Is de VUB privacy proof?

We leven in een steeds meer gedigitaliseerde maatschappij. Ook op de VUB wordt er dagelijks gebruik gemaakt van persoonlijke gegevens van studenten, personeel en testpersonen, maar zijn die gegevens bij de VUB wel in goede handen? Een interview met VUB veiligheidsconsulent Jan Paredis over nieuwe Europese wetten, hackers en jobstudenten van de VUB.

Hackers die persoonlijke gegevens stelen van de inwoners van een volledig land, staatshoofden die worden afgeluisterd door de Amerikaanse geheime dienst en werknemers die vrijwillig een onderhuidse chip laten inplanten als moderne prikkaart om bij te houden of iedereen wel genoeg uren klopt. Het gebruik en de veiligheid van persoonlijke gegevens wordt hoe langer hoe meer een centrale aangelegenheid van ons dagelijks leven. Om op de veranderingen van informatiestromen in te spelen heeft Europa een nieuwe wet klaar, de General Data Protection Regulation of kortweg: GDPR. Met deze vordering krijgen consumenten meer controle over hun eigen data, zo dus ook studenten van een universiteit. Vanaf mei 2018 zullen bedrijven en organisaties die niet voldoen aan de vooropgestelde regels, boetes kunnen krijgen die oplopen tot vier procent van hun jaarlijkse wereldwijde omzet tot maximaal twintig miljoen euro. Ook op de VUB worden dagelijks heel wat gegevens gebruikt van studenten, personeel en onderzoek waardoor onze universiteit de nieuwe wetgeving in praktijk zal moeten brengen om geldboetes en slechte publiciteit te voorkomen. Daarnaast wordt er heel wat gevoelige informatie bewaard op servers van de VUB die altijd het doelwit zouden kunnen worden van hackers met slechte bedoelingen.

De VUB maakt dagelijks gebruik van persoonlijke informatie van haar studenten, personeel en proefpersonen. Europa zal haar regels betreffende persoonsgebonden informatieverwerking verscherpen, wat zijn daarvan de gevolgen voor de VUB?

Paredis: “De Europese regelgeving in de vorm van GDPR komt niet zomaar uit de lucht gevallen. Vroeger bestond er al de Belgische privacycommissie die de Europese richtlijnen nastreefde, maar die had in feite geen tanden. De GDPR werd Europees gestemd waardoor deze richtlijnen vervangen zullen worden door een wet met sancties die worden opgelegd als de regels niet worden nageleefd. Nu, die miljoenenboetes waar er zoveel om te doen is zijn eerder gemaakt voor de ‘Facebooks’ van de wereld, niet voor een organisatie als de VUB. Je mag er vanuit gaan dat de VUB aan die boetes zal ontsnappen. Die bestraffingen gebeuren in gradaties. Eerst krijg je een opmerking, daarna een schriftelijke vermaning, enzovoort. Het is vooral de negatieve berichtgeving en reputatieschade die voor een organisatie als de VUB grote gevolgen kan hebben.

Met de GDPR worden er meer vereisten gesteld voor het bewaren van persoonsgebonden gegevens. Alle processen en procedures aan de VUB zullen worden nagekeken of ze een voldoende niveau van veiligheid nastreven volgens de nieuwe wetgeving. Een voorbeeld van zo’n verwerking is de inschrijving in de alumniwerking van de VUB. Wij zullen kijken of we studenten nog steeds automatisch lid mogen maken van de alumnivereniging. Als dat een aparte vzw is zullen wij hier van nu af aan expliciet toestemming voor moeten vragen. Nog een voorbeeld: middelbare scholen vragen regelmatig slaagpercentages op van afgestudeerde studenten. Zulke informatie mogen wij alleen doorgeven als het gaat om niet-persoonsgebonden gegevens. Als wij zeggen dat negentien van de twintig studenten geslaagd zijn, is dat geen persoonlijk gegeven en mogen wij dat delen met externe organisaties. Als het gaat over individuele studenten mag dat niet.”

Wat wordt er bedoeld met ‘persoonsgebonden informatie’?

