Digitaal ondertekenen in het mbo
Digitaal ondertekenen in het mbo
Ervaringen met het digitaal ondertekenen van de onderwijs overeenkomst (OOK) en de praktijkovereenkomst (POK)
Laat ict werken voor het onderwijs
Inhoudsopgave
› 2. Aandachtspunten bij digitaal ondertekenen 8
› 5. Digitaal ondertekenen in de praktijk 22
2
Inleiding
Digitale communicatie is breed geaccepteerd en wordt meer en meer de standaard, ook in het onderwijs. Digitalisering maakt stevige efficiencyslagen in de administratieve processen van onderwijsinstellingen mogelijk, maar vraagt tegelijkertijd om specifieke aandacht voor wet- en regel- geving, beveiliging en privacy.
Digitaal ondertekenen in het mbo
Een aantal jaar geleden zijn Kennisnet, saMBO-ICT en SURF gestart met een project op het gebied van het digitaal ondertekenen van de onderwijsovereenkomst (OOK) en de praktijkovereenkomst (POK) in het middelbaar beroepsonderwijs. Ze hebben onder andere gekeken naar aandachtspunten op het gebied van document- management, informatiebeveiliging en privacy. Ook hebben ze overlegd met organisaties als de MBO Raad, het ministerie van OCW en de Inspectie van het Onderwijs. Samen met Wellantcollege, ROC de Leijgraaf, het Horizon College en MBO Utrecht hebben ze onder- zocht of het mogelijk is de onderwijsovereenkomst en de praktijk- overeenkomst digitaal te ondertekenen, op een manier die aan alle eisen voldoet. De bevindingen van het project ‘Proof of Concept digitaal ondertekenen mbo’ zijn verwerkt in deze publicatie. Mbo- instellingen kunnen hier gebruik van maken; uiteraard heeft elke school zijn eigen verantwoordelijkheid voor de manier waarop digitaal ondertekenen wordt ingericht.
Leeswijzer
Hoofdstuk 1 schetst de achtergrond van het project ‘Proof of Concept digitaal ondertekenen mbo’. Daarbij wordt onder andere ingegaan op het ontwerp XxxXxxx, een ontwerp voor een ondertekendienst in het onderwijs. Hoofdstuk 2 gaat over de aandachtspunten op het gebied van documentmanagement, informatiebeveiliging en privacy die een rol spelen bij digitaal ondertekenen. Hoofdstuk 3 laat zien welke organisaties betrokken zijn bij de digitale ondertekening van de onderwijsovereenkomst en de praktijkovereenkomst. Hoofdstuk 4 bevat een overzicht van de stappen die nodig zijn om te komen tot digitaal ondertekenen binnen het middelbaar beroepsonderwijs.
Uiteraard varieert de exacte invulling per school. In hoofdstuk 5 is weergegeven hoe de digitale ondertekening in de praktijk werkt aan de hand van de ervaringen van een aantal mbo-instellingen.
Meer informatie
Wil je meer informatie over de mogelijkheden op het gebied van digitaal ondertekenen? Kijk dan op de website van saMBO-ICT, xx.xx/xxxxxxxxxxxxxxxxxxxxxxx. Hier zijn alle links
opgenomen naar de documenten en websites die worden genoemd in deze publicatie.
3
1 Achtergrond
Wat was de aanleiding voor het project?
Onderwijsinstellingen zoeken voortdurend naar mogelijkheden om het onderwijs en hun ondersteunende bedrijfsvoering te vernieuwen en verder te verbeteren, onder andere door gebruik te maken van ict- toepassingen. Om het uitwisselen van informatie tussen organisaties te faciliteren, is in 2011 het Samenwerkingsplatform Informatie Onderwijs (SION) van start gegaan. SION bestond uit de zes onderwijsraden (waaronder de MBO Raad) en hun uitvoeringsorganisaties (waaronder saMBO-ICT). Een van de activiteiten was de ontwikkeling van de Referentie Onderwijs Sector Architectuur (ROSA). Hierin zijn afspraken vastgelegd over de gegevens die digitaal uitgewisseld kunnen worden tussen (onderwijs)organisaties. Het gaat daarbij om vragen als: wat betekent een gegeven, met wie kan het uitgewisseld worden en op welke wijze kan dit het best gebeuren?
Het rapport ‘De juiste informatie als funda ment voor goed onderwijs’ is uitgebracht ter afsluiting van SION en doet verslag van de opbrengsten. In het rapport wordt onder
4
Een van de doelen van het SION-programma was om te bekijken hoe de administratieve lasten in het onderwijs kunnen worden teruggedrongen. Administratieve lasten komen onder meer voort uit de processen rondom overeenkomsten tussen onderwijsin- stellingen en onderwijsvolgers. Alleen al in het middelbaar beroepsonderwijs worden op jaarbasis ongeveer 1,1 miljoen documenten ondertekend in het kader van de inschrijving (de onderwijsovereenkomst) en het praktijk- deel van de opleiding (de praktijkovereen- komst). Digitaal ondertekenen levert een forse besparing op; zo is er sprake van minder kosten voor papier, printen, verzenden en scannen. Daarnaast is er minder menscapaci- teit nodig dan bij handmatige verwerking.
Kennisnet en saMBO-ICT hebben op basis van de situatie bij pilotinstellingen geschat dat voor een roc van gemiddelde omvang de besparing uitkomt op drie tot zes euro per document, afhankelijk van de werkwijze en de gereali- seerde digitalisering van de instelling.
Wellantcollege, ROC de Leijgraaf, Horizon College en MBO Utrecht hebben in het
project ‘Proof of Concept digitaal onderteke- nen mbo’ onderzocht of het mogelijk is de overeenkomsten digitaal te ondertekenen, op een manier die aan alle eisen voldoet.
Daarbij is onder andere bekeken hoe het zit met de juridische erkenning van de digitale handtekening en met accountantscontroles. De traditionele controle voor de jaarrekening is vooral gericht op cijfers en op de proces- sen en procedures die een rol spelen bij de totstandkoming daarvan. Naarmate een organisatie verder digitaliseert, zullen de accenten van de accountantscontroles veel meer liggen op informatievoorziening, systemen, privacy en beveiliging.
Wat is EduSign?
EduSign is een ontwerp voor de ondertekening van de onderwijsovereenkomst en de praktijk- overeenkomst in het middelbaar beroeps- onderwijs. Daarnaast kan het ontwerp in de Referentie Onderwijs Sector Architectuur worden gebruikt als generieke bouwsteen, bruikbaar voor het ondertekenen van allerlei
documenten in diverse processen binnen verschillende sectoren.
Bij het ondertekenen van de onderwijs- overeenkomst is de procedure is als volgt:
1. Een deelnemer meldt zich aan.
2. De deelnemer wordt uitgenodigd voor een intake en wordt vervolgens geplaatst.
3. De deelnemersadministratie maakt de onderwijsovereenkomst aan en stuurt een pdf plus e-mailadres van de deelnemer naar de dienstverlener.
4. De deelnemer ondertekent de onderwijs- overeenkomst door middel van DigiD.
5. De dienstverlener stuurt de ondertekende onderwijsovereenkomst terug naar de mbo-instelling.
Op basis van deze procedure is een ontwerp gemaakt voor een ondertekenservice, EduSign. De service moet de volgende gebruiks- scenario’s ondersteunen:
• aanbieden van het te ondertekenen document
• verzamelen van handtekeningen;
• verspreiden van het ondertekende document
• melden van de afsluiting van de workflow met teruglevering van het ondertekende document
5
Figuur 1: ontwerp EduSign
• inzien van de status
• controleren van en ingrijpen in de workflow
• beheren van de omgeving
• beheren van accounts
Op basis van een analyse van wetgeving is bepaald dat een generieke onderteken- service voor de onderwijsovereenkomst en de praktijkovereenkomst moet voldoen aan de volgende eisen:
• Ondersteunt ondertekening door indivi- duen en organisaties.
