Verzonden: vrijdag 7 november 2014 11:12 Aan: Pieter Dubois Onderwerp: Re: Interviewverzoek VPRO Hallo Pieter, Bedankt voor je mail. Jammer dat het schriftelijk zal moeten, maar bedankt voor je medewerking. Graag zou ik de vragen die we hebben, na overleg met de redactie, wat uitgebreider willen stellen. Hopelijk is dat geen probleem. Bij deze de vragen die we jullie willen stellen naar aanleiding van onze uitzending: Op welke manier is Magister ontwikkeld? Is er vooral gedacht vanuit leerlingen, docenten, of ouders? En wat is jullie belangrijkste missie bij het door-ontwikkelen van Magister? Worden leerlingen, docenten en ouders betrokken bij het ontwikkelen van Magister? Hoeveel scholen/ leerlingen zijn inmiddels aangesloten bij Magister? En wat is het marktaandeel van Schoolmaster/ Magister ongeveer? Waar heeft Magister zijn succes aan te danken? Sommige leerlingen klagen over het feit dat, door Magister, hun ouders alles kunnen zien wat ze doen. Dat terwijl vroeger nog wel eens te sjoemelen viel met schoolresultaten, afwezigheid en andere dingen die je als puber doet. Dat dat misschien zelfs wel hoort bij je middelbare schooltijd. Wat is jullie reactie daarop? Scholieren die we spraken gaven allemaal aan er geen enkel probleem mee te hebben Magister te hacken als dat mogelijk zou zijn. We zijn zelfs leerlingen tegengekomen die het wachtwoord van hun leraar hebben weten te achterhalen en zo cijfers en aanwezigheid hebben veranderd. Is dat een bekend probleem? Hebben jullie daar iets op bedacht? Hoe veilig is Magister voor een geoefende hacker? Welke veiligheidsmaatregelen zijn er om accounts te beschermen? Kun je bijvoorbeeld oneindig wachtwoorden proberen? Hebben jullie het door als er iemand probeert binnen te komen zonder toestemming? Jullie hebben de gegevens van honderdduizenden leerlingen onder je hoede. Welke maatregelen treffen jullie om de veiligheid van die gegevens te waarborgen? En hoe voelt het die verantwoordelijkheid te hebben? Hoe lang worden gegevens van leerlingen bewaard? (Of worden gegevens van leerlingen verwijderd op het moment dat ze school verlaten?) Wat hebben jullie voor de toekomst nog in gedachten met Magister? Is het al grotendeels af, of staan we pas aan het begin van de digitalisering van dit leerlingvolgsysteem? Tot zover de vragen die we wilden stellen in een gesprek. Tom Roes VPRO
Van: Pieter Dubois Verzonden: woensdag 12 november 2014 16:00 Onderwerp: RE: Interviewverzoek VPRO Beste Tom, Hierbij stuur ik je namens SchoolMaster, de maker van Magister en onderdeel van Iddink Groep, ons antwoord op je vragen van afgelopen vrijdag. Wij menen hiermee al je vragen beantwoord te hebben. Mocht verdere verduidelijking nodig zijn dan hoor ik dat graag. Magister: een leerlingenadministratiesysteem Magister is een leerlingenadministratiesysteem voor scholen in het voortgezet onderwijs. Magister wordt door hen gebruikt voor het administreren van de leerlingengegevens en voor het organiseren van het leerproces. Een goede leerlingenadministratie is voor een school van groot belang, niet alleen voor een goed verloop van alle processen, maar ook voor de bekostiging die de school van de overheid ontvangt. De school moet daartoe leerlingengegevens uitwisselen met overheidsinstanties als DUO (Dienst Uitvoering Onderwijs). Het leerlingenadministratiesysteem faciliteert dat. De school kan allerlei leerlingengegevens administreren. Bekende voorbeelden zijn: behaalde cijfers en absenties. Dit administreren gebeurt door schoolpersoneel: administrateurs en ook docenten. Binnen Magister hebben zij daartoe eigen, gescheiden rollen. Scholen gebruiken het leerlingenadministratiesysteem in toenemende mate ook voor communicatiedoeleinden. Indien de school daarvoor kiest, worden gegevens met betrokkenen gedeeld. Zo kunnen leerlingen en ouders door de school worden geautoriseerd om behaalde cijfers of absenties te raadplegen. In het gehele funderende onderwijs is Magister met ongeveer 28% marktaandeel de nummer twee. In het voortgezet onderwijs kiest ongeveer 75% van de scholen voor Magister. Als reden voor de keuze voor Magister worden vaak de gebruiksvriendelijkheid en de uitgebreide functionaliteit genoemd. Bij het ontwikkelen van Magister nemen wij steeds de klantbehoefte als uitgangspunt. De school bepaalt De school (of beter: het bevoegd gezag van de school) is onze klant. De school bepaalt welke Magister functionaliteit aan wordt gezet, voor welke gebruikersgroepen, en welke gegevens worden geadministreerd. De ervaring leert dat scholen verschillende visies hierop hebben. Met autorisatieschermen kunnen scholen dit zelf naar wens inrichten. Wij kennen diverse overlegstructuren met de verschillende gebruikersgroepen (applicatiebeheerders, administrateurs, docenten, schoolleiders, bestuurders, leerlingen, ouders). We hebben ook gestructureerd overleg met de onafhankelijke gebruikersvereniging Meesters Met Magister.