“Als u zich als student inschrijft aan de VUB, dan worden uw gegevens hier opgeslagen, maar men mag enkel die gegevens bijhouden die noodzakelijk zijn voor de uitvoering van het ‘contract’ tussen de VUB en de student. Er zijn ook gegevens waarbij men een wettelijke verplicht is ze te verwerken omdat die gegevens aan de geëigende instanties moet worden doorgegeven. Momenteel zijn we aan het kijken welke verwerkingen van die gegevens altijd toegelaten zijn en voor welke we een bijkomende toestemming moeten vragen aan de student. Daarenboven moet de VUB verplicht een dataregister aanmaken waarin alle door de VUB beheerde databestanden worden opgeslagen. Als daar bestanden bij zijn met een ‘hoog risico’, zoals bijvoorbeeld medische gegevens, moet er nog een bijkomende analyse gebeuren van dat bestand: is het voldoende beveiligd, is het relevant om deze informatie bij te houden met gegeven risico’s, enzovoort.

Als student zal de GDPR je ook rechten toekennen, zoals het recht te weten welke gegevens de VUB over jou bewaart en het recht dat je gegevens worden gewist. Dat laatste geldt niet voor gegevens die noodzakelijk zijn voor het contract of die gegevens die volgens de wet verplicht moeten worden opgeslagen. Er wordt nu onderzocht hoe deze processen aan de VUB geïmplementeerd kunnen worden.”

Welke processen aan de VUB vormen een risico volgens de nieuwe regelgeving?

“Momenteel worden alle processen stelselmatig onder de loep genomen. Neem nu het publiceren van examenresultaten, met zulke informatie zullen we moeten opletten. In mijn studententijd, toen de dieren nog spraken, werden uitslagen ad valvas uitgehangen, maar dat zal in de toekomst niet meer mogen. De resultaten op een openbare website publiceren is ook uit den boze. Ze moeten in een afgeschermde omgeving verschijnen waarbij studenten eerst moeten inloggen. Ook het gebruik van studentennummers is geen oplossing. Volgens de GDPR is alles wat, zelfs met gebruik van bijkomstige data, terug naar een persoon kan leiden een persoonsgegeven. Zo gelden dezelfde strenge regels voor het publiceren van examenresultaten aan de hand van studentennummers als bij het publiceren van die resultaten met naam en toenaam.”

Tijdens de herexamenperiode van vorig academiejaar werd er een mail verstuurd door de Faculteit Ingenieurswetenschappen naar al haar studenten om te melden dat, wegens privacy-overwegingen, de individuele uurregelingen voor de mondelinge herexamens niet langer kon worden opgevraagd via de ‘MY.VUB’-website, maar enkel via het leerplatform ‘PointCarré’. Is dat een gevolg van die strengere wetgeving?

“Ja, daarover heb ik nog een vergadering georganiseerd met alle faculteitssecretarissen. Iemand van de VUB meldde ons via helpdesk@vub.be dat er zo’n examenrooster op het openbare web stond. Nadat we een ‘Google search’ hadden gedaan hebben we dan nog drie of vier gelijkaardige files gevonden. Vervolgens hebben we contact opgenomen met de betrokken instanties op de VUB waarna die files zeer snel werden verwijderd. ‘MY.VUB’ is publiek toegankelijk en iedereen kan hier zomaar aan. Het feit dat een student een tweede zit heeft behoort toe aan die student, wij moeten dat niet wereldkundig maken. Binnen een beperkte groep kan men informatie als examenroosters dan weer wel delen, je medestudenten weten sowieso dat je aan die herexamens moet deelnemen. Voor examenresultaten is dat dan weer een ander verhaal. Daar zijn we aan het kijken of we deze info nog wel in groep kenbaar mogen maken of dat we dit in de toekomst individueel moeten meedelen.”

VUB systemen up-to-date

Een wereldwijde aanval met gijzelingssoftware trof in mei dit jaar duizenden computerservers van grote organisaties zoals ziekenhuizen en banken over de hele wereld. Belangrijke bestanden werden geblokkeerd door ransomware software. In welke mate zijn onze persoonlijke gegevens goed beveiligd op de servers van de VUB?