• Xxxxx de mogelijkheid documenten te ondertekenen met een geavanceerde elektronische handtekening. Dat is een handtekening die op unieke wijze aan de ondertekenaar verbonden is, zodat deze ondertekenaar kan worden geïdentificeerd. Belangrijk is dat elke wijziging van gegevens achteraf kan worden opgespoord.
• Functioneert op STORK-betrouwbaar- heidsniveau 3 of vergelijkbaar. Kennisnet en saMBO-ICT hebben een toolkit ontwik- keld die mbo-instellingen ondersteunt bij informatiebeveiliging en privacy (IBP). Gerelateerd aan de aanpak vanuit deze toolkit komt STORK-niveau 3 overeen met de classificatie ‘midden’ (twee-factor- authenticatie, oftewel authenticatie in twee stappen). In de Europese regelgeving wordt dit ook wel het niveau ‘substantieel’ genoemd.
• Waarborgt de ‘schriftelijkheid’ van een aangegane overeenkomst. Dat houdt in dat alle betrokken partijen de overeenkomst kunnen raadplegen en dat de authenticiteit van de overeenkomst is gewaarborgd. Verder is belangrijk dat het moment waarop
6
Bij het ontwerpen van een onderteken- service voor de onderwijsovereenkomst en de praktijkovereenkomst is uitgegaan van een aantal bouwblokken. Deze verzorgen de interactie met XxxXxxx, de tijdelijke opslag van het te ondertekenen document, de uitvoering van de workflow rondom het verzamelen van de benodigde hand- tekeningen en de daadwerkelijke onder- tekening. Voor het vaststellen van de identiteit van de ondertekenaars maakt XxxXxxx gebruik van externe identity provi- ders. Daarnaast kan het ondertekenproces worden ondersteund door informatie- systemen, zoals het Student Informatie Systeem (SIS) en andere systemen die zorgdragen voor zaken als administratie, registratie en documentbeheer.
Vertrouwelijkheid
Met het oog op het realiseren van lastenverlichting, betere dienstverlening en een efficiëntere overheid zet de overheid in op grootschalige elektroni- sche dienstverlening aan burgers en bedrijven. Dat stelt eisen aan authenti- catie. Het Forum Standaardisatie heeft een kader ontwikkeld voor de inschaling van diensten op verschillende betrouw- baarheidsniveaus. Dit kader is geba- seerd op de nationaal geldende (wettelijke) regels en sluit aan op het Europese STORK-kader voor grensover- schrijdend gebruik van e-diensten.
STORK staat voor Secure idenTity acrOss boRders linKed. Er zijn vier niveaus, oplopend van niveau 1 (waarbij er weinig zekerheid over de identiteit van degene die ondertekent nodig is) tot niveau 4 (waarbij tenminste eenma- lig fysiek verschijnen van de gebruiker in het registratieproces vereist is).
Met welk product is de PoC uitgevoerd?
De projectgroep heeft verkend welke produc- ten er op de markt beschikbaar zijn op het gebied van digitale ondertekening. Via een offertetraject is het product Signhost van Evidos geselecteerd. Er zijn twee manieren waarop Signhost kan worden gebruikt: als online dienst of door middel van een koppe- ling met het Student Informatie Systeem in de vorm van een application programming
interface (API). Inmiddels hebben Fringe Company (leverancier van onder andere de producten education online en Traject- planner) en Educus (leverancier van onder andere EduArte) voor hun administratie- systemen deze koppeling al gerealiseerd.
Meer hierover lees je in hoofdstuk 5, waarin mbo-instellingen aan het woord komen over hun ervaringen. Uiteraard zijn er ook andere partijen op de markt met producten op het gebied van digitale ondertekening. Het is belangrijk dat mbo-instellingen goed onder- zoeken wat de consequenties zijn van een keuze voor een oplossing.
7
2 Aandachtspunten
bij digitaal ondertekenen
Dit hoofdstuk gaat over de aandachtspunten op het gebied van document- management, informatiebeveiliging en privacy die een rol spelen bij digitaal ondertekenen.
publicatie komen verschillende stappen aan de orde die van belang zijn bij het document- management van digitaal ondertekende onderwijsovereenkomsten en praktijkover- eenkomsten:
Wat zijn aandachtspunten op het gebied van documentmanagement?
Het opslaan, beheren en volgen van docu- menten wordt documentmanagement genoemd. Kennisnet en saMBO-ICT zeggen hierover in de publicatie ‘Hoe? Zo! Document management in het mbo’: “In een mbo-school ontstaan allerlei documenten, uiteenlopend
van onderwijsovereenkomsten en diploma’s tot jaarplannen, begrotingen en werkstukken van studenten. Je wilt deze documenten terug kunnen vinden als dat nodig is, je wilt ze kunnen delen met anderen of er samen met anderen aan werken, je wilt documen- ten voor langere tijd archiveren omdat je daar wettelijk toe verplicht bent of vernieti- gen omdat ze niet meer nodig zijn.” In de
1. Breng de huidige situatie in kaart, bijvoor- beeld aan de hand van een Document Structuurplan (DSP). Geef daarbij aan welke eisen er aan het beheer van de documenten worden gesteld; zo geldt voor de onderwijsovereenkomst dat deze zeven jaar na uitschrijving moet worden vernietigd.
4
Voer de verbeter- stappen uit
1
Breng de huidige situatie in kaart
2
Bepaal de gewenste situatie
3 realistische roadmap
Maak een
Haalbare roadmap geïntegreerd in projectportfolio
Overzicht van knel punten en de gewenste oplossingsrichting
Documentair Structuurplan & Overzicht van systemen
b. Integreer stappen in projectportfolio
b. Bepaal de geschikte oplossingen
b. Breng de systemen in kaart waar ze zitten
a. Definieer verbeter stappen & prioriteer
a. Inventariseer de knelpunten
a. Breng de documenten in kaart
2. Bepaal hoe de gewenste situatie eruit ziet. Deze is afhankelijk van wat je wilt bereiken met documentmanagement. Op verschillende typen documenten zijn verschillende eisen en wensen van toepassing. In deze stap wordt bepaald welke oplossingen nodig zijn om aan de
wettelijke eisen te voldoen en de wensen te realiseren.
8
3. Maak een realistische roadmap om daar te komen. Het maken van een roadmap begint met het identificeren van concrete verbeterstappen. Deze verbeterstappen hebben bij voorkeur de vorm van een
Figuur 2: schematisch overzicht documentmanagement
projectvoorstel, waarin doel en resultaat
4. Voer de verbeterstappen uit.
Wat zijn aandachtspunten op het gebied van informatiebeveiliging?
Het is voor alle organisaties van groot belang dat zij op correcte en respectvolle wijze omgaan met de informatie die zij verzamelen, beheren en gebruiken. De wet- en regelgeving op dit gebied is in januari 2016 aangescherpt met de meldplicht datalekken. Deze houdt in dat organisaties direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. Op Europees niveau zijn nieuwe afspraken vastgelegd in de Algemene Verordening Gegevensbescherming die per 25 mei 2018 van toepassing is, ook op scholen. Het is belangrijk dat scholen bepalen wat de gevolgen voor hen zijn en welke maatregelen ze moeten treffen.