Het is aan de scholen om te bepalen hoe het onderwijs wordt ingericht en hoe de verschillende betrokkenen worden geïnformeerd dit alles uiteraard binnen de wettelijke kaders. De scholen zijn onze klanten en wij willen hen optimaal faciliteren. Beveiliging persoonsgegevens Een aantal vragen gaat over veiligheid en persoonsgegevens. In de Wet Bescherming Persoonsgegevens is sprake van een Verantwoordelijke (in casu de school) en een Bewerker (in casu SchoolMaster). Wij zijn ons zeer bewust van onze grote verantwoordelijkheid als Bewerker. Als Verantwoordelijke moet de school onder meer: Nagaan of de gegevensverwerking rechtmatig, behoorlijk en zorgvuldig is; De gegevensverwerking beveiligen door middel van passende technische en organisatorische maatregelen; De persoonsgegevens niet langer bewaren dan noodzakelijk is; Informatie verstrekken en inzage geven aan betrokkenen, en eventueel corrigeren/verwijderen. De school kan een Bewerker inschakelen. SchoolMaster is een Bewerker en moet: Uitsluitend in opdracht van de Verantwoordelijke persoonsgegevens verwerken. o Dit doet SchoolMaster. Dit is vastgelegd in een Bewerkersovereenkomst die wij in overleg met de gebruikersvereniging hebben opgesteld. Feitelijk bewerkt SchoolMaster overigens geen gegevens, maar stelt SchoolMaster de school in staat gegevens te verwerken. De gegevensverwerking beveiligen door middel van passende technische en organisatorische maatregelen. o Dit doet SchoolMaster op een aantal manieren: De verbinding met Magister is beveiligd middels een SSL certificaat met versleuteling van gegevens; Applicatie en data zijn gescheiden en worden gehost op een extra beveiligde locatie, in Nederland, voorzien van ISO/IEC 270001 certificaat; In Magister is er een scheiding tussen verschillende rollen (leerling, docent, administratie, etc.); Met Magister kan de school de toegang tot de administratie beveiligen door verkeer vanuit één IP adres toe te staan; Met Magister kan de school de docententoegang beveiligen met tokens; In Magister wordt elke wijziging gelogd waardoor een aanpassing in cijfer of absentie altijd kan worden herleid naar gebruiker en tijdstip; In Magister kan de school een e-mailnotificatie bij cijferwijziging instellen. De voorwaarden accepteren die de Verantwoordelijke op grond van de WBP aan de Bewerker moet opleggen. o Dit doet SchoolMaster. Dit is vastgelegd in de Bewerkersovereenkomst. Geheimhouding betrachten. o Dit doet SchoolMaster. Dit is vastgelegd in de Bewerkersovereenkomst.
Op vragen over hackpogingen kunnen wij alleen reageren indien u die concreet aan ons voorlegt. Toekomst onderwijs en Magister Hoe de school van de toekomst eruit zal zien, is vooral aan de politiek en aan het scholenveld zelf. In overleg met hen wordt Magister voortdurend verder ontwikkeld. Momenteel verwacht het voortgezet onderwijs bijvoorbeeld veel van Gepersonaliseerd Leren (zie http://doorbraakonderwijsenict.nl/). Daarin kan Magister een faciliterende rol spelen. Tom, dat was het volgens mij. Houd je ons op de hoogte van de voortgang en de geplande uitzenddatum van je programma? Voor vragen weet je me te vinden. Pieter Dubois Verzonden: woensdag 12 november 2014 16:14 Aan: Pieter Dubois Onderwerp: Re: Interviewverzoek VPRO Hallo Pieter, bedankt voor de uitgebreide reactie, na het lezen is er veel duidelijk geworden. Ik mis alleen nog een duidelijk antwoord op de volgende twee vragen: Kun je, als er niet wordt gewerkt met tokens wachtwoorden proberen zo vaak je wilt? en als ik het goed begrijp: Schoolmaster verwijdert dus zelf geen gegevens: die verantwoordelijkheid ligt bij de scholen? groeten, Tom Van: Pieter Dubois Onderwerp: RE: Interviewverzoek VPRO Datum: 12 november 2014 17:10:53 CET Aan: Tom Roes Beste Tom, Het antwoord op je twee vragen van zojuist:
1. De school kan in het beheerscherm het maximaal aantal foutieve logins instellen waarna het account wordt geblokkeerd. 2. Ja, de verantwoordelijkheid voor het verwijderen van de gegevens ligt bij de scholen. Pieter Dubois Op 12 nov. 2014 om 17:37 heeft Tom Roes het volgende geschreven: Duidelijk. Bedankt nogmaals, ook voor het feit dat jullie zo snel konden reageren. met vriendelijke groet, Tom