De hele familie kijkt mee
Het sportcentrum kom je binnen met je vingerafdruk. Printjes, koffie en snoep betaal je met je e-wallet mét online transactieoverzicht. ICT-beheerders kunnen als ze willen naadloos zien wat je op de campus uitspookt. Maar persoonsgegevens klotsen ook over de universiteitswanden heen, de buitenwereld in. Waarom eigenlijk? Hoe zit het met privacy? Wie kan er bij jouw gegevens?
Wie niet? Uit interne documenten van de universiteit blijkt dat meer dan veertig diensten of instanties toegang hebben tot persoonsgegevens van studenten en personeel. Niet Big Brother kijkt mee, maar de hele familie. Om wat voor informatie gaat het? Waarom wordt het zo breed gedeeld? Gaat men wel zorgvuldig om met al die data – met mijn data? Univers zocht het uit.
Officiële weg
Wat heeft Tilburg University over je verzameld? Antwoord op die vraag kun je via officiële weg opvragen. Per brief, of voorgedrukt formulier. De universiteit is verplicht er binnen vier weken op te reageren. Dat staat in de Wet Bescherming Persoonsgegevens (WBP). We dienen een verzoek in. Verwachting: een pakket met informatie op de deurmat. Realiteit: we worden gebeld. Juriste Renata van Leeuwaarde, adviseur privacyvraagstukken bij Tilburg University, nodigt ons uit op gesprek. In haar kamer in gebouw Cobbenhagen toont ze ons inschrijfgegevens en tentamenresultaten. “Dit is toplevel,” zegt ze. “Informatie waar ik direct bij kan. Wil je meer weten, dan zul je je verzoek moeten specificeren.” Een centrale bak met informatie, waaruit ze direct al je persoonsgegevens kan opvragen, is er namelijk niet. “Dat is handwerk. Dat is ook ter bescherming van de privacy: als ik met één druk op de knop uit alle systemen je persoonsgegevens zou kunnen halen, zou er iets mis zijn met je privacybescherming.”
Als ik met één druk op de knop uit alle systemen je persoonsgegevens zou kunnen halen, zou er iets mis zijn met je privacybescherming
Enkele weken later praten we verder. De resultaten uit onze verzoeken zijn weinig verrassend. De informatie die we terugkrijgen, hebben we ooit zelf aangeleverd (zie kader op pag. 13). Library and IT Services (LIS) springt er wel uit. Letterlijk. Daarvan krijgen we geen uitdraai, maar de fysieke aanwezigheid van security officer Teun Nijssen.
De mogelijkheden van sommige systemen – zoals die van LIS en het Sports Center – zijn verregaand. Wifi-tracking, totale monitoring van surfgedrag en e-mailgebruik. Reden dat Nijssen van LIS uitlegt wat de universiteit doet. Om de fantasie te temperen ook. “We houden alleen bij wat er op onze servers gebeurt. Vanaf welke IP-adressen de diverse TiU-websites bezocht worden, bijvoorbeeld. Om eventuele fouten op te kunnen sporen. Dat heet logging.” En wat iemand via een VPN-verbinding doet, of welke websites je bezoekt vanaf de campus? “Wij houden het niet bij. Jouw computer wel. Op je pc laat je een eindeloze reeks sporen achter.” Overkoepelend doel van LIS is het netwerk en de servers in de lucht houden. Niet over de schouder meekijken. Natuurlijk, erkent Nijssen: “Het is voor iemand met de juiste privileges en fysieke toegang tot servers altijd mogelijk om gedrag op gedetailleerd niveau na te gaan.” LIS heeft dan ook een strenge gedragscode. En moet het hebben van integere en vakkundige mensen. Daarover lijken ze te beschikken. Twee medewerkers ontvingen twee weken geleden landelijke erkenning voor hun werk. De SURF Security Award 2015 ging naar Jeffeny Hoogervorst. “De hoofdprijs”, volgens Nijssen. Zelf werd hij ook geprezen voor 20 jaar beveiligingswerk: hij ontving de Security oeuvreprijs.Wat denk jij hiervan?
Reageer op dit artikel!Dan het Sports Center. Hun vingerafdrukkenscanner – om het gebouw binnen te komen – is niet onomstreden. Toch wordt de vingerafdruk zelf niet opgeslagen. Wel opgeslagen wordt: een unieke cijferreeks, die uit jouw vingerafdruk opgebouwd wordt. Je bezoekgeschiedenis wordt ook bewaard. Tot een dag en een jaar nadat er geen gebruik meer is gemaakt van het sportcentrum. Dán worden gegevens geanonimiseerd. Hoe waarborgt men de privacy? Hoofd Sports Center Max van Veen: “Gegevens worden niet gedeeld met derden en enkel gebruikt door het sportcentrum. Deze informatie is ook niet voor iedere medewerker beschikbaar. Het kan namelijk worden afgeschermd en wordt dus enkel beschikbaar gemaakt indien nodig. Zoals bij de controle of iemand is geweest na het reserveren van bijvoorbeeld een squashbaan.”