Kennisnet en saMBO-ICT hebben een toolkit ontwikkeld die mbo-instellingen ondersteunt bij informatiebeveiliging en privacy (IBP). Deze toolkit, het framework IBP in het mbo, bevat allerlei hulpmiddelen voor diverse doel-
groepen binnen instellingen. Zo is er voor bestuurders een verantwoordingsdocument over IBP in het mbo. Voor de medewerkers die zich bezighouden met informatiebeveiliging en privacy bevat de toolbox veel direct inzetbaar materiaal. Zo maken de toetsingskaders duidelijk welke maatregelen een school moet nemen om optimaal beveiligd te zijn en om de privacy te waarborgen. Het gaat daarbij onder andere om veiligheidsaspecten rond digitaal ondertekenen. De kaders zijn gebaseerd op internationale normen en op de nieuwe Europese wetgeving. Ook bevat de toolbox verschillende modellen, onder meer voor het maken van IBP-beleidsplannen, het sluiten van bewerkersovereenkomsten met leveranciers en het maken van een privacyreglement.
Onderdeel van het framework IBP in het mbo is het Toetsingskader Digitaal Ondertekenen. Dit speelt een cruciale rol bij de totstand- koming van digitaal ondertekenen. ROC de Leijgraaf heeft hier ervaring mee opgedaan; in hoofdstuk 5 staat een interview met Xxxxxxxx xxx Xxxx (manager Informatievoorziening en Cursistenadministratie) over de ervaringen, knelpunten en tips.
Kennisnet en saMBO-ICT hebben niet alleen een toolkit ontwikkeld, maar hebben ook de publicatie ‘Hoe? Zo! Informatiebeveiligings
beleid in het mbo’ uitgegeven. Hierin gaan ze in op de problemen die kunnen spelen als data die niet op orde zijn of die niet goed beschermd zijn. Als data niet juist zijn, kunnen deelnemers niet voor bekostiging in aanmerking komen. Ook kan de school claims of boetes opgelegd krijgen.
Kennisnet en saMBO-ICT hebben samen met SURF bekeken welke principes en kaders uit de ‘International Standard ISO/IEC 27001’ een rol spelen binnen het onderwijs. Van de principes en kaders zijn normen afgeleid. Of en hoe de school deze normen toepast, wordt getoetst door middel van een assessment of audit.
SURF, Kennisnet en saMBO-ICT hebben gezorgd voor checklists, handleidingen, sjablonen en toetsingskaders. Zo is er een Handboek mboaudits en een ‘roadmap’ op het gebied van informatiebeveiligings- en privacy- beleid in het mbo.
Wat zijn aandachtspunten op het gebied van privacy?
In 2015 gaven Kennisnet en saMBO-ICT de publicatie ‘Hoe? Zo! Privacy in het mbo’ uit. Bij privacy gaat het om het respecteren en beschermen van het privéleven van studen- ten en medewerkers; scholen moeten op
9
Ook bij digitaal inschrijven en ondertekenen speelt privacy een rol. De mbo-instelling is verplicht het burgerservicenummer te gebruiken en mag dit nummer opvragen bij de student. Op basis van dit nummer (en andere gegevens) kan de school de student inschrijven. Persoonsgegevens kunnen alleen worden verwerkt op basis van een rechtmatig (wettelijk bepaald) doel. In het geval van een mbo-opleiding van een student is er sprake van de uitvoering van een overeenkomst. De school informeert de betrokkenen over welke persoonsgegevens worden verzameld, wat hiermee gebeurt en welke rechten en plichten gelden. Zorgvuldig omgaan met persoonsgegevens is belangrijk. Deze gegevens moeten zijn beschermd en er moeten maatregelen zijn genomen tegen
verlies en onbevoegde toegang. Hierbij gelden algemeen geaccepteerde organisatori- sche en technische beveiligingsnormen (zoals ISO-normen).
De school moet zowel in beleid als in uit- voering de privacy van studenten waar- borgen, zeker wanneer de school overstapt op digitaal ondertekenen. Met de leveranciers van ondersteunende software wordt een bewerkersovereenkomst afgesloten waarin afspraken staan over privacy. Privacy is de (eind)verantwoordelijkheid van het college van bestuur; dat zal een aantal taken delege- ren. De verantwoordelijkheid voor privacy kan op een aantal manieren worden geregeld.
Bijvoorbeeld bij een afdeling control, juridi- sche zaken, personeel & organisatie of kwaliteitszorg. Ook moet de instelling een functionaris gegevensbescherming onder het college van bestuur benoemen.
Hoe zit het met cloud computing?
In het onderwijs wordt vaak gebruikgemaakt van cloud computing. Er zijn bijvoorbeeld online faciliteiten voor de elektronische leeromgeving, de studentenadministratie, de financiële administratie en (digitaal) samen- werken. Het grote voordeel van cloud
computing is dat de school zelf geen servers meer nodig heeft en geen software hoeft aan te schaffen en te onderhouden. Ook kunnen cloudleveranciers beveiligings- middelen snel en dynamisch inzetten en beschikken ze vaak over diep inhoudelijke beveiligingskennis. Tegelijkertijd brengen clouddiensten specifieke risico’s met zich mee; zo kan een cloudleverancier gebruik- maken van diensten van derden waarmee de klant geen afspraken heeft gemaakt op het gebied van beveiliging. Daarom is het van belang om afspraken over privacy vast te leggen in een bewerkersovereenkomst. Het is niet voldoende om alleen te kijken naar de kwaliteit en de maatregelen van de provider. Ook de school moet beveiliging goed organi- seren en uitvoeren. Verder is het belangrijk dat medewerkers weten wat van hen ver- wacht wordt op het gebied van de beveiliging van overeenkomsten.
Welke juridische aspecten spelen een rol bij digitaal ondertekenen?
Kennisnet en de MBO Raad hebben zich verdiept in de eisen van digitale onder- tekening. Dit zijn de belangrijkste bevindingen:
• Overeenkomsten, waaronder onderwijs- overeenkomsten, zijn in principe vormvrij.
10
• De documenten met digitale handtekening worden door de instellingen opgesteld en ondertekend met een ‘gewone elektroni- sche handtekening’ zoals gedefinieerd in de Europese richtlijn 1999/93/EG. Deze handte- kening bestaat uit elektronische gegevens, die vastgehecht zijn aan – of logisch geasso- cieerd zijn met – andere elektronische gegevens. Deze worden gebruikt als middel voor authenticatie. Een voorbeeld hiervan is een ingescande handtekening.
• Bij studenten die de onderwijsovereenkomst en de praktijkovereenkomst ondertekenen, is een systeem met twee-factor-authenticatie (authenticatie in twee stappen) vereist.
• Authenticiteit en identiteit van partijen moeten worden geborgd in de administra- tieve organisatie van de school.
• Omdat van ouders/wettelijke vertegen- woordigers en medewerkers van leer-
Juridisch normenkader
SURF heeft een juridisch normenkader voor cloudservices opgesteld. Dit is gericht op het hoger onderwijs, maar biedt ook veel handvatten voor het middelbaar beroepsonderwijs. In het kader wordt aandacht besteed aan zeggenschap, vertrouwelijkheid en privacy van gegevens die worden opgeslagen in de cloud. Aan het docu- ment is een model bewerkersovereen- komst toegevoegd, waarin de privacybepalingen uit het kader zijn opgenomen.
bedrijven het burgerservicenummer niet in de administratie mag worden opgeslagen kunnen zij geen gebruik maken van DigiD voor de ondertekening van respectievelijk de onderwijsovereenkomst en de praktijk- overeenkomst. Voor de authenticatie wordt gebruikgemaakt van een e-mail in combi- natie met een tweede middel, zoals een sms of ‘krabbel’ op een touchscreen. De bijbehorende gegevens (zoals een e-mail- adres en een mobiel nummer) moeten geborgd zijn in de beheeradministratie.
