Veilig omgaan met AI op school

  • AI-School is een veilige leeromgeving

  • Speciaal ontworpen voor scholen, met een inlogmogelijkheid via de schoolomgeving.

  • Leerlingen worden begeleidt en gemonitord tijdens het gebruik van de applicatie

  • AI-School voldoet aan de wettelijke vereisten voor de bescherming van persoonsgegevens

  • Ook wordt binnen de applicatie de mogelijkheid geboden om te werken met anonieme accounts, zonder gebruik persoonsgegevens

Algemene verordening gegevensbescherming (AVG)

Wat is de AVG?

Onderwijsinstellingen verzamelen en gebruiken veel persoonsgegevens van hun leerlingen of studenten. De AVG verplicht je om deze gegevens zorgvuldig te gebruiken en de privacy van leerlingen te beschermen.

Voldoet AI-school aan de AVG?

Om te voldoen aan de AVG sluit de school een verwerkersovereenkomst af met AI-School voor het gebruik van de AI-school applicatie. Hierin wordt vastgelegd hoe de persoonsgegevens verwerkt worden.

Welke verwerkersovereenkomst?

AI-School gebruikt de modelovereenkomst van Privacyconvenant Onderwijs als basis voor de verwerkersovereenkomst.

Wat gebeurt er met verzonden chats?

Chatberichten worden verstuurd naar onze subverwerkers om antwoord te kunnen geven. Wij hebben overeenkomsten met onze subverwerkers om deze informatie vertrouwelijk en AVG-proof te verwerken.

Gevoelige persoonsgegevens?

AI-School verwerkt geen gevoelige persoonsgegevens. Wij hebben alleen het leerlingnummer, de naam en het e-mail adres nodig van leerlingen. Deze gegevens worden niet gedeeld met externe partijen of subverwerkers.

Gevoelige gegevens in de chat?

De medewerkers of leerlingen kunnen gevoelige gegevens invoeren en versturen in de vraag. Dit is niet verstandig en de school dient duidelijke instructies te geven om dit af te raden. Onze subverwerkers hebben echter de verplichting om vertrouwelijk met onze verstuurde gegevens om te gaan.

Supervisie en content filters

Chatgeschiedenis

Docenten hebben inzage in de volledige chatgeschiedenis van leerlingen.

Direct inzicht tijdens de les

Docenten kunnen een les starten en leerlingen monitoren tijdens de les

Content filters

De taal en beeldmodellen hebben sterke content filters. Ze geven geen antwoord op risicovolle en gevoelige vragen.

Inloggen met je schoolaccount

Wij koppelen AI-School met Microsoft of Google om veilig te kunnen inloggen met jullie schoolaccount. De school dient toestemming te geven voor het gebruik van onze Microsoft applicatie, of kan een eigen Microsoft applicatie indienen om mee te koppelen.

De koppeling controleert of het e-mail adres is aangemeld binnen de AI-School applicatie. Zo voorkomen wij dat niet-aangemelde e-mail adressen gebruik kunnen maken van de schoolomgeving.

Licentieovereenkomst AI-School

Bekijk onze licentieovereenkomst en de verwerkersovereenkomst op basis van het Privacyconvenant Onderwijs.

Integraal onderdeel van de licentieovereenkomst zijn:

  1. Algemene voorwaarden van AI-School

  2. Servicevoorwaarden van AI-School

  3. Privacyverklaring van AI-School

Achter de schermen

Wat gebeurt er als ik een vraag stel in de chat?

De chat is een reeks vragen en antwoorden. Bij het stellen van een nieuwe vraag worden eerst de vragen en antwoorden van de chat opgehaald uit onze database. Deze chatgeschiedenis wordt samen met de nieuwe vraag verstuurd naar een taalmodel via een API-koppeling. De informatie wordt versleuteld verstuurd.

Waar wordt dit naartoe verstuurd?

AI-school biedt verschillende taalmodellen aan (versies van GPT, Claude en Gemini). De informatie wordt verstuurd naar de partij die de koppeling aanbiedt van het gekozen taal model. Dit is in de meeste gevallen OpenAI of Google.

Wat doet het taalmodel?

Het taalmodel van OpenAI of Google verwerkt de informatie en genereert een antwoord. Het antwoord wordt geformuleerd door een AI-taalmodel. Deze modellen zijn buitengewoon complex en AI-School heeft geen invloed op de werking of uitkomst van deze modellen.

AI-School ontvangt het antwoord en presenteert dit vervolgens binnen het chatvenster.

En als ik de beeldmodus aanzet?

De beeldmodus stelt je in staat om een beeld te genereren vanuit een omschrijving. Wij halen geen chatgeschiedenis op in de beeldmodus. Wij versturen dus direct de vraag naar het tekst-naar-beeld model via een API-koppeling met OpenAI.

