Menu English

Privacy en datalekken

Hogeschool Rotterdam pakt privacybescherming en het voorkomen van datalekken structureel op, mede naar aanleiding van aangepaste wetgeving.

Privacy

Op 27 april 2016 is Verordening 2016/679 (Europese Privacy Verordening, EPV of Algemene Verordening Gegevensbescherming (AVG) geheten) van het Europees Parlement en de Raad van de Europese Unie afgekondigd (en per 25 mei 2016 van kracht geworden). In de loop van 2016 en 2017 werd duidelijker wat de aard en reikwijdte van deze verordening is.

Om lidstaten in de gelegenheid te stellen zich voor te bereiden op het nieuwe formele kader, is afgesproken dat de handhaving van de verordening pas twee jaar na het van kracht worden ervan (dat wil zeggen vanaf 25 mei 2018), gaat plaatsvinden. In de periode tot 25 mei 2018 bestaat er een, vanuit juridisch oogpunt, slordige situatie: er zijn twee regimes van kracht (het Europese en het nationale), waarvan er één (het Europese) nog niet wordt gehandhaafd en het andere (het Nederlandse, met de Wet op de bescherming persoonsgegevens Wbp) wacht op afschaffing.

De hogeschool is in 2015 het project Privacy 2.0 gestart, waarvan eind 2016 een eindrapportage is verschenen.

Terugblikkend kan worden gesteld dat de keuze om alle bedrijfsprocessen van de hogeschool waarin persoonsgegevens een rol spelen te doen voorzien van een melding en deze op te nemen in een hogeschoolregister, een gelukkige keuze is geweest. Het tot stand brengen van een netwerk van privacy-contactpersonen in ieder van de organisatiedelen is eveneens een belangrijke stap geweest. Door de contactpersonen te belasten met het opstellen van de meldingen, was het nodig dat zij zich verdiepten in de bescherming van persoonsgegevens en dat zij daarover overlegden met gebruikers.

De consequenties van het AVG-regime zijn ten opzichte van het Wbp-regime beperkt voor de hogeschool:

  • De instelling wordt onder de AVG verplicht om een functionaris voor gegevensbescherming te hebben. Die is er nu reeds op vrijwillige basis. De documentatieplicht van de AVG brengt met zich mee dat de functionaris gegevensbescherming inzicht moet hebben in de persoonsgegevens die in de instelling beheerd worden. Aan die voorwaarde wordt al voldaan.
  • Het vereiste onderbrengen van de verzamelingen persoonsgegevens in het verwerkingenregister bij de hogeschool kan als afgerond worden beschouwd.
  • De AVG eist dat verwerkersovereenkomsten worden gesloten met alle externe verwerkers van persoonsgegevens waarvoor de hogeschool verantwoordelijk is. Bij het aangaan van nieuwe overeenkomsten van de hogeschool is dit reeds een vast punt, maar het dekkingspercentage van de bestaande overeenkomsten is nog geen 100.
  • De AVG kent ook nieuwe regels over dataportabiliteit (meenemen van gegevens), het recht om vergeten te worden (persoonsgegevens laten verwijderen uit registers) en raadpleging van de registers waarin persoonsgegevens zijn opgenomen. Qua interne regelgeving is de hogeschool hierop voorbereid. In de praktijk zal blijken of dit ook het geval is. Immers, nu is nog niet bekend hoe vaak van deze rechten gebruik zal worden gemaakt en of de verwerkingsmogelijkheden toereikend zijn.

Datalekken

Nog steeds verschijnen er met grote regelmaat berichten in de landelijke pers over slecht beveiligde persoonsgegevens die in verkeerde handen vallen. De hogeschool is in het verslagjaar gevrijwaard gebleven van ingrijpende incidenten. Het aantal datalekken dat gemeld is bij de Autoriteit Persoonsgegevens (AP) bleef beperkt tot twee. Het betrof in beide gevallen de diefstal van een laptop. Gelukkig waren dit geen incidenten die schade of nadeel voor de hogeschool of voor derden opleverden. Hoewel het aantal gemelde datalekken tot nu toe gelukkig beperkt is gebleven, is het wel zaak dat er een register wordt aangelegd, waarin de meldingen worden opgenomen. Een initiatief daartoe is al door de dienst Faciliteiten en IT (FIT) genomen.

Hoe solide de procedures en systemen tot bescherming van persoonsgegevens ook zijn, de kwetsbare factor is de mens. Als bijdrage aan het vergroten van het bewustzijn heeft FIT een campagne georganiseerd. Op 11 september 2017 ontvingen de medewerkers van de hogeschool een e-mail met de vraag een enquête in te vullen in verband met een onderzoek over thuiswerken. Dit was een phishing e-mail van FIT. Het bericht bevatte de vraag om een link aan te klikken en gegevens in te vullen.

Kort na deze actie gaf FIT voorlichting over de risico’s die verbonden zijn aan dit fenomeen.