11
3 Speelveld
Dit hoofdstuk laat zien welke organisaties betrokken zijn bij de digitale ondertekening van de onderwijsovereenkomst en de praktijkovereenkomst. Daarbij gaat het niet alleen om organi- saties als de MBO Raad, het ministerie van OCW en de Onder- wijsinspectie, maar ook om Logius, de dienst digitale overheid die verantwoordelijk is voor DigiD. Belangrijk bij digitaal onder- tekenen is dat de ondertekenaars kunnen worden geïdentifi- ceerd. Verder moet kunnen worden vastgesteld (geauthenticeerd) dat die en alleen die persoon de onderteke- ning uitvoert. Hiervoor zijn veel uiteenlopende middelen en methoden beschikbaar. Amankelijk van het betrouwbaar- heidsniveau van het document dient die authenticatie strenger te zijn. DigiD is een veilig en betrouwbaar authenticatiemiddel.
Op welke manier is de MBO Raad betrokken?
De MBO Raad heeft een Servicedocument Onderwijsovereenkomst en een Servicedocument Praktijkovereenkomst ontwikkeld. De versies van 2017-2018 zijn aangevuld met informatie over de digitale ondertekening. In deze versies staat: “Steeds vaker worden documenten digitaal ondertekend. Een digitale handtekening heeft dezelfde juridische status als een handgeschreven handtekening, mits de digitale handtekening voldoende betrouwbaar is voor het doel waarvoor de ondertekening wordt gebruikt (Burgerlijk Xxxxxxx
00
Hiermee kan de identiteit van de onder- tekenaars worden vastgesteld. Voor de mbo-sector is een methode voor elektroni-
sche ondertekening ontwikkeld die voldoende betrouwbaar is en past binnen de wettelijke onderwijskaders.”
De Servicedocumenten zijn afgestemd met het ministerie van OCW. Xxxx Xxxx (MT-lid mbo bij het ministerie): “Digitalisering van het ondertekenen van onderwijs- en praktijk- overeenkomsten biedt instellingen de kans om mee te gaan met de tijd en processen te vergemakkelijken, ook voor de student.
Uiteraard wel met voldoende waarborgen ten aanzien van privacy en veiligheid.”
Hoe kijkt de Onderwijsinspectie naar de digitale ondertekening?
De onderwijswetgeving vereist slechts dat partijen een rechtsgeldige praktijkovereen- komst en onderwijsovereenkomst sluiten. De eisen aan en consequenties van digitale ondertekening worden geregeld door het privaatrecht. Controle van de ondertekening van de onderwijsovereenkomst en de praktijkovereenkomst laat de inspectie normaal gesproken over aan de instellings-
accountant. Als er twijfels of signalen zijn, wordt er nader onderzoek gedaan.
Op welke manier is de accountants- dienst van de instelling betrokken?
De instellingsaccountant toetst bij de reguliere jaarcontrole of de onderwijs- en praktijkovereenkomsten op de juiste wijze zijn ondertekend. De voorziening voor digitaal ondertekenen wordt aan dezelfde eisen getoetst als andere digitale voorzieningen
13
voor de bedrijfsvoering van de school. Speciaal punt van aandacht is de overlap tussen de reguliere jaarcontrole door de instellingsaccountant en het DigiD-assessment. Scholen die gebruikmaken van DigiD, moeten hun systemen en procedures via een initieel assessment en daarna jaarlijks laten toetsen. In het rapport ‘Aanpak DigiDassessment digitaal ondertekenen’ zijn de impact
en mogelijke kansen van deze overlap beschreven. Meer informatie hierover staat verderop in dit hoofdstuk.
Op welke manier zijn ouders / wettelijke vertegenwoordigers betrokken?
Bij studenten die jonger zijn dan 18 jaar, moet de onderwijsovereenkomst worden meeondertekend door de ouders. De ouder- handtekening op de POK is formeel niet meer nodig, mits de ouders daarmee via ondertekening van de onderwijs- overeenkomst hebben ingestemd.
Om de ouder met DigiD te laten onder- tekenen, heeft de school het burgerservice- nummer van de ouder nodig. Scholen mogen echter het burgerservicenummer van ouders niet gebruiken of registreren. Voor de authen- ticatie wordt gebruikgemaakt van een e-mail
in combinatie met een tweede factor (zoals een sms of ‘krabbel’ op een touchscreen). Daarbij moet worden aangemerkt dat ouders niet kunnen worden verplicht:
• over een e-mailadres en mobiel nummer te beschikken;
• deze informatie beschikbaar te stellen en eventuele wijzigingen door te geven;
• bereid te zijn om digitaal bereikbaar te zijn voor deze doeleinden.
Als ouders hun gegevens niet (willen) door- geven, moeten zij fysiek een handtekening zetten op de overeenkomst.
Op welke manier zijn leerbedrijven betrokken?
De praktijkovereenkomst moet worden ondertekend door de tekenbevoegde van een leerbedrijf. Voor deze ondertekening kan gebruik worden gemaakt van een e-mail in combinatie met een tweede factor (zoals een sms of ‘krabbel’ op een touchscreen).
Aandachtspunt is nog wel dat de digitale overeenkomst naar één mailadres wordt verstuurd. Dat vereist dat het bestand met mailadressen van tekenbevoegde mede- werkers van leerbedrijven actueel is.
Wat is de rol van Xxxxxx?
Voor het authenticeren met DigiD wordt gebruikgemaakt van de onafhankelijke partij Logius, de dienst digitale overheid die verant- woordelijk is voor DigiD. Instellingen die gebruikmaken van DigiD als authenticatie- middel, moeten hun systemen en procedures laten toetsen via een initieel assessment en een jaarlijks assessment.
Meer informatie over het assessment staat op de website van Xxxxxx.
De projectgroep ‘Proof of Concept digitaal ondertekenen mbo’ heeft onderzoek laten doen naar de impact van het assessment voor de mbo-instelling. Daarbij is gekeken wie verantwoordelijk is voor het voldoen aan een norm: de leverancier of de school.
Daarnaast is een analyse uitgevoerd om te bepalen waar de overlap zit tussen de reguliere jaarcontrole door de instellings- accountant en het DigiD-assessment. Het rapport ‘Aanpak DigiD-assessment digitaal ondertekenen mbo’ is raadpleegbaar via de website van saMBOICT. In het rapport is een gedetailleerd werkblad opgenomen van werkzaamheden die de school moet uitvoeren.
14
Wie is verantwoordelijk
voor het voldoen aan een norm?
In het kader van het programma ‘IBP in het mbo’ is een Toetsingskader Digitaal Onder- tekenen ontwikkeld. Hierin staat aan welke normen een school moet voldoen in het kader van DigiD:
kader Digitaal Ondertekenen; dit is document IBPDOC9 van het framework IBP in het mbo.
Op welke manier is SURFmarket betrokken?
SURFmarket levert licenties, ondersteuning en diensten aan aangesloten onderwijs-
onderwijsinstellingen meer zekerheid. Ook kan in het geval van omvangrijke contracten het doen van een aanbesteding worden voorko- men door in te kopen via SURFmarket (inbe- steding). Ondersteuning wordt met name geleverd door het onderhandelen/aanbeste- den en beschikbaar stellen van bemiddelings- overeenkomsten die met leveranciers zijn gesloten op basis van het Juridisch Normen kader Cloudservices Hoger Onderwijs.
B0-5 | Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. |
B0-12 | Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging / toegangsbeheer. |
B0-13 | Niet (meer) gebruikte websites en/of informatie moet worden verwijderd. |
B0-14 | Leg afspraken met leveranciers vast in een overeenkomst. |
B2-1 | Maak gebruik van veilige beheermechanismen. |
B5-3 | Sla gevoelige gegevens versleuteld of gehashed op. |
B7-9 | Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld. |
Tabel 1: Normen verantwoordelijkheid instellingen
Voor een aantal andere normen is de service- provider verantwoordelijk. Deze moet in een ‘Third Party Memorandum’ (TPM) aangeven dat hij voldoet aan deze normen. Voor het totaaloverzicht van normen zie het Toetsings-
instellingen. Het voordeel is dat licenties voordeliger te verkrijgen zijn. Daarnaast moeten leveranciers zich door het afsluiten van een bemiddelingsovereenkomst kwalifice- ren als betrouwbare partner; dit geeft
15
4 Stappenplan
Kennisnet en saMBO-ICT hebben een overzicht gemaakt van de stappen die worden doorlopen bij de implementatie van digitaal ondertekenen binnen het middelbaar beroepsonderwijs. Uiteraard kan de exacte invulling variëren.
