‘Persoonsgegevens: durf als onderwijsgemeenschap vraagtekens te plaatsen’
Onderwijsinstellingen slaan op grote schaal data op. De noodzaak hiervan wordt door de meesten aangenomen, maar misschien moeten gezamenlijk wat kritischer zijn. In 2021 is de HAN getroffen door een SQL-injectie. Hierdoor kwamen meer dan 500.000 persoonsgegevens op straat, waaronder 2.000 medische gegevens van (oud-)studenten. De rechter heeft geoordeeld dat de HAN het naleven van haar beveiligingsplicht niet heeft aangetoond en dat zij een oud-student daarom €300,- schadevergoeding moet betalen. Hoe heeft het zo ver kunnen komen? Waarom heeft niemand de beveiliging gecontroleerd?
Er moet meer bewustzijn komen
Verantwoord omgaan met persoonsgegevens begint allemaal bij bewustwording. Veel mensen binnen een onderwijsinstelling hebben niet door wat er allemaal komt kijken bij het gebruiken van persoonsgegevens. Dat zorgt ervoor dat we elkaar niet de juiste vragen kunnen stellen. Om een cultuur te creëren waarin we allemaal de veiligheid van elkaars gegevens serieus nemen, moet dit veranderen. Leer studenten, medewerkers en bestuurders vragen te stellen en geef elkaar de ruimte om te oefenen.
De wekelijkse nieuwsbrief is nog korte tijd gratis te ontvangen. De voorwaarden vindt u hier.
Een aantal vragen die men kan stellen bij het zien van een persoonsgegeven:
- Mag ik dit gegeven zien?
- Kan ik mijn werk ook zonder dit gegeven uitvoeren?
- Is de persoon in kwestie op de hoogte dat ik dit gegeven kan zien?
- Kunnen anderen dit gegeven zien, en is dat de bedoeling?
- Is dit gegeven veilig opgeslagen, en wanneer is de beveiliging voor het laatst gecontroleerd?
Het mag transparanter
Het gebrek aan bewustwording is voor een belangrijk deel te verklaren door een gebrek aan transparantie. Het gesprek over de beveiliging van gegevens wordt te vaak met een selecte groep mensen gevoerd. Enerzijds zorgt dit ervoor dat mensen die niet betrokken worden het gevoel krijgen dat zij geen rol hebben. Anderzijds leidt dit tot ontmenselijking van de persoonsgegevens.
Een docent kent de student achter de persoonsgegevens, de beheerder van de servers niet. Een serverbeheerder zal daarom ook eerder geneigd zijn mogelijke risico’s te accepteren. We moeten blijven onthouden dat het altijd om mensen gaat. Zíj hebben vertrouwen dat geschaad wordt zodra het misgaat.
Neem verantwoordelijkheid
Het heeft veel te lang geduurd voordat er een passende oplossing kwam voor de gevolgen van het datalek bij de HAN. Daarom moeten bestuurders hun verantwoordelijkheid nemen. Er moet goed beleid komen dat gericht is op adequate ondersteuning en compensatie van gedupeerden. Een rechtszaak is immers niet alleen zonde van de tijd, het onderwijsgeld en de menskracht, maar ook voor de reputatie van de onderwijsinstelling zelf.
Idris in ‘t Hof (Voorzitter Stichting Hbo Medezeggenschap), Zino Duckers (Lid Universitaire Studentenraad Radboud Universiteit Nijmegen) en Mo Quirijnen (Voorzitter Studentenvakbond AKKU)