“Wanneer kan je zeggen dat gegevens ‘veilig’ worden bewaard? Zelfs de Amerikaanse inlichtingendienst werd gehackt, een organisatie die een paar van de sterkste veiligheidsprotocollen handhaaft. Bij grote aanvallen worden Amerikaanse banken vaak getroffen, omdat ze banken zijn en omdat ze Amerikaans zijn. Alleen al daarom worden ze onder vuur genomen door bepaalde groeperingen. Daarenboven valt daar ook nog eens een goede financiële winst te halen. De VUB is in dat opzicht niet hét doel bij uitstek, maar we zijn wel nog altijd een doel. We worden regelmatig eens getest door aanvallen van buitenaf. Veiligheid is risicomanagement. Men berekent het risico en neemt gepaste maatregelen. De VUB heeft volgens mij een redelijke graad van veiligheid, met wel nog ruimte tot verbetering. Onze sterkte zijn de personeelsleden die deze veiligheid ernstig nemen. De VUB is ontsnapt aan die grote aanval van mei 2017, juist omdat onze medewerkers de systemen tijdig up-to-date hebben gehouden met recente veiligheidsupdates.

Informatieveiligheid is geen volledig nieuw gegeven aan de VUB. Jouw voorganger, Marc Nyssen, stelde reeds een veiligheidsplan op dat zou worden uitgevoerd tot 2016, maar hier werd uiteindelijk weinig van in de praktijk gebracht. Hoe kwam dat?

“In het plan dat Marc Nyssen had opgesteld werden enkele pijnpunten in de VUB-informatieveiligheid geïdentificeerd. De aangehaalde punten uit het plan van Nyssen komen grotendeels overeen met deze die ikzelf nog steeds heb herkend na mijn aanstelling sinds 1 januari 2017. Dat plan is toen goedgekeurd en het feit dat het daarna niet is uitgevoerd, heeft verschillende oorzaken. Eén factor die daartoe heeft bijgedragen is dat de heer Nyssen slechts voor tien procent was aangesteld, waardoor hij met zijn beperkte uren niet de taken van veiligheidsconsulent en de opvolging van zijn actieplan kon dekken. Hierdoor werd het plan nooit vertaald in projecten. Ik denk dat die cultuur van het werken met projectprocessen daarvoor niet genoeg ingebakken is in de academische wereld. Daar heeft men als organisatie gefaald, het is geen schuldvraag van individuele personen.

Met de komst van onder andere de GDPR heeft de VUB zich gerealiseerd dat men voor informatieveiligheid een gefocuste functie moet voorzien. Om die reden werd ik begin dit jaar aangenomen als ISO met een aanstelling van honderd procent. Nu heb ik een nieuw driejarig veiligheidsplan opgesteld dat eind november werd goedgekeurd door de Raad van Bestuur. Wij willen nu ook uitzoeken in welke mate wij de VUB-studenten kunnen inzetten voor het identificeren en eventueel aanpakken van veiligheidsproblemen. Er wordt overwogen om jobstudenten aan te nemen om in een gecontroleerde omgeving een VUB-applicatie te hacken. Het besef begint te leven en de GDPR heeft daarbij een versterkend effect. Iedereen hoort hiervan en mensen schieten wakker.”

Jobstudenten en vakkenregistraties, ‘je moet de kat niet bij de melk zetten’

Op de VUB zijn er heel wat diensten die gebruik maken van jobstudenten om de nijpende werkdruk te kunnen verlichten. Hierdoor kunnen studenten die een job hebben bij de Onderwijs en studentenadministratie zien of medestudenten achterstallige rekeningen hebben. Daarnaast zijn er andere studentenjobs die toegang geven tot puntenlijsten van andere studenten, studietrajecten, adressen, betalingen, bindende voorwaarden en meer. In hoeverre is het verantwoord dat we zo’n gevoelige informatie uit handen geven aan jobstudenten?

