Uw profiel is aangemaakt

U heeft een e-mail ontvangen met een activatielink. Vergeet niet binnen 24 uur uw profiel te activeren. Veel leesplezier!

E-mails van schoolsysteem Magister, met daarin leerlingenprestaties, waren jarenlang slecht beveiligd

Samenleving

Kristel van Teeffelen

. © ThinkStock

Magister, het digitale schoolsysteem waarin de prestaties van leerlingen worden bijgehouden, verstuurde jarenlang slecht beveiligde e-mails. Een ICT’er op een middelbare school trok daar al in december 2016 over aan de bel. Pas sinds begin deze maand is het beleid aangepast. Inmiddels worden de berichten wel versleuteld, bevestigt Iddink Group, het bedrijf achter Magister.

In Magister houden docenten gegevens over leerlingen bij zoals cijfers, afwezigheid en gezondheidsproblemen. Scholen kunnen ervoor kiezen om een e-mail te krijgen op het moment dat een cijfer wordt toegevoegd of aangepast. Zo heeft een docent het snel door als iemand heimelijk op zijn account heeft ingelogd. Juist dat systeem om fraude te voorkomen, is de zwakke plek, ontdekte ICT’er Bram Matthys een paar jaar geleden al.

Lees verder na de advertentie

De e-mails met daarin de cijfers werden door Magister onversleuteld verstuurd. Dat betekent dat iemand de berichten kan onderscheppen en kan meelezen. Matthys: “Je moet de router, waar al het e-mailverkeer langskomt, kraken. Dat kost wel wat moeite, maar is zeker niet onmogelijk. Er zijn zat routers die kwetsbaarheden bevatten.”

Versleuteling van e-mails is de gewoonste zaak van de wereld. Volgens Google is negentig procent van al het e-mailverkeer op die manier beveiligd. Onbegrijpelijk dat Magister daar geen gebruik van maakt, vindt Matthys.

Scholen en bedrijven als Magister met wie de scholen samenwerken, zijn niet verplicht om e-mails met cijfers te versleutelen

Autoriteit Persoonsgegevens

Het leerlingvolgsysteem is marktleider, aldus Iddink zelf, met ruim een miljoen gebruikers. Volgens het bedrijf is het risico op een lek via de e-mails ‘als laag ingeschat’. Het ging niet om e-mailverkeer dat wordt uitgewisseld met de wijde wereld, maar tussen Magister en de server van scholen. Dat het bedrijf toch besloot te gaan versleutelen, is om de beveiliging ‘naar een hoger niveau te brengen’. “Versleuteling is daarvoor een goede maatregel”, aldus een woordvoerder van het bedrijf.

Strenger

Ook zijn excuses gemaakt aan Bram Matthys, omdat hij al die tijd geen reactie kreeg op zijn meldingen.

Scholen en bedrijven als Magister met wie de scholen samenwerken, zijn niet verplicht om e-mails met cijfers te versleutelen, zegt de Autoriteit Persoonsgegevens. Wel moet de beveiliging van de leerlingdossiers op orde zijn, omdat het privacygevoelige informatie bevat over de ontwikkeling van een leerling. Versleutelen is daarvoor een goede optie, aldus de toezichthouder.

Strengere regels gelden voor gegevens over bijvoorbeeld de gezondheid van een leerling. Ook dat wordt in Magister opgeslagen, maar volgens Matthys wordt die informatie niet gemaild. De onbeveiligde e-mails werden volgens hem wel gebruikt bij de chatfunctie van het systeem, waarmee leerlingen en docenten met elkaar communiceren.

Matthys: “Maar hoe dat precies wordt gebruikt, zal per school verschillen.”

Lees ook: 

Je kind in de gaten houden met een leerlingvolgsysteem - moet je dat wel willen?

Ouders kunnen vaak de schoolprestaties van hun kinderen volgen via een digitaal systeem. Maar is dat eigenlijk wel wenselijk?

Schoolsysteem Magister is bedreigend, opdringerig en ontneemt leerlingen hun vrijheid

Het schooladministratiesysteem Magister ontneemt leerlingen de vrijheid om zelf te bepalen wanneer ze hun cijfers - goed en slecht - aan hun ouders melden, vindt Sanne Rozema (17) uit 6 vwo.

Deel dit artikel

Scholen en bedrijven als Magister met wie de scholen samenwerken, zijn niet verplicht om e-mails met cijfers te versleutelen

Autoriteit Persoonsgegevens