Je bezoekgeschiedenis wordt bewaard
Bezig bijtje
De afdeling Juridische Zaken brengt de gegevensstroom van de universiteit momenteel in kaart. Van Leeuwaarde: “Je wil weten wat je doet, en waarom. Al is het de vraag hoe lang het actueel zal blijven.” Zo gaat de organisatiestructuur door BEST (Building Excellent Support at Tilburg University) veranderen, en er is Europese wetgeving op handen: de Algemene Verordening Gegevensbescherming. “De verordening is nog niet vastgesteld, maar het lijkt erop dat organen met meer dan 250 personen een functionaris gegevensbescherming (FG) aan moeten stellen.” Zes Nederlandse universiteiten hebben al een FG, blijkt uit een rondvraag onder tien andere universiteiten. Hard nodig, menen ze in Twente, omdat ze daar dagelijks vele persoonsgegevens verwerken bij onderzoeken.
Onderzoek & gegevens
Idealiter is Juridische Zaken op de hoogte van alle verwerkingen van persoonsgegevens binnen de universiteit. Toch worden gegevens ook wel eens onopgemerkt verwerkt. Soms vliegt er iemand onder de radar. Dat heeft waarschijnlijk meer te maken met onwetendheid dan met een gebrek aan integriteit. Nijssen: “Dat raakt mijn grootste zorg. Recentelijk ontdekte ik een verwerking, alleen maar omdat op de kamer waarop ik werk een nieuwe server werd ingericht. Ik hoorde een technische vraag daarover langskomen.” Dat deed hem afvragen: als een willekeurige wetenschapper onderzoeksresultaten verwerkt, zonder zich ervan bewust te zijn dat hij daarmee persoonsgegevens verwerkt, hoe vind je hem dan?
Ik kan op een willekeurige proefpersoon klikken en dan door zijn antwoorden heen scrollen
Hoe zit dat bij de sociale faculteit, wat betreft privacy en anonimiteit? Een tweedejaars student psychologie, die anoniem wil blijven: “Ik kan op een willekeurige proefpersoon klikken en dan door zijn antwoorden heen scrollen. Aan het e-mailadres kan ik zien wie het heeft ingevuld.” Een deelnemer is bij deze studentonderzoeker geen anoniem proefpersoonnummer, maar identificeerbaar. Enerzijds: dat is maar voor beperkte duur. Bij verwerking en opslag worden gegevens wel geanonimiseerd. Anderzijds: er is volgens deze student tenminste nog één ander groepje dat kan zien welke deelnemer wat invult. Niet duidelijk is hoe representatief dit is en hoe vaak (of zelden) het voorkomt.
Nina Kupper, voorzitter Psychologische Ethische Toetsingscommissie, kan niet nagaan of dit gebeurt. Controleert de faculteit dit? “Vooraf toetst mijn commissie of onderzoek aan de standaarden van de faculteit voldoet. Onderzoekers moeten via een protocol aangeven hoe ze data opslaan, hoe ze privacy waarborgen. Achteraf wordt door de wetenschapscommissie gecontroleerd of data goed zijn opgeslagen.” En daartussen? Kupper: “Studenten hebben een begeleider én eigen verantwoordelijkheid. We leiden ze op tot professionals. Als zij zeggen dat ze iets zullen doen, dan mag je dat ook verwachten.”
Er wordt veel data gedeeld, en men is daar over het geheel genomen zorgvuldig in. De kous lijkt af. Corien Prins, hoogleraar en decaan aan Tilburg Law School en autoriteit op het gebied van privacy, denkt daar anders over. Gegevens van in- en uitschrijving en het afstuderen zouden wel eens veel langer bewaard kunnen blijven dan volgens de wet is toegestaan.
Wat maakt dat uit? Op zichzelf niet zoveel, zegt Prins. Maar: “Stel: ik bel jou op. Hallo, ik ben van die organisatie. Klopt het dat dit en dat uw rekeningnummer en BSN is? Ja? Dan moet u NU…” Prins beklemtoont en pauzeert. “Je kan mensen met het overleggen van een groot aantal gegevens overtuigen, om bijvoorbeeld geld over te maken. Het is de combinatie van gegevens die her en der verspreid liggen en soms eenvoudig te achterhalen zijn, die ons kwetsbaar maakt.”
