Foto: Shutterstock en Guy Ackermans
Recht op privacy is een grondrecht dat onder druk staat. Facebook, Google en webwinkels verzamelen karrevrachten persoonlijke informatie, om ons media- en consumentengedrag te sturen. De Amerikaanse veiligheidsdienst luistert onze telefoons af en luistert mee via onze tv-toestellen. En Russische hackers en islamitische terreurgroeperingen sturen ons spyware om geld en paspoortgegevens af te troggelen. Ook binnen WUR is het de hoogste tijd om grondig na te denken over privacy en gegevensbescherming, zegt Frans Pingen. De risico’s van identiteitsfraude nemen snel toe. Met gelekte persoonsgegevens kan het zomaar gebeuren dat anderen met jouw gegevens een auto huren of ergere dingen doen waarvoor jij de rekening gepresenteerd krijgt. Ook kunnen hacks op opgeslagen cijferlijsten er toe leiden dat diploma’s ter discussie worden gesteld.
Er is nieuwe wetgeving met een meldplicht wanneer persoonsgegevens zijn gelekt en in verkeerde handen zijn gekomen. Vanaf volgend jaar worden hoge boetes opgelegd wanneer een organisatie de toevertrouwde persoonsgegevens niet goed beschermt, zegt Pingen. Daarom gaan een stuurgroep en projectgroep WUR klaarstomen om aan de eisen te voldoen. Vooruitlopend daarop heeft Pingen alvast vier acties die studenten, medewerkers en WUR als geheel kunnen nemen om de privacy te beschermen.
1: Meld een datalek
Dagelijks zien we in de media meldingen over datalekken. In november 2016 had de Erasmus Universiteit Rotterdam nog een datalek, waarbij gegevens van duizenden studenten mogelijk in verkeerde handen vielen. Daarbij ging het niet alleen om adresgegevens, e-mailadressen en telefoonnummers op de gehackte webserver, maar ook om gezondheidsgegevens uit formulieren van studentenpsychologen. Kennisinstellingen met veel persoonsgegevens in hun systemen zijn kwetsbaar. Daarom hield SURF, de ICT-organisatie van de Nederlandse kennisinstellingen, in oktober vorig jaar een grote oefening, waarin een datalek bij Food and Biobased Research van WUR werd gesimuleerd. Het is belangrijk om datalekken als een calamiteit te oefenen, aldus Pingen.
Ook medewerkers kunnen aan de basis staan van een datalek. Als jouw privé- of werklaptop met bestanden en mailtjes van WUR wordt gestolen, moet je dat melden bij de IT-helpdesk. Die beoordeelt of er sprake is van een datalek en of het lek persoonsgegevens bevat die gemeld moet worden bij de Autoriteit Persoonsgegevens. Soms staan er bijvoorbeeld nog deelcijfers van studenten op oude apparatuur. Die is de docent dan vergeten te verwijderen van zijn computer nadat ze in het student-informatiesysteem zijn opgeslagen. Maar het kan ook gaan om bijzondere persoonsgegevens, zoals ras, godsdienst, seksuele geaardheid en gegevens over ziekte. Op deze verouderde apparatuur kan de helpsdesk op afstand dergelijke bestanden wissen.
Pingen adviseert data-hygiëne: sla zo weinig mogelijk persoonsgegevens op en verwijder ze meteen zodra ze niet meer nodig zijn.
2: Vermijd gebruik usb-sticks of externe schijven.
Gebruik geen externe schijven of usb-sticks meer om extra data op te slaan. Op die externe schijven kunnen programma’s staan die je computer infecteren. Bovendien kun je ze gemakkelijk kwijtraken, wat als een datalek wordt aangemerkt. Zet informatie op veilige plaatsen op de WUR-server en alleen in de cloud op internet nadat de IT-afdeling daar een veiligheidstest op heeft gedaan. Wees niet naïef, zegt Pingen; via allerlei apparaatjes kunnen veiligheidsdiensten en hackers meekijken op je laptop. Het cameraatje op je laptop is ook een ingang voor ongenode gasten om beelden van je te maken bij het inloggen. Plak de camera daarom af als je ‘m niet gebruikt, adviseert Pingen.