Businesscase
Stap 0
Het maken van een businesscase helpt bij het beantwoorden van de vraag of de digitale ondertekening van de onderwijs- overeenkomsten en de praktijk- overeenkomsten voordelig is voor de mbo-instelling. Het is daarom aan te bevelen deze vooraf op te stellen. De
businesscase zal per school verschillen. Dat komt onder andere doordat de kosten voor het gebruik van de ondertekendienst afhankelijk zijn van het soort contract.
Verder verschillen de kosten van het DigiD-assessment per auditor.
Wat de verschillen ook zijn, de overeen- komst is dat digitaal ondertekenen een enorme besparing oplevert; zo is er sprake van minder kosten voor papier, printen, verzenden en scannen. Maar vooral is er minder menscapaciteit nodig dan bij handmatige verwerking. Kennisnet en saMBO-ICT hebben op basis van de situatie bij pilotinstellingen geschat dat de bespa- ring bij een roc van gemiddelde omvang tussen de drie en zes euro per document is, afhankelijk van de werkwijze en de al
16
DigiD-assessment geld; in het rapport ‘Aanpak DigiD-assessment digitaal onderte- kenen mbo’ wordt uitgegaan van 3.000 tot
5.000 euro (exclusief btw) per assessment.
Stap 1
Voorbereiding
Stap 1.1: Bepaal het ‘digitale applicatie- landschap’. Dat is de context waarbinnen digitale ondertekening moet gaan plaats- vinden. Het gaat hierbij niet alleen om de plek waar de handtekeningen worden gezet, maar ook om het archief waarin de overeen- komsten worden opgeslagen.
Stap 1.2: Van belang is dat de processen binnen de school en de beschrijving van de Administratieve Organisatie en Interne Controle (AO/IC) worden aangepast op
digitaal ondertekenen. Zo moeten de e-mail- adressen en mobiele nummers van ouders / wettelijke vertegenwoordigers en van tekenbevoegden binnen leerbedrijven op een goede manier worden beheerd.
Stap 1.3: Bepaal welke medewerkers verant- woordelijk zijn voor procesoverstijgende aspecten, bijvoorbeeld op het gebied van informatiebeveiliging en privacy. Werk hier in het vervolg van het traject nauw mee samen. Op de website van saMBOICT staan docu- menten die deze functionarissen kunnen ondersteunen.
Stap 1.4: Bepaal welke administratieve medewerkers verantwoordelijk worden voor de digitale ondertekening en zorg ervoor dat ze voorbereid zijn op wat hen te wachten staat. De afwezigheid van fysieke papieren documenten vereist een andere inrichting en organisatie van processen en werkwijzen.
Wellicht moeten de medewerkers worden opgeleid om geautomatiseerde informatie- systemen effectief en efficiënt te kunnen gebruiken. Ook moeten ze zich bewust worden van de consequenties van digitaal werken. Onder andere vanuit wet- en regel- geving zijn er eisen aan informatie- beveiliging, toegangscontrole en privacy.
Waar voorheen papieren documenten fysiek op het bureau lagen en via de reguliere postvoorziening werden gedistribueerd, moeten nu informatiesystemen en digitale informatiedistributie worden beveiligd.
Stap 1.5: Zorg voor een overheids- identificatienummer (OIN). Dat is het identifi- catienummer voor niet-natuurlijke personen ten behoeve van het digitale berichtenverkeer met de overheid. Meer informatie hierover staat op xxxxxx.xx (navigeer naar het kopje ondersteuning).
Stap 1.6: Zorg voor PKI-certificaten. PKI staat voor Public Key Infrastructure en is de internationale standaard voor beveiligen van gegevens en berichten. Als een overheidsor- ganisatie of bedrijf gebruik wil maken van een digitale dienst van een (andere) over- heidsorganisatie, moet worden vastgesteld of dat is toegestaan. De organisatie die de dienst aanbiedt, moet eerst identificeren welke organisatie de dienst wil afnemen, voordat zij kan vaststellen of de organisatie en/of het bedrijf geautoriseerd mag worden. Op samboxxx.xx staat een link waarin wordt uitgelegd hoe je deze certificaten aanvraagt. Let op: het aanvragen van een certificaat kan enkele weken doorlooptijd vergen. Het aanvragen van een PKI-certificaat kan worden gedaan via een Certification Service provider (CSP). Een instelling kan zelf een CSP kiezen. Op xxxxxx.xx is een actueel overzicht te vinden.
17
Stap 1.7: Sluit een contract met een leveran- cier die producten of diensten voor het digitaal ondertekenen levert die de gevraagde functionaliteit levert en die aantoonbaar aan alle wettelijke vereisten voldoet. Zorg voor een Third Party Memorandum (TPM) en voor een actuele bewerkersovereenkomst. De mbo-sector kan gebruikmaken van de diensten van SURF- market in dezen.
Stap 1.8: Maak een keuze voor de manier waarop de ondertekendienst wordt gebruikt. Bij Signhost bijvoorbeeld zijn er twee mogelijk- heden: gebruikmaken van de online dienst Xxxxxxxxxxxx.xx of een koppeling van het studentadministratiepakket aan de onder- tekendienst door middel van een application programming interface (API). Hiertoe dient dus ook het studentadministratiepakket te worden aangepast en de functionaliteit mogelijk nog moet worden ‘aangezet’. Voor deze functionali-
teit in het studentadministratiepakket zijn mogelijk extra licentiekosten verschuldigd.
Stap 2
Aansluiting op DigiD
Stap 2.1: Aanvragen aansluiting op pre- productieomgeving Logius. Op xxxxxx.xx staat een aanvraagformulier waarmee je toegang krijgt tot de preproductieomgeving van DigiD. Deze omgeving is bedoeld om de koppeling van de ondertekenservice met DigiD te testen. Als de koppeling goed
functioneert, wordt de aansluiting goed- gekeurd door Logius.
Stap 2.2: Aanvragen aansluiting op productie- omgeving Logius. Vervolgens vul je een aanvraagformulier in voor de productieomge- ving van DigiD. Het is verplicht om binnen twee maanden na aansluiting op de produc- tieomgeving een DigiD-assessment uit te voeren en erover te rapporteren aan Logius. Hierbij spelen vier stappen een rol:
18
Stap 2.2.1: Uitvoeren proefaudit (aanbevo- len!) In deze stap toetst de school zelf de inrichting, processen en procedures aan de hand van beveiligingsrichtlijnen. Ook wordt een proefaudit uitgevoerd.
• Bepalen scope en verdeling DigiD verant- woordelijkheid
Resultaat: inzicht in de verdeling van verantwoordelijkheden tussen de school en de IT-leveranciers. Inzicht in welke normen door de instelling zelf worden ingevuld.
• Voorbereiding proefaudit
Resultaat: voor de interviews die deel uitmaken van de audit zijn de juiste personen bekend en te bestuderen documentatie is beschikbaar. Interview- partners zijn voorbereid. De interviews zijn ingepland.
• Uitvoeren proefaudit
Resultaat: de uitkomsten van de proefau- dit bestaan uit bevindingen en aanbevelin- gen over de mate waarin de maatregelen in de instelling in overeenstemming zijn met de vereisten van de DigiD-norm.
• Presenteren resultaten
Resultaat: een presentatie waarin op managementniveau inzicht geboden wordt in de achtergrond en aanleiding van de DigiD-audit, de mate van conformiteit aan
de normen voor de DigiD-audit, de mate waarin aangesloten kan worden op de reguliere accountantscontrole, sterkten en zwakten en de benodigde vervolgacties.