Het is de combinatie van gegevens die her en der verspreid liggen en soms eenvoudig te achterhalen zijn, die ons kwetsbaar maakt
Transparantie en verantwoording
Men denkt vaak dat Prins vóór privacy is, en tégen het gebruik van persoonsgegevens. Dat ligt genuanceerder: “Ik ben niet tegen het gebruik van gegevens, maar je moet dan wel het belang van transparantie en verantwoording onderkennen. Want transparantie, daar schort het aan.” Voorbeeld: “Heel goed hoor, die digitale brandweeroefeningen [LIS stuurt soms e-mails met gevaarlijke links, om de alertheid van het personeel te testen, red.]. Maar hoe vaak doen ze dat? Onder welk deel van het personeel? Dat zou ik wel willen weten.” Teun Nijssen van LIS laat desgevraagd weten dat deelnemers hier op een zeker moment over geïnformeerd worden.
Er zijn meer vragen. Bijvoorbeeld: wat doe je zelf vanuit je verantwoordelijkheid? Prins maakte het als decaan mee. Een student was in elkaar geslagen door een andere student. Identiteit onbekend. “Ga je dan voor eigen politietje spelen, alle foto’s van studenten aan het slachtoffer laten zien? In hoeverre ga je je eigen systemen benutten? En wat gebeurt er als de politie op de stoep staat en surfgegevens van medewerker X of student Y vordert? Ga je voor het belang van privacy, of voor opsporing? Daar moet je een protocol voor hebben.” Van Leeuwaarde reageert later: “Dit protocol heet het Wetboek voor Strafvordering. Als er een opsporingsambtenaar op de stoep staat met een vordering die aan alle voorwaarden voldoet, dan geeft TiU de gegevens waar om gevraagd wordt. Gegevens die TiU niet heeft, omdat die volgens de Wet Bescherming Persoonsgegevens niet door ons verwerkt mogen worden, kunnen we natuurlijk niet geven.”
Datahonger
Hoe staat de universiteit er voor? Prins vult in: “Tilburg University heeft niet het soort datahonger, zoals bijvoorbeeld de overheid die wel heeft. Tegelijkertijd kan ik me voorstellen dat er daarom ook te weinig aandacht voor is, dat je steekjes laat vallen. Want data zijn voor ons een afgeleide van onze kerntaken. Daarmee is het ook een afgeleide op ons vizier. Dingen ontsnappen wel eens aan de aandacht, mensen zijn er onvoldoende mee bezig. Er worden niet altijd welbewust afwegingen gemaakt, regels opgesteld.”Dit artikel verscheen eerder in Univers no.9. Tekst Ron Vaessen en Matthijs Verhulst.Inzage, wat levert het op?
Studieadviseur: correspondentie en eventuele documenten die je zelf stuurde
Studentdecaan: idem. Maar vraagt eerst aan betrokkene of het okay is, om met Juridische Zaken te delen (als het gaat om bijzondere persoonsgegevens, bijvoorbeeld medische)
Student Desk: studieresultaten en bewijzen van inschrijving
Bibliotheek: huidige leengegevens en je boeteverleden mét boektitels
BlackBoard: slaat alleen wat standaard gebruiksgegevens op. Mogelijkheden te over om gebruikers te volgen, maar: “Logging van alle acties staat op dit moment uit.”
E-Wallet: levert geen uitdraai op. Navraag bij de beheerder (Xafax) leert dat er op de transactiegeschiedenis enkel bedragen en locaties gemeld worden. Bij Xafax zien ze dus niet wat voor koffie je precies drinkt. Beheerders van de universiteit kunnen er niet bij
Cameratoezicht: bewaart geen beelden over specifieke personen. Beelden worden na 24 tot 72 uur automatisch gewistPersoonsgegevens
De universiteit beschikt over informatie die tot jou als persoon te herleiden is. Dat zijn persoonsgegevens. NAW-gegevens bijvoorbeeld, je bankrekeningnummer of ANR. Toegankelijk binnen en buiten de universiteit. Voor de Belastingdienst bijvoorbeeld, het ministerie van OC&W, bibliotheekmedewerkers en systeembeheerders. Toegang tot (een bepaald deel van) jouw persoonsgegevens wordt alleen verleend als er een noodzakelijk doel is. Bijvoorbeeld het verzorgen van onderwijs, de administratie bijhouden of het voldoen aan een wettelijke verplichting. Persoonsgegevens zijn beschermd, momenteel in de Wet Bescherming Persoonsgegevens. Vanaf 2017 waarschijnlijk in een Europese verordening. In Nederland waakt het College Bescherming Persoonsgegevens (CBP) over het nest. Je hebt recht op inzage, aanpassing, verwijdering en afscherming van persoonsgegevens. Misstanden kan je bij het CBP melden.