“Als jobstudent heb je in feite dezelfde verantwoordelijkheid als een personeelslid en teken je een contract met eenzelfde vereiste van discretie, maar ik zal niet zeggen dat de wereld perfect is en we erkennen dat daar wel problemen zijn. Er is nood aan een meer nauwkeurige toegangscontrole. Als je hier als jobstudent of stagiair komt werken, moet je toegang krijgen tot die data die je nodig hebt voor je job. Wat er nu gebeurt, is dat personeelsleden toegang krijgen tot te veel data die niet noodzakelijk zijn in het kader van hun functie. Wanneer je vandaag toegeang krijgt tot een softwarepakket, zeg nu CaLi (het digitaal studentenadministratiesysteem van de VUB, n.v.d.r.), dan wordt u een rol toebedeeld die u een bepaalde mate van toegang geeft in dat pakket. Nu zijn er bij wijze van spreken maar drie rolverdelingen: geen toegang, te weinig toegang en toegang tot alles. Dat is een zwakte in de autorisatiestructuur en er is een project opgestart om dat aan te pakken, daar wordt aan gewerkt.”

Welke stappen kunnen dan worden ondernomen?

“Faculteiten zullen moeten kijken naar de applicaties die ze gebruiken en gaan zich de vraag moeten stellen of ze jobstudenten en medewerkers de juiste rol met de juiste beperkingen kunnen aanbieden in deze applicaties. Voor 2018 zijn er al projecten gebudgetteerd om hiervoor de fundamenten te leggen zoals een inventarisproject. Hiermee zullen we alle informatiestromen op de VUB in kaart proberen brengen om te controleren of bepaalde applicaties overbodige informatie ontvangen. Volgend jaar willen we de pijnpunten op de VUB formaliseren om daar dan projecten tegenover te kunnen zetten. Al deze projecten kunnen volgend jaar nog niet van start gaan, daar moeten we realistisch in blijven. De kern van de VUB is nog steeds onderzoek en onderwijs. Als wij informatieveiligheid projecten opstarten, zullen hier budgetten voor moeten worden vrijgemaakt die dan niet meer naar de kernopdrachten van de universiteit kunnen gaan. Het wordt dus een meerjarenplan.”

Zijn sommige taken niet te delicaat om aan studenten uit te geven? Het is misschien niet verstandig om studenten te betrekken bij vakkenregistraties of inschrijvingen van opleidingen, ze zouden zichzelf kunnen inschrijven in vakken waar ze wegens bindende voorwaarden eigenlijk niet voor in aanmerking komen.

“Ik snap wat je bedoelt: ‘Je moet de kat niet bij de melk zetten’. Diensten op de VUB kunnen zelf bepalen waarvoor ze jobstudenten inzetten en zij moeten dan ook in eer en geweten beoordelen of dat een risico vormt of niet. Je kan steeds controlemechanismen in bouwen, zo kan je softwarematig gemakkelijk verhinderen dat studenten zichzelf kunnen inschrijven.”

Maar studenten zouden ook vrienden een handje kunnen helpen. Een systeem kan niet controleren of de studenten vrienden zijn van elkaar of niet.

“Dat klopt, maar men zou ‘spot checks’ kunnen doen om te kijken of die inschrijvingen wel correct zijn gebeurd. Welke controlemechanismen juist gebruikt kunnen worden, wordt het beste bepaald door de betrokken diensten, dat is dan hun verantwoordelijkheid. Ik ben ook student geweest, als er slinkse wegen bestaan om je doel te bereiken dan is dat rap gekend onder de studenten. Er is dus een controleaspect nodig. Principieel heb ik er geen bezwaar tegen dat er jobstudenten zijn die helpen bij inschrijvingen of gelijkaardige zaken.”

Studenten en personeel mogen dus op beide oren slapen dat hun privacy op de VUB in goede handen is?

“Ja, de VUB weet goed waar ze staat als het aankomt op informatieveiligheid. We zoeken nu uit wat er nog moet gedaan worden om dit te verbeteren. Mijn taak moet zo weinig mogelijk inhouden dat ik reageer op incidenten die niet conform de regels gebeuren, maar ik wil vooral preventief werken. Voorkomen is altijd goedkoper dan reageren. Er is altijd de spanning waarbij ik zal zeggen dat ik die veranderingen morgen wil hebben, terwijl de academische wereld misschien zal antwoorden: ‘binnen tien jaar’. En hopelijk hebben we binnen vijf jaar dan ons doel bereikt. (lacht) Het is ‘work in progress’ en dat is belangrijk. Het is werk dat niet wordt genegeerd.”