Scholen besteden veel te weinig aandacht aan het online beschermen van privégegevens van studenten en docenten. Met name op hbo-niveau is er veel informatie terug te vinden. Dit zegt zoekexpert Henk van Ess: "Op heel veel hbo-scholen zie je dat een aantal intranetten gewoon open staan."

Volgens Van Ess gaat het om honderden documenten. Hij benadrukt dat dit het resultaat is van een korte verkenning via Google. Na gedegen onderzoek kan er veel meer boven water komen.

Een verkenning van Webwereld wijst uit dat inderdaad veel scholen hun intranet open hebben staan, of op zijn minst documenten openbaar maken die voor intern gebruik zijn bedoeld. Van Ess trekt daar de lijn: "Mijn meetlat is dan dat er informatie wordt getoond die alleen maar bedoeld is voor intern gebruik."

Kamer bezorgd

Toch kan de geopenbaarde privé-informatie relatief ver gaan. Zo is een deel van het oude intranet van de Faculteit Communicatie en Journalistiek (FCJ) van de Hogeschool Utrecht meer dan een week na het offline halen van de openbare site nog gewoon terug te vinden via de cache van Google. De FCJ publiceert opdrachten van studenten, correspondentie met de examencommissie, e-mails van bronnen voor artikelen zoals bijvoorbeeld Maurice de Hond en beleidsstukken van de organisatie.

Naar aanleiding van het openstaande intranet van de FCJ werden er door het CDA Kamervragen gesteld aan minister Plasterk van Onderwijs, Cultuur en Wetenschap (OCW). De minister moet uitleg geven over de online beveiliging van privégegevens van studenten, docenten en medewerkers van scholen en opleidingen. Volgens Van Ess staat bij genoeg scholen de deur wagenwijd open voor iedereen die op zoek is naar privé-informatie.

Andere scholen

Zo publiceert het Clusius College, een vmbo-school, bijvoorbeeld lijsten van leerlingen, werkstukken, maar ook notulen van vergaderingen van de leerlingenraad via Google. Bij een rechtstreekse benadering van het netwerkadres van het intranet via de browser krijgt de bezoeker de volgende boodschap: "Toegang verboden! U hebt niet de toestemming om toegang te krijgen tot de gevraagde map." Maar via een simpele omweg van de Google cache kan jan en alleman wel de deur plat lopen.

De Marnix Academie, een opleiding voor leraren in het basisonderwijs, deelt op het afgesloten intranet mee dat in 2008 'Office 2007 niet is doorgevoerd'. "Het is nog geen internationaal geaccepteerde standaard", staat te lezen via Google. Op school is het onmogelijk voor studenten om documenten gemaakt met dat softwarepakket niet kunnen openen. Ook kan de creatieve googelaar te weten komen welke studenten op welk tijdstip zijn ingedeeld bij een dvd-presentatie onder leiding van docent Paul Smalen.

Ook hogeschool Fontys in Tilburg kampte met een lek intranet, ongeveer rond dezelfde tijd van het HU-lek. Ook hier was via de cache van Google het nodige terug te vinden. Het ging onder andere om convenanten met bedrijven en kranten, maar ook om opdrachten en cijferlijsten. In tegenstelling tot de HU kreeg Fontys het wel voor elkaar de gevoelige informatie binnen een week van het web te verwijderen.

Beter nadenken

Van Ess benadrukt dat niet alle informatie die via Google gevonden wordt, en bedoeld is voor intern gebruik, een probleem hoeft te zijn. "Er zitten ook onschuldige dingen tussen." Volgens Van Ess worden er door scholen en universiteiten ook veel documenten gepubliceerd waarvan wordt gedacht dat het wel online kan, maar waar toch privacygevoelige informatie in staat. "Dat zijn roosters met leerlingen, rapportvergaderingen en verder dingen die voor de school puur intern zijn, maar toch op het net staan omdat de school denkt: ach, dat kan toch geen kwaad."

Volgens Van Ess is dat het grootste probleem. Hij is er van overtuigd dat uiteindelijk de it-afdelingen de intranetten - binnen enkele jaren - wel hebben dichtgetimmerd. De zoekexpert vindt dat er bij scholen meer nagedacht moet worden over de informatie die online wordt gezet. "Ik weet dat scholen openbaar moeten zijn en zich zo veel mogelijk in de maatschappij moeten bewegen. Maar dat zou ik vooral met kennis doen, maar met privégegevens van personen hoeft dat niet."

Houden aan richtlijnen

Scholen zouden het probleem serieus moeten nemen en niet aan de kant moeten schuiven, vindt Van Ess. Een school zou kunnen inventariseren wat er allemaal op het web staat en dat leggen langs de richtlijnen (pdf) van het College bescherming persoonsgegevens (CBP). "Zij hebben al een uitstekende richtlijn voor het omgaan met privacygevoelige gegevens opgesteld. Die zou ik als meetlat nemen. En dan durf ik er vergif op in te nemen dat de meerderheid van de scholen dan toch wel even gaat schrikken."