Wat is OpenAI?

OpenAI is het bedrijf achter ChatGPT. Dit bedrijf biedt eigen applicaties aan zoals ChatGPT en de betaalde versie van ChatGPT. Ook biedt dit bedrijf koppelingen aan voor externe partijen om gebruik te kunnen maken van de verschillende taal- en beeldmodellen die zij gemaakt hebben. AI-School maakt gebruik van deze koppelingen om antwoorden en beelden te genereren.

Verzamelt OpenAI onze gegevens?

Nee. AI-school is een betalende klant van OpenAI via de API-koppelingen die zij aanbieden. Wij hebben een verwerkersovereenkomst met OpenAI en de andere aanbieders van AI-modellen, waarin zij garanderen dat onze gegevens niet bewaard worden en dat voldaan wordt aan de EU regelgeving voor privacy. Wij delen geen leerlinggegevens met OpenAI en andere subverwerkers.

Lijst van subverwerkers

  • Wij maken gebruik van de OpenAI API voor het aanroepen van de chatmodellen GPT 3.5 Turbo en GPT 4.0 en het beeldmodel Dall E 3.

    Wij maken ook gebruik van de Assistant API voor het instellen van Assistenten (custom chat bots).

    Wij hebben een verwerkersovereenkomst afgesloten met OpenAI dat voldoet aan de AVG regelgeving.

    OpenAI verwerkt geen persoonsgegevens van AI-School. Wij versturen geen persoonsgegevens naar de OpenAI API.

  • Wij maken gebruik van Google Cloud voor het database, cloud opslag en applicatie back-end diensten (Firebase).

    Wij maken gebruik van Google Cloud Vertex AI voor de chatmodellen van Gemini.

    Door gebruik te maken van deze diensten, zijn wij onderhevig aan de verwerkersovereenkomst van Google Cloud.

    Google zet zich in om ervoor te zorgen dat haar diensten in overeenstemming zijn met de AVG, en de Cloud Data Processing Addendum is een onderdeel van dit streven.

    Wij maken gebruik van servers binnen de Europese Economische Ruimte. Details hierover kunt u vinden in de bijlagen van de Verwerkersovereenkomst.

  • We maken gebruiken van de Anthropic API voor het gebruik van het chatmodel Claude 3 Sonnet.

    Dit model is optioneel binnen de AI-School omgeving.

    Anthropic heeft een DPA die volledig voldoet aan de AVG regelgeving.

  • Replicate platform verzorgt API koppelingen voor het aanroepen van open source modellen Llama 2 en SDXL.

    Wij vallen onder de privacyvoorwaarden van Replicate voor het aanroepen van API´s.

    Wij hebben deze voorwaarden beoordeeld als conform de AVG.

    Deze open source modellen zijn optioneel binnen de applicatie.

    We versturen geen persoonsgegevens naar Replicate.

  • Wij gebruiken Microsoft Entra om medewerkers en leerlingen in te loggen met het schoolaccount.

    Deze inlogmethode is veilig, omdat er geen wachtwoorden aan te pas komen. Na succesvolle inlog bij Microsoft krijgen wij de benodigde informatie om het inlogproces te voltooien.

    Wij vragen alleen rechten om basic profielinformatie met ons te delen zodat we de gebruiker kunnen inloggen.

  • Wij bieden inlog via Google for Education ook aan als inlogmethode.

    Wij vragen alleen om basic profielinformatie om het inlogproces te kunnen verwerken.

  • Wij gebruiken Jotform voor het electronisch invullen en ondertekenen van de overeenkomsten.

    Wij hebben een verwerkersovereenkomst afgesloten met Jotform dat voldoet aan de AVG regelgeving.

    Binnen Jotform vul je persoonsgegevens in over de school admin, de FG en de gemachtigde. Er komen geen gegevens van andere medewerkers of leerlingen.

  • Voor het verwerken van facturen gebruiken wij intern het boekhoudpakket Moneybird.

    Binnen Moneybird vullen wij persoonsgegevens in van de contactpersonen binnen de school.

    Wij verwerken binnen Moneybird geen gegevens van andere medewerkers of leerlingen.

  • Wij maken gebruik van een Weaviate vector database om chatten met documenten mogelijk te maken.

    Weaviate is een open source vector database waarbij wij de cloud services van het platform afnemen. Ieder account op AI-School krijgt een eigen “tenant” ofwel eigen gedeelte op de database.

    Bij het uploaden van documenten worden stukken tekst omgezet in vectoren zodat het mogelijk wordt om een zogenaamde “similarity search” te doen.

    Zoals duidelijk is in de Weaviate Privacy Policy verzamelt Weaviate geen persoonlijke gegevens, behalve de gegevens personen van bedrijven die diensten afnemen bij Weaviate Cloud Services.