Stap 2.2.2: Maatregelen treffen
In deze stap pakt de school eventuele tekortkomingen aan. Nagegaan wordt welke maatregelen de hoogste prioriteit hebben en hoe snel en met welke diepgang de verbete- ringen moeten worden doorgevoerd.
Resultaat: verbeterde beveiligingsmaatrege- len met inachtname van het ambitieniveau van de instelling.
Stap 2.2.3: Audit laten uitvoeren
In deze stap voert de auditor de DigiD-audit uit conform geldige auditprotocollen. De auditor moet een door de NOREA gecertifi- ceerde Register EDP-auditor (RE) zijn. De auditor bestudeert de documentatie en houdt interviews. Hij beoordeelt de opzet (documentatie) en het bestaan (feitelijk uitgevoerde activiteiten) en velt een oordeel per norm, met een gedetailleerde onderbou- wing van de argumentatie. De werking, het uitvoeren van beheersmaatregelen over een langere periode, wordt niet getoetst. De auditor toetst de auditrapportage van de leverancier aan de algemene richtlijnen voor
de rapportage over DigiD-audits en op de volledigheid van de overeengekomen te toetsen normen. De bevindingen legt de auditor vast in een rapportage.
Resultaat: DigiD-assessmentrapportage, bestaande uit:
• totaaloverzicht van de scores per norm, maar geen samenvattend oordeel
• per norm een uitspraak of de interne beheersingsmaatregelen - in audittermen
- ‘in alle van materieel belang zijnde aspecten, op afdoende wijze qua opzet en bestaan zijn ingeregeld’
• per norm een toelichting op de uitspraak en eventueel voorstellen voor verbetering
• een beschrijving van de onderzochte dienst en de betrokken leveranciers
Stap 2.2.4: Bevindingen naar Logius sturen De instelling biedt het rapport van de auditor en het TPM-rapport van de IT-serviceorgani- satie aan aan Logius.
Stap 3
Uitvoering
Als alle voorbereidende werkzaamheden zijn uitgevoerd en de aansluiting op DigiD is gerealiseerd, kunnen de onderwijsovereen- komst en de praktijkovereenkomst digitaal worden ondertekend. Dit gaat als volgt:
19
Stap 3.1: De instelling biedt bij de onderte- kendienst een document aan, tegelijkertijd met de contactgegevens van de partijen die het document moeten ondertekenen.
Stap 3.2: De ondertekendienst certificeert de pdf, zodanig dat de inhoud van het docu- ment niet langer kan worden veranderd en er alleen nog digitale handtekeningen aan kunnen worden toegevoegd.
Stap 3.3: Alle partijen ontvangen een mail met een gepersonaliseerde link naar het document in de ondertekendienst. Deze partijen volgen de link en identificeren zich met een voldoende betrouwbaar middel bij de ondertekendienst.
Stap 3.4: De partijen krijgen de vraag zich akkoord te verklaren met de inhoud van het document. Na akkoord verbindt de onder- tekendienst de identiteit van deze partij aan de pdf in de vorm van een geavanceerde elektronische handtekening. Hiertoe gene- reert de ondertekendienst voor deze partij een ´Digital ID´, die alleen voor deze ene sessie gebruikt wordt. Bovendien plaatst de ondertekendienst de naam van de onder- tekenaar en de datum van ondertekening zichtbaar op de pdf.
Stap 3.5: Zodra alle handtekeningen zijn gezet, wordt de pdf afgesloten. Hierdoor zijn de handtekeningvelden niet meer bewerk- baar. De pdf wordt per mail naar alle partijen verstuurd.
Stap 3.6: De door alle partijen ondertekende pdf wordt teruggezonden naar alle partijen die het hebben ondertekend.
Stap 3.7: Tot slot wordt een transactiebon aangemaakt waarop identificerende gege- vens komen te staan, de tijdstippen van daadwerkelijke ondertekening en IP-num- mers van de aansluiting die bij de onderteke- ning zijn gebruikt. Deze transactiebon dient voor de instelling primair als bewijslast in mogelijke conflicten. Het gaat om privacy- gevoelige informatie, dus moet de school daar dienovereenkomstig mee omgaan.
20
Stap 0: businesscase | Stap 1: voorbereiding | Stap 2: aansluiting op DigiD | Stap 3: uitvoering |
1.1: bepaal het ‘digitale applicatielandschap’ 1.2: pas de processen en de AO/IC aan op digitaal ondertekenen 1.3: bepaal wie verantwoordelijk zijn voor procesoverstijgende aspecten 1.4: bepaal wie verantwoordelijk zijn voor de digitale ondertekening en bereid hen voor 1.5: zorg voor een overheids- identificatienummer 1.6: zorg voor PKI-certificaten 1.7: sluit een contract met een leverancier 1.8: maak een keuze voor de manier waarop de ondertekendienst wordt gebruikt | 2.1: vraag de aansluiting op de preproductieomgeving van Logius aan 2.2: vraag de aansluiting op de productieomgeving van Logius aan 2.2.1: voer een proefaudit uit 2.2.2: pak tekortkomingen aan 2.2.3: laat een audit uitvoeren 2.2.4: stuur de bevindingen naar Logius | 3.1: school biedt te ondertekenen document aan bij onderteken- dienst 3.2: ondertekendienst certificeert de pdf 3.3: partijen ontvangen mail met gepersonaliseerde link naar document en identificeren zich 3.4: partijen krijgen vraag zich akkoord te verklaren met inhoud document en ondertekenen 3.5: zodra alle handtekeningen zijn gezet, wordt de pdf afgesloten 3.6: partijen ontvangen onder- tekende pdf 3.7: transactiebon wordt aan- gemaakt en dient als bewijslast voor school |
Tabel 2: stappen implementatie digitaal ondertekenen
21
5 Digitaal ondertekenen in
In dit hoofdstuk komen drie mbo-instellingen aan het woord die ervaringen hebben opgedaan met het digitaal ondertekenen van onderwijsovereenkomsten en praktijkovereenkomsten. Het gaat om mbo-instellingen die hebben mee- gedaan aan het project ‘Proof of Concept digitaal ondertekenen mbo’. In het project is bekeken welke producten er op de markt beschikbaar zijn op het gebied van digitale ondertekening. Hieruit is het product Signhost van Evidos geselec- teerd. Signhost kan als online dienst (Xxxxxxxxxxxx.xx) worden gebruikt,
maar kan ook door middel van een API met het Student Informatie Systeem communiceren. Inmiddels hebben Fringe Company en Educus voor hun administratiesystemen deze koppelingen gerealiseerd. Voor een grotere gebruiksvriendelijkheid en efficiency heeh Wellantcollege een extra functionali- teit tussen Signhost en Trajectplanner laten bouwen, die inmiddels door Fringe Company breder beschikbaar is gesteld. Het Horizon College werkt met een koppeling tussen Signhost en EduArte.
Wat zijn de ervaringen van ROC de Leijgraaf?
ROC de Leijgraaf is in 2015 op zoek gegaan naar een ander leerlingvolgsysteem. Een voorwaarde daarbij was dat de primaire en secundaire processen zo op elkaar af zijn gestemd, dat gegevens slechts eenmaal
digitaal worden vastgelegd. In mei 2016 is gestart met de digitale ondertekening van de onderwijsovereenkomst door meerderjarige studenten, in april 2017 gevolgd door min- derjarige studenten. Hiervoor wordt gebruik- gemaakt van Xxxxxxxxxxxx.xx van Evidos.
