Volgens de WBP (Wet bescherming persoonsgegevens) dienen gebruikers geïnformeerd te worden over de opname van hun gegevens in informatiesystemen. Zo zal een leerling bij aanvang van de opleiding of het nieuwe collegejaar door de school worden geinformeerd welke gegevens van hem zijn opgeslagen in bijvoorbeeld Active Directory, leerlingvolgsysteem en elektronische leeromgeving. Ook als de elo van de school gekoppeld is met andere systemen zoals educatieve diensten dient de leerling hiervan op de hoogte te zijn.
Wanneer de elo van de school wordt gekoppeld met Entree is dit nog niet direct noodzakelijk. De elo wisselt weliswaar enkele gebruikersgegevens uit met Entree, maar deze worden niet opgeslagen. Dit zijn vluchtige gegevens en bestaan slechts zolang de gebruiker ingelogd is.
En hoe zit dat dan met de diensten die via de Kennisnet Federatie worden aangeboden, willen die niet weten met wie ze te maken hebben? Is het noodzakelijk om het emailadres te weten van de leerling die je content bekijkt? Wij vinden van niet. Net zo min als je je adres hoeft achter te laten bij het kopen van boodschappen. Bij het kopen van sigaretten of alcohol moet je leeftijd geverifiëerd worden, maar dat kan ook zonder de rest van je identiteit prijs te geven – zie bijvoorbeeld de AgeCoin.
Kennisnet gelooft in minimal disclosure
Het principe van de Kennisnet Federatie is dat wij, namens de school, een geverifieerde identiteit aanleveren. Uit de aangeleverde attributen blijkt dat de gebruiker daadwerkelijk student (of docent, of stafmedewerker) is van de instelling met BRIN nummer x. De dienstleverancier kan op basis van deze gegevens verifieren of (en welke) overeenkomst er is met de instelling. Met behulp van een uniek (maar versleuteld) gebruikersnummer kan de dienstleverancier retentie herkennen en een profiel opbouwen. Dit alles zonder te weten om wie het exact gaat. Toegang op basis van rol (RBAC) dus.
Wij denken graag mee met dienstleveranciers op welke wijze hun dienstverlening met deze minimale set van gegevens kan aanbieden. In uitzonderingssituaties kan de Kennisnet Federatie wel degelijk meer gebruikersgegevens aanleveren, maar alleen wanneer de instelling schriftelijk verklaart dat zij zorgdragen voor de informatievoorziening naar de gebruikers.