Onderwijsinstellingen slaan op grote schaal data op. De noodzaak hiervan wordt door de meesten aangenomen, maar misschien moeten wij met zijn allen wel wat kritischer zijn. In 2021 is de HAN getroffen door een SQL-injectie. Hierdoor kwamen meer dan 500.000 persoonsgegevens op straat, waaronder 2.000 medische gegevens van (oud-)studenten. De rechter heeft geoordeeld dat de HAN het naleven van haar beveiligingsplicht niet heeft aangetoond, en dat zij een oud-student daarom €300,- schadevergoeding moet betalen. Hoe heeft het zo ver kunnen komen? Waarom heeft niemand de beveiliging gecontroleerd?
Er moet meer bewustzijn komen
Verantwoord omgaan met persoonsgegevens begint allemaal bij bewustwording. Veel mensen binnen een onderwijsinstelling hebben niet door wat er allemaal komt kijken bij het gebruiken van persoonsgegevens, en dat zorgt ervoor dat we elkaar ook niet de juiste vragen kunnen stellen. Om een cultuur te creëren waarin we allemaal de veiligheid van elkaars gegevens serieus nemen, moet dit veranderen. Leer studenten, medewerkers en bestuurders vragen te stellen en geef elkaar de ruimte om te oefenen.
Een aantal vragen die je jezelf kan stellen bij het zien van een persoonsgegeven:
- Mag ik dit gegeven zien?
- Kan ik mijn werk ook zonder dit gegeven uitvoeren?
- Is de persoon in kwestie op de hoogte dat ik dit gegeven kan zien?
- Kunnen anderen dit gegeven zien, en is dat de bedoeling?
- Is dit gegeven veilig opgeslagen, en wanneer is de beveiliging voor het laatst gecontroleerd?
Het mag transparanter
Het gebrek aan bewustwording is voor een belangrijk deel te verklaren door een gebrek aan transparantie. Het gesprek over de beveiliging van gegevens wordt te vaak met een selecte groep mensen gevoerd. Enerzijds zorgt dit ervoor dat mensen die niet betrokken worden het gevoel hebben dat zij geen rol hebben. Anderzijds leidt dit tot ontmenselijking van de persoonsgegevens. Een docent kent de student achter de persoonsgegevens, de beheerder van de servers niet. Een serverbeheerder zal daarom ook eerder geneigd zijn mogelijke risico’s te accepteren. We moeten blijven onthouden dat het altijd om mensen gaat, want zij hebben vertrouwen dat geschaad wordt zodra het mis gaat.
Neem verantwoordelijkheid
Het heeft veel te lang geduurd voor er een passende oplossing kwam voor de gevolgen van het datalek aan de HAN. Daarom moeten bestuurders hun verantwoordelijkheid nemen. Er moet goed beleid komen dat gericht is op adequate ondersteuning en compensatie van gedupeerden. Een rechtszaak is immers niet alleen zonde van de tijd, het onderwijsgeld en de menskracht, maar ook voor de reputatie van de onderwijsinstelling zelf.
Auteurs:
Idris in ‘t Hof (Voorzitter Stichting Hbo Medezeggenschap)
Zino Duckers (Lid USR Radboud Universiteit Nijmegen namens AKKUraatd)
Mo Quirijnen (Voorzitter Studentenvakbond AKKU)