De invoering van het ECK iD In het MBO is voor veel onderwijsinstellingen een uitdagend project. De eerste studentinformatiesystemen (SIS) zijn weliswaar aangesloten op Nummervoorziening, maar de integratie van het ECK iD in het MBO is uitdagend. Daarom is het nog niet direct beschikbaar voor toegang tot en gebruik van digitaal lesmateriaal. DWE ICT biedt met EduConnector de oplossing waarmee MBO-instellingen de stap kunnen maken. Het ROC van Amsterdam-Flevoland heeft deze als eerste MBO van Nederland de oplossing van DWE ICT geïmplementeerd.
Het ROC van Amsterdam-Flevoland (ROCvA-F) verzorgt middelbaar beroepsonderwijs (MBO) op negen locaties in Amsterdam, Amstelveen, Hoofddorp en Hilversum. In totaal biedt het ROCvA-F bijna 300 mbo-opleidingen aan circa 45.000 studenten. Net zoals alle instellingen In het MBO kreeg het ROCvA-F in 2018 te maken met de aansluiting het ECK iD voor de uitwisseling van studentengegevens conform de Algemene verordening gegevensbescherming (AVG).
Gebrek aan kant-en-klare oplossingen
“Alle onderwijsinstellingen in Nederland zijn gevraagd om handen en voeten te geven aan de implementatie van ECK iD”, vertelt Michiel Nicolasen, IT-architect technische infrastructuur bij het ROC van Amsterdam. “Wij wilden dat voor ROCvA-Fzo snel mogelijk integreren in ons Identity en Access Management (IAM)-systeem, want over een jaar is dit nog de enige manier waarop we studentengegevens willen uitwisselen met leveranciers van digitale leermiddelen.”
De meeste MBO-instellingen gebruiken Microsoft ADFS en/of Azure AD als federatie-service. In die omgeving is echter geen eenvoudige oplossing voor het versleutelen en weer verstrekken van het ECK iD. Veel MBO’s wisselen studentenidentiteiten uit met IT-systemen via het zogenoemde System for Cross-Domain Identity Management (SCIM). Dit zorgt ervoor dat identiteitsinformatie van gebruikers altijd op de juiste plek aanwezig is. “Een SCIM-koppeling tussen het studentenadministratiesysteem en de IAM-omgeving is echter geen gebruikelijke koppeling”, zegt Nicolasen. “De meeste leveranciers van de IAM-producten bij MBO-instellingen hebben hier dan ook geen ervaring mee.”
“De technologie is bovendien ingewikkeld omdat het aan hele hoge veiligheidsstandaarden moet voldoen”, stelt Suzan Tessels, manager innovatie en integratie / onderwijs ICT bij ROCvA-F. “MBO-scholen moeten voldoen aan het privacyconvenant dat werd opgesteld door Edu-K, het platform waarin de verschillende partijen uit de onderwijsketen samenwerken aan een veilige en goed functionerende educatieve keten.”
Het ROCvA-F probeerde in eerste instantie een oplossing te kopen die de implementatie van het ECK iD in het studentenadministratiesysteem mogelijk maakt. “We hebben op de markt gekeken naar producten die voldoen aan de vereiste specificaties”, zegt Nicolasen. “Er bleek echter geen kant-en-klaar product voorhanden dat eenvoudig implementeerbaar was. De conclusie was daardoor dat wij een partij in de arm moesten nemen die dit voor ons gaat programmeren, implementeren, beheren en onderhouden. Die weg wilden we helemaal niet in gaan.”
Implementatie in het MBO
Via de leverancier van het administratiesysteem kwam het ROCvA-F in contact met DWE ICT. “Deze IAM-dienstverlener had al een passende oplossing ontwikkeld voor het voortgezet onderwijs”, weet Nicolasen. “Deze scholen hebben over het algemeen geen echter eigen IAM-systemen. IAM is al geïntegreerd in het leerlingenadministratiesysteem waar veel van VO-instellingen gebruik van maken. De software voert de leerlingenadministratie uit en kan ook de logins voor alle applicaties van digitale leermiddelen applicaties afhandelen. Binnen dat gecombineerde product is de koppeling met het ECK iD heel goed te regelen. In het MBO gebruiken we die oplossing echter niet en kunnen we niet zomaar opschakelen met producten die in de markt aanwezig zijn.”
In de gesprekken met DWE ICT bleek dat de dienstverlener mogelijkheden zag om het productportfolio te verrijken met een oplossing voor het MBO. Nicolasen: “Zij zagen dat zij ook een belangrijke schakel kunnen zijn in onze educatieve contentketen. DWE ICT biedt zijn oplossingen bovendien in de cloud aan, wat voor ons een belangrijke voorwaarde was. Binnen een zeer korte termijn deelde DWE ICT de eerste voorstellen met ons.”
EduConnector
Het voorstel van DWE ICT bestond eruit zijn EduConnector uit te breiden voor MBO’s door een koppeling te creëren van het ECK iD met de educatieve contentketen. De oplossing is een zogenoemde ‘SCIM luisterservice’ die 24×7 luistert naar wijzigingen het studentenadministratiesysteem van het ROCvA-F en deze vervolgens opslaat in een database in Microsoft Azure. “We hoeven alle gegevens alleen maar in te vullen in het administratiesysteem”, zegt Tessels. “Dan worden deze automatisch gesynchroniseerd naar het doelsysteem en applicaties voor digitale leermiddelen.”
Nicolasen: “DWE ICT had hiervoor de kennis en kunde al in huis. Door EduConnector geschikt te maken voor het MBO, is het ECK iD nu ook binnen onze administratie versleuteld opgeslagen. De leverancier van digitale leermiddelen opent de gegevens met zijn eigen sleutel en slaat deze veilig op in een nieuwe database, zonder allerlei persoonskenmerken. Wij kunnen dat weer uitlezen met een ander sleutelveld in onze omgeving. Het rondmaken van die cirkel is een heel moeilijke technische constructie en DWE ICT realiseert deze met EduConnector.”
“Zo blijft de keten van vertrouwelijkheid in stand”, voegt Tessels daaraan toe. “Dankzij EduConnector is het ECK iD op geen enkele manier en op geen van de lagen van de infrastructuur te herleiden naar een natuurlijke persoon.”
Praktijk
Het ROCvA-F heef EduConnector inmiddels getest en in gebruik genomen. “We zijn nu langzamerhand in de praktijk ervaring op aan het doen”, zegt Nicolasen. “Er komt een punt dat we de oude gegevens niet meer over de lijn mogen sturen, maar alleen nog het ECK iD. Dan komt er een omslag en gaan we voor de educatieve content het ECK iD als primair gegeven gelden voor alle schooldeelnemers.”
Tessels: “Uit de praktijk blijkt dat we in DWE ICT de enige partij hebben gevonden die ons probleem begreep en daar ook daadwerkelijk een oplossing voor had en een aanbieding deed die scherp en reëel was. Ze boden als enige een antwoord voor ons probleem waarmee we verder konden. De oplossing paste bovendien binnen onze cloud filosofie en onze architectuurprincipes. Uiteindelijk zijn veel meer ROC’s daarmee geholpen, als zij dezelfde infrastructuur hebben als wij, op basis van Microsoft Active Directory Federation Services of Azure AD.”