Xxxxxxxx xxx Xxxx, manager Informatie- voorziening en Cursusadministratie:
de praktijk
22
Figuur 3: screenshot overzicht digitaal te ondertekenen overeenkomsten
Figuur 4: screenshot koppeling Xxxxxxxxxxxx.xx met DigiD
“Het mooie is dat de overeenkomst binnen een dag door een kwart van de studenten was ondertekend. Na een week was dat gedaan door 68% en na twee weken door 87% van de studenten. Dat percentage is hoger dan bij de ondertekening op papier. Eventuele vertraging zit in het (opnieuw) aanvragen van de DigiD. Problemen die we voorzien hadden, bleken er niet te zijn. Zo hebben studen- ten geen bezwaar tegen de ondertekening met DigiD en zien virusscanners en studenten de mail met de digitale versie van de overeenkomst niet als spam. Een tip is wel om in de begeleidende mail een telefoonnummer op te nemen, zodat studenten bij twijfels en vragen eenvoudig contact op kunnen nemen. Een andere tip is om de mail te laten versturen vanaf een mailadres van de instelling zelf en niet van bijvoorbeeld de ondertekenservice; die kennen studenten namelijk niet van naam. Verder is het handig om studenten en hun ouders tegelijk een mail te sturen over het te ondertekenen document; je krijgt er dan vanzelf gesprekken over bij mensen thuis, wat de betrokkenheid ten goede komt.”
In een overzicht wordt getoond of studenten de overeen- komst hebben geopend en ondertekend. Een reminder wordt automatisch verstuurd. Als alle betrokken partijen hebben ondertekend, krijgt de student automatisch een mail met het ondertekende document. Aandachtspunt is waar de documenten worden gearchiveerd. Xxxxxxxx xxx Xxxx: “Op dit moment slaan we alles zowel in het documentmanagementsysteem als in de kernregistratie deelnemers (KRD) op, maar we willen naar één systeem
23
Xxxxxxxx xxx Xxxx is van mening dat mbo- instellingen kosten kunnen besparen als het gaat om de administratieve lasten. “Het overstappen op digitaal ondertekenen helpt daarbij. Het is een traject dat tijd nodig heeft, onder andere doordat je te maken hebt met een audit en doordat je certificaten moet inregelen. Wel kunnen scholen het traject voorbereiden, onder andere door contact op te nemen met de leverancier van het Student Informatie Systeem en te vragen naar de mogelijkheden van een koppeling met een ondertekenapplicatie. Ook kun je de deel-
nemersadministratie voorbereiden. De nieuwe manier van ondertekenen past binnen de digitalisering die al gaande is,
Xxx Xxxxxxxx, algemeen manager van saMBO-ICT, zegt dat de eerste resul- taten veelbelovend zijn: een aanzienlijke lastenvermindering is het resultaat. “Bij bijvoorbeeld ROC de Leijgraaf merkt men het gemak waarmee studenten zich aanpasten aan deze ‘nieuwe’ werkwijze. Binnen een week zijn vrijwel alle handtekeningen binnen, terwijl dit normaal weken duurt en er veel achter- aan gezeten moet worden.”
Bron: ‘De juiste informatie als funda- ment voor goed onderwijs. De opbreng- sten van SION’ (2016)
maar kent ook een aantal specifieke aan- dachtspunten. Het gaat eigenlijk om een soort verandermanagement; met de deel- nemersadministratie willen we van adminis- tratieve taken naar een meer monitorende taak. Mijn advies aan andere mbo-instellingen is: zorg voor een goede voorbereiding op de digitale ondertekening van de onderwijs-
overeenkomst en de praktijkovereenkomst en zet door! Want de voordelen zijn evident: minder administratieve lasten, een veel snellere doorlooptijd van het ondertekenen van overeenkomsten en een besparing op papierkosten, verzendkosten en de kosten voor het scannen van de ondertekende documenten. Daarnaast is er sprake van een kwaliteitsaspect; het is lastiger om te sjoeme- len met een digitale handtekening dan met een handtekening op papier.”
Wat zijn de ervaringen van Wellantcollege?
Wellantcollege biedt zowel vmbo- als mbo- opleidingen aan. Informatiemanager Xxxx xxx Xxxxxx vindt het opvallend dat leer- lingen in het vmbo geen overeenkomst hoeven te ondertekenen, maar studenten in het mbo wel. “Dat staat in de Wet Educatie en Beroepsonderwijs. Toen we startten met het project op het gebied van digitaal onder- tekenen hebben we nog overwogen om in te zetten op een wetswijziging. We hebben hier destijds niet voor gekozen, omdat zo’n wijzigingstraject heel lang duurt. Maar uiteindelijk heeft het project van Wellant- college, Horizon College, MBO Utrecht en ROC de Leijgraaf al jaren in beslag genomen.
24
Enerzijds is dat begrijpelijk, omdat de digitale ondertekening van de onderwijsovereen- komst en de praktijkovereenkomst veel voeten in de aarde heeft. Anderzijds is het risico dat er onevenredig veel aandacht is voor de haken en ogen en te weinig voor de voordelen, zoals de efficiencyslag. En eigen-
lijk gaat het niet eens zozeer om die voor- delen; digitaal werken wordt steeds meer gemeengoed in de maatschappij, dus waarom nog niet in het mbo?”
Naar de mening van Xxxx xxx Xxxxxx zit de weerstand tegen digitaal ondertekenen niet bij de studenten en hun ouders, maar bij de
Wellantcollege is nog niet gestart met de implementatie met de digitale onderteke- ning van de onderwijsovereenkomst en de praktijkovereenkomst. Xxxx xxx Xxxxxx: “Dat heeft vooral te maken met het feit dat dit project geen prioriteit heeft. Daarbij speelt mee dat de administratie binnen het aoc decentraal geregeld is, in tegenstelling tot bijvoorbeeld ROC de Leijgraaf. Doordat roc’s verschillend georganiseerd zijn, verschillen de implementaties en de bijbehorende
25
xxxxx komt kijken bij de ondertekening door studenten. Bij de ondertekening van overeenkomsten door personeel, bijvoor- beeld een arbeidsovereenkomst, ligt dat veel eenvoudiger. Ik zie wel kansen vanuit het project om daar ook iets mee te doen. Een andere kans zit in het werken met meerdere verificatiemethoden. Het voordeel van DigiD is dat moet worden voldaan aan allerlei
voorwaarden; het nadeel is dat deze methode allerlei assessments en audits met zich meebrengt die veel energie kosten.
Uiteraard is bijvoorbeeld privacy belangrijk, maar de wetgever schiet soms wel eens beetje door in alles wat daarbij komt kijken! Als het gaat om een papieren overeenkomst, controleert niemand of de handtekening wel echt is; als het gaat om een digitale handte-
26
Wat zijn de ervaringen van het Horizon College?
Het Horizon College werkt samen met Educus aan de koppeling tussen Signhost en EduArte. Xxxxx Xxxxxxxx, adviseur Informatievoorziening bij de Studenten- administratie: “Ons roc hecht veel waarde aan een goede integratie tussen de ondertekenapplicatie en het Student Infor- xxxxx Xxxxxxx (SIS), zeker omdat het bij de digitale ondertekening van de onderwijs- overeenkomst en de praktijkovereenkomst gaat om grote aantallen. We willen bijvoor- beeld niet de mailadressen van studenten, ouders en leerbedrijven handmatig moeten
overzetten om een document voor digitale ondertekening aan te bieden. De kans op fouten is daarbij te groot. Medio 2016 zijn afspraken gemaakt met Educus om een eerste ‘basisversie’ van de koppeling tussen EduArte en de ondertekendienst van Evidos (Signhost) te ontwikkelen. Deze versie is eind december 2016 opgeleverd. In januari / februari 2017 hebben we op hoofdlijnen getest en daarna meer gedetailleerd. Dat hebben we gedaan met medewerkers van verschillende afdelingen om een goed beeld te krijgen van wat er nodig is in de praktijk en hoe de nieuwe functionaliteit daarop aansluit. De basisfunctionaliteit is als vol- doende beoordeeld om een pilot mee te kunnen uitvoeren. Doel van de pilot is om de juiste werking definitief vast te stellen, om de veelbelovende businesscase te bevestigen en om de ‘confrontatie’ met de praktijk te maken op basis waarvan functionele doorontwikkelingswensen kunnen worden bepaald en beargumenteerd. Uiteindelijk worden de bevindingen in een evaluatie- document opgeleverd, met een advies over mogelijke verdere uitrol binnen het Horizon College. Binnen de scope van de pilot richten we ons op maximaal driehonderd praktijk- overeenkomsten (een mix van beroepsoplei- dende leerweg en beroepsbegeleidende
leerweg) voor twee onderwijssectoren. De pilot wordt uitgevoerd in de periode juli tot en met oktober 2017.”
