldwijd gaat het om vele duizenden. En de ontwikkelaars van al deze community plugins zouden eigenlijk de privacy API van Moodle moeten implementeren in hun plugins. Gezien het feit dat nu al niet alle plugins worden bijgewerkt, is er een grote kans dat veel plugins niet gaan voldoen aan de eisen van de GDPR. En formeel gezien zouden zulke plugins gedeïnstalleerd moeten worden.

Ontwikkelaars die wel de privacy-API implementeren, krijgen een extra symbool in de Moodle-plugins-database. Een mooie kans om je als ontwikkelaar te profileren lijkt me zo. Meer informatie over de privacy-API kan je vinden in dit forum en in dit levende document GDPR plugin API.

Hoewel de impact van de AVG/GDPR groot is voor zowel Moodle als de vele plugins, ben ik wel blij dat Moodle dit zo goed oppakt.

Het bericht Moodle Privacy (7): GDPR behoorlijke impact voor alle plugins verscheen eerst op Avetica.

Om onze klanten te helpen, hebben wij in ons Avetica Dashboard een tool ontwikkeld die alle type persoonsgegevens ophaalt en dit in een overzicht toont. Deze tool houdt rekening met de profielgegevens, extra profielgegevens en overige persoonsgegevens zoals IP-adressen en cookies (zie ook ons eerdere blog). Ook het doel van de verwerking en de categorieën betrokkenen moeten ingevuld worden door de gegevensverantwoordelijke (onze klant dus).

Bij het opslaan wordt deze informatie per mail verstuurd naar de ingelogde gebruiker en (indien bekend bij ons) de Functionaris Gegevensbescherming. Ook wordt deze informatie opgeslagen bij Avetica zodat we niet bij elke Verwerkersovereenkomst een aparte bijlage moeten maken met welke gegevens wij verwerken in opdracht van de klant. Ook wijzigingen in de persoonsgegevens kunnen op deze manier heel makkelijk worden bijgewerkt.

Met de ontwikkeling van deze tool willen we onze klanten helpen om de privacy goed te regelen.

Het bericht Moodle Privacy (6): Tool voor Verwerkingsregister AVG verscheen eerst op Avetica.

Deze integraties zijn een uitkomst voor cursusontwikkelaars en docenten omdat deze hen in staat stelt om krachtige leeromgevingen te ontwerpen en te ontwikkelen. Maar via deze integraties gaan ook persoonsgegevens vanuit Moodle naar externe systemen en met de nieuwe privacywet op komst moeten we direct onszelf een aantal vragen stellen. Waar staan deze externe systemen gehost en welke afspraken zijn er met deze leveranciers? Welke data kan een derde partij zien zonder dat de deelnemer dit weet? Hoe zijn de verschillende systemen aan elkaar verbonden?

Concreet voorbeeld: Wilfred Rubens schreef vorige maand in de blog Student weigert plagiaattool te gebruiken (in verband met een gebruikersovereenkomst) over een situatie waarin een leermanagement persoonlijke data verstuurde aan een plagiaatdetectiesysteem. Een student ging niet akkoord met de voorwaarden van deze derde partij.

Als eigenaar van een Moodle site (dus Gegevensverantwoordelijke dus) moet je zorgen dat je Verwerkersovereenkomsten hebt met alle Verwerkers en Subverwerkers. De hele keten moet dus onderlinge afspraken maken. Een flink uitdaging voor veel organisaties!

Begin maar eens met het in kaart brengen met welke systemen Moodle is verbonden en welke data wordt uitgewisseld.

Het bericht Moodle Privacy (5): Toegang data door derde partijen? verscheen eerst op Avetica.

Centrale vraag is: zijn leergegevens ook bijzondere persoonsgegevens?

Met leergegevens bedoel ik toetscijfers, reflectieopdrachten, forumdiscussies, feedback van de docent, aantal toetspogingen, etc.

De vraag of leergegevens ook bijzondere persoonsgegevens is lastig te beantwoorden. In ieder geval zijn leergegevens persoonsgegevens, want er wordt een waardering over iemand gegeven. Ook het intelligentiequotiënt (IQ) geeft een waardering over een persoon en is daarmee een persoonsgegeven. Maar of leergegevens ook bijzondere persoonsgegevens zijn, daar lopen de meningen uiteen. Bijzondere persoonsgegevens zijn meer gevoelige gegevens zoals iemands ras, godsdienst, seksuele leven, politieke opvatting, gezondheid, lidmaatschap van een vakvereniging en strafrechtelijk gedrag.

In de AVG  is het aantal categorieën bijzondere persoonsgegevens uitgebreid met genetische gegevens en biometrische gegevens. En volgens mij vallen leergegevens hier ook onder. Ik hoop dat de Autoriteit Persoonsgegevens hier snel uitsluitsel over gaat geven.

Bijzondere persoonsgegevens zijn door de wetgever extra beschermd. Dus als leergegevens inderdaad bijzondere persoonsgegevens zijn, dan hebben alle organisaties die (online) leren aanbieden en hun leerlingen/deelnemers volgen, nog een flinke uitdaging om dit goed juridische en organisatorisch geregeld te krijgen.

Het bericht Moodle Privacy (3): Leergegevens zijn bijzondere persoonsgegevens? verscheen eerst op Avetica.