Beveiligingsmaatregelen

Hoe beveiligen jullie de systemen?

Wij maken gebruik van het Google Cloud Platform (Firebase) voor de opslag van gegevens.

Google Cloud Platform, inclusief Firestore, werkt in overeenstemming met verschillende standaarden en certificeringen, waaronder enkele ISO normen.

Enkele voorbeelden zijn:

ISO/IEC 27001: Dit is een internationale standaard voor informatiebeveiliging management systemen (ISMS), gericht op het beschermen van de vertrouwelijkheid, integriteit, en beschikbaarheid van informatie.

ISO/IEC 27017: Deze standaard focust op cloud-specifieke informatiebeveiliging, met richtlijnen voor zowel cloud service providers als cloud service gebruikers.

ISO/IEC 27018: Dit is een code voor het beschermen van persoonlijke data in de cloud, en is bijzonder relevant voor diensten die te maken hebben met het verwerken van persoonsgegevens.

In aanvulling op ISO certificeringen, voldoet Google Cloud ook aan andere normen en certificeringen zoals SOC 1, SOC 2, en SOC 3, en de General Data Protection Regulation (GDPR) van de Europese Unie.

Hoe voorkomen jullie ongeautoriseerde toegang?

We hebben verschillende maatregelen genomen om ervoor te zorgen dat alleen gebruikers met de juiste rechten toegang hebben tot de gegevens.

  1. Inloggen via Microsoft of Google schoolaccount. Dit is inherent veiliger dan het inloggen via e-mail en wachtwoord. En het is ook gemakkelijker.

  2. Toekennen van rollen aan de gebruikers van de applicatie: rollen zijn leerling, medewerker, docent, admin en super admin. Toegang tot gegevens is beperkt per rol.

  3. Toekennen van omgevingsrechten: gebruikers krijgen alleen toegang tot de omgeving waar zij bij horen, tenzij de rol super admin is toegekend.

  4. Instellen van Security Rules in de Firestore database. Security Rules zorgen ervoor dat de toegekende rollen en omgevingsrechten worden toegepast.

  5. App Check zorgt er als laatste voor dat alleen verzoeken tot informatie worden verwerkt die van geautoriseerde front-end applicaties verzonden worden.

Wat is App Check?

"App Check" is een beveiligingsfunctie van Firebase die helpt bij het beschermen van je backend-resources tegen misbruik, zoals ongeautoriseerde toegang en het nabootsen van jouw app. App Check werkt door te verifiëren dat het inkomende verkeer naar je Firebase-backend afkomstig is van authentieke, vertrouwde instanties van je app.

Mogen kinderen AI gebruiken?

Mogen kinderen AI gebruiken?

Kinderen mogen AI tools gebruiken zolang de tools voldoen aan de AVG en Europese regelgeving. Op deze pagina hebben wij al uitgebreid omschreven hoe we aan de voorwaarden van de AVG voldoen.

Hoe zit het met de AI Act in de Europese Unie?

De Europese AI Act is nog in behandeling en verbiedt het gebruik van AI systemen die kinderen kunnen misleiden of mentale gezondheid kunnen schaden. De partijen waar wij koppelingen voor aanbieden zijn vooraanstaande bedrijven die sterk afhankelijk zijn van hun reputatie op dit gebied. OpenAI en Google werken mee aan het veilige gebruik van AI in de wereld.

Waarom mogen kinderen onder 13 jaar geen abonnement afsluiten bij ChatGPT?

ChatGPT is een Amerikaans bedrijf en is daarom onderworpen aan de Amerikaanse Children's Online Privacy Protection Act (COPPA). COPPA vereist dat websites en online services toestemming van ouders of wettelijke voogden krijgen voordat ze persoonlijke gegevens van kinderen jonger dan 13 jaar verzamelen. COPPA is niet van toepassing binnen Nederland en het delen van persoonlijke gegevens is niet van toepassing als de school accounts voor leerlingen aanmaakt in de vertrouwde AI-School omgeving. Daarnaast biedt AI-School voldoende mogelijkheden om toezicht op leerlingen te houden.

Waarom is toezicht nodig op het gebruik van AI op school?

Zonder toezicht kunnen kinderen de AI tools verkeerd gebruiken. Er zijn sterke content filters actief die verhinderen dat er antwoord wordt gegeven op risicovolle en gevoelige vragen.

AI-School biedt inzage in de chatgeschiedenis van leerlingen en direct tijdens de les. We hebben deze functionaliteit ook ingebouwd om de leerlingen goed te kunnen begeleiden tijdens het chatten. Want zo kunnen leerlingen deze belangrijke vaardigheid het beste leren.

Nog vragen?

Openingstijden
maandag – vrijdag
9:00 – 17:00 uur

Telefoon
06 47 94 19 81

E-mail
support@ai-school.info