Wees niet naïef
3: Gebruik door WUR goedgekeurde diensten
Google, Facebook en Apple leven van onze data en doen ermee wat ze willen, omdat wij ze daarvoor toestemming hebben gegeven. Dat doen we door de voorwaarden – vaak ongelezen – te accepteren. Voortdurend geven we zo data weg. Kijk daarom goed naar de privacy-instellingen en wees kritisch. Er zijn bepaalde zoekmachines die veiliger zijn dan andere. Daarnaast kun je ook add blockers instellen. En laat, voordat je IT-applicaties of clouddiensten aankoopt, eerst de IT-afdeling een security check uitvoeren. Ook moet WUR zich volgens Pingen afvragen of ze nog langer bepaalde diensten van bedrijven wil betalen met data over het surfgedrag van bezoekers op onze websites.
4: Leg onderzoekdata goed en veilig vast
De WUR-onderzoekers moeten hun onderzoekdata tien jaar lang goed bewaren, zodat de data te valideren zijn. Soms gaat dat mis. Dan gaat een buitenlandse PhD-student na zijn promotie terug naar eigen land en neemt de achterliggende data mee. Dat kan niet, zegt Pingen, we moeten de data hier vastleggen. Dat kan ook makkelijker nu de IT-afdeling de kosten voor dataopslag sterk heeft verlaagd. Bovendien moet de onderzoeker, voor zover er persoonsgegevens aan de orde zijn, die gegevens anonimiseren. Daar zijn regels voor in het Research Data Management-beleid van de WUR. De promovendus moet een dataplan schrijven, waarin ook wordt aangegeven hoe en waar data wordt opgeslagen en wie de zeggenschap en gebruiksrechten heeft. Deze aanpak heeft nut; een aantal jaren geleden crashte een computer van een promovendus, waardoor hij niet meer kon aantonen hoe hij aan zijn wetenschappelijke conclusies kwam, zegt Pingen.
Heb je vragen over privacy en gegevensbescherming of heb je het idee dat er persoonsgegevens niet goed worden geschermd? Neem contact op met privacy@wur.nl.
Drie studenten-informatiesystemen
De WUR heeft drie studenten-informatiesystemen die omwille van de privacy niet aan elkaar zijn gekoppeld.
AIR.
Dit is het studenten-informatiesysteem, waarin de persoonsgegevens van studenten, hun studieprogramma en de behaalde cijfers zijn opgeslagen. Deze gegevens worden alleen gebruikt voor onderwijsdoeleinden, zegt Ingrid Hijman, hoofd van het Student Service Center. ‘Wij mogen deze informatie nooit aan derden geven, dus geven we ook niet aan ouders door of hun kind hier studeert en hoe de studie verloopt. Dat vinden ouders vaak moeilijk te begrijpen, maar dat zijn de regels uit het oogpunt van bescherming persoonsgegevens.’
SPA.
Dit is het het studieplanningssysteem. Hierin geven studenten hun studieprogramma op en in welke vakken ze willen afstuderen. Dit programma moet worden goedgekeurd door de studieadviseur en de examencommissie, die dus ook toegang hebben tot SPA.
CORSA.
Decanen en studentenpsychologen hebben een eigen systeem dat niet openbaar is. Ook studieadviseurs hebben geen toegang. De privacyregels schrijven voor dat deze informatie alleen gedeeld wordt nadat studenten daar expliciet toestemming voor hebben gegeven. Hijman ziet er, samen met de functionaris gegevensbescherming op toe dat de procedures kloppen, de systemen technisch veilig zijn en de juiste mensen toegang hebben tot de systemen.