Xxxxx Xxxxxxxx geeft aan dat scholen die willen gaan werken met digitale onderteke- ning, rekening moeten houden met zowel functionele als technische randvoorwaarden. “Die functionele randvoorwaarden heb je grotendeels zelf in de hand. Denk daarbij vooral aan de impact op een aantal bestaande administratieve werkprocessen (bijvoorbeeld op documentinrichting, opslag van ondertekende documenten, gebruikers- autorisaties, gebruikersinstructies en para- meterisering in het Student Informatie Systeem en in de ondertekenservice). Naast de functionele aspecten heb je te maken met veel technische inrichtingen. Hierbij is sprake van een samenspel tussen verschillende externe organisaties (de leverancier van de ondertekenservice, de leverancier van het Student Informatie Systeem en de leveran- cier van DigiD) die de inrichting van de systemen in een strakke volgorde uitvoeren. Dit gebeurt stap voor stap; een strakke regie vanuit de school en hierbij steeds een stap vooruit denken kan zorgen voor een bedui- dend kortere doorlooptijd. We maken hierbij gebruik van een overzichtelijk stappenplan dat ons door Evidos is aangereikt.”
27
Tot slot
Toekomstperspectief
Deze publicatie begint met de uitspraak dat digitale communicatie maatschappelijk en zakelijk breed geaccepteerd is en overal de standaard wordt. In het project ‘Proof of Concept digitaal ondertekenen mbo’ hebben we bekeken of het haalbaar is om de onderwijsovereenkomst en de praktijk- overeenkomst digitaal te ondertekenen.
Daarbij hebben we onder andere gekeken aan welke (wettelijke) eisen mbo-instellingen moeten voldoen en welke methoden er kunnen worden gebruikt voor bijvoorbeeld authenticatie. Maar op al deze aspecten zijn er dynamische ontwikkelingen. Zo komen er nieuwe vormen van digitale identificatie, zoals Idensys; hiermee wordt het een stuk veiliger en eenvoudiger om online zaken te regelen. Ook wordt gewerkt aan andere middelen waarmee mensen zich laag- drempelig kunnen authenticeren, zoals een identiteitskaart of bankpas. Een andere opkomende vorm van digitale herkenning is eHerkenning, waarmee functionarissen veilig en snel kunnen inloggen op webdiensten van (overheids)organisaties.
Er zijn niet alleen veranderingen te verwach- ten op het gebied van digitale identificatie, maar ook op het gebied van wet- en regel- geving. Hierbij is de implementatie van Algemene Verordening Gegevensbescherming (verplicht voor 25 mei 2018) een belangrijk richtpunt. Informatie hierover staat op de website van de Autoriteit Persoonsgegevens (AP) en saMBOICT.
Verder zorgt het overheidsinitiatief ‘generieke digitale infrastructuur’ (GDI) ervoor dat er steeds eenvoudiger koppelingen tussen systemen kunnen worden geïmplementeerd. De GDI bestaat uit standaarden, producten en voorzieningen die gezamenlijk gebruikt worden door meerdere overheden, vele publieke organisaties en in een aantal gevallen ook door private partijen. Op de website van Digitale Overheid worden de laatste berichten en ontwikkelingen over stimulering van digtalisering door de overheid voortdurend bijgehouden.
Een wenkend perspectief?
Het toekomstperspectief laat zien dat er allerlei ontwikkelingen zijn op het gebied van digitaal ondertekenen. Is het daarmee ook een wenkend perspectief? Wellicht levert de digitale ondertekening van de onderwijsovereenkomst en de praktijkover- eenkomst scholen zo veel (financiële) voordelen op, dat ze ook andere mogelijk- heden gaan onderzoeken. Bijvoorbeeld op het gebied van personeelsovereenkomsten. Er komen ongetwijfeld andere verificatie- methoden, die het nóg eenvoudiger maken om digitaal te communiceren binnen het onderwijs en daarmee zorgen voor efficiencyslagen in de administratieve processen van onderwijsinstellingen.
Meer informatie
Wil je meer informatie over de mogelijkheden op het gebied van digitaal ondertekenen? Kijk dan op de website van saMBOICT. Daar vind je alle links naar de documenten en websites die worden genoemd in deze publicatie.
28
Colofon
‘Digitaal ondertekenen in het mbo’ is een uitgave van Kennisnet in samenwerking met saMBO-ICT
Datum van uitgave
September 2017
Redactie
Xxx Xxxxxx (Kennisnet), Xxxx-Xxx xxx Xxxxxx (saMBO-ICT), Xxxx Xxxxx (saMBO-ICT) Xxxxxxx xxx Xxxxxxx (Entopic)
Eindredactie
Xxxx xxx xxx Xxxx (Kennisnet)
Met dank aan
Xxxx xxx Xxxxxx (Wellantcollege), Xxxxxxxx xxx Xxxx (ROC de Leijgraaf), Xxxxx Xxxxxxxx (Horizon College)
Fotografie
Xxxxxx Xxxxxxx, Xxxx Xxxxxxxx Xxxxxx, Xxxxxxx Xxxxxxx
Vormgeving
Tappan Communicatie
Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaarden de auteur(s), redacteur(s) en uitgever van Kennisnet geen aansprakelijkheid voor eventuele fouten of onvolkomenheden.
Over Kennisnet
Elke leerling verdient eigentijds, veilig en persoon- lijk onderwijs. Daarom ondersteunt Kennisnet scholen met ict. We zorgen voor een landelijke
ict-basisinfrastructuur, adviseren de sectorraden en delen onze kennis met het primair onderwijs (po), het voortgezet onderwijs (vo) en het middel- baar beroepsonderwijs (mbo). Kennisnet wordt gefinancierd door het ministerie van Onderwijs, Cultuur en Wetenschap (OCW).
Over saMBO-ICT
saMBO-ICT is een zelfstandige organisatie van en voor alle mbo-instellingen en heeft sterke banden met de MBO Raad en met Kennisnet. Belangrijke pijlers zijn belangenbehartiging, kennisdelingen projecten. saMBO-ICT houdt zich bezig met een breed aantal onderwerpen op het gebied van ict en informatievoorziening. saMBO-ICT maakt bij de activiteiten gebruik van de kennis en energie die binnen de instellingen aanwezig zijn en zorgt daarbij voor praktische ondersteuning.
Sommige rechten voorbehouden Kennisnet T 0800 321 22 33 Xxxxxxx 000
Paletsingel 32 E xxxxxxx@xxxxxxxxx.xx 0000 XX Xxxxxxxxxx
0000 XX Xxxxxxxxxx I xxxxxxxxx.xx
Kennisnet
Xxxxxxxxxxx 00
0000 XX Xxxxxxxxxx
T 0800 321 22 33
E xxxxxxx@xxxxxxxxx.xx I xxxxxxxxx.xx
Xxxxxxx 000
0000 XX Xxxxxxxxxx
Laat ict werken voor het onderwijs 29