“Data worden soms langer bijgehouden dan je denkt”

Ongeveer een jaar geleden werd de welbekende General Data Protection Regulation (GDPR) uitgerold. Ondertussen lijken persoonlijke gegevens enkel aan belang te winnen. Ook op de VUB wordt er dagelijks gebruik gemaakt van persoonlijke gegevens van studenten en personeel. Maar zijn die data nog steeds in goede handen?

Facebook die persoonlijke gegevens doorspeelt aan bedrijven, hackers die aan de haal gaan met persoonlijke data… Het gebruik en de veiligheid van persoonlijke gegevens staat steeds meer centraal in ons dagelijks leven. Net om die reden nam Europa vorig jaar een nieuwe verordening aan: de GDPR. Dankzij deze Europese ‘wet’ krijgen consumenten meer controle over hun eigen data, zo ook aan de VUB.

zip.file

Tot zover de theorie, nu de praktijk. De GDPR geeft iedere burger de mogelijkheid om zijn persoonlijke gegevens die worden bewaard steeds op te vragen. Aan de VUB moet je hiervoor bij de Data Protection Officer (DPO), Wessel Damen zijn. Die buigt zich over de manier waarop de VUB omgaat met persoonsgebonden data. Nadat ik een inzageverzoek indiende bij de DPO om mijn data te kunnen inkijken, kreeg ik een zip.file toegestuurd met daarin al mijn data verzameld. Hierin kwamen drie belangrijke gegevensbronnen naar boven: de gegevens van de personeelsadministratie, de gegevens van de databank onderzoeksoutput en de gegevens van de studentenadministratie. De personeelsadministratie houdt bij wie er allemaal jobstudent is geweest aan de VUB. De databank onderzoeksoutput is op de hoogte van wie er heeft deelgenomen aan bepaalde evenementen en welke publicaties ze op hun naam hebben staan. De belangrijkste gegevens zijn die van de studentenadministratie. Hierin is informatie als je geboortedatum, rijksregisternummer, studierichting, behaalde resultaten en studietoelagen terug te vinden.

De persoon die waakt over de veiligheid van alle data aan de VUB is Jan Paredis. In januari 2017 werd hij aangenomen als Information Security Officer (ISO). Paredis en Damen werken nauw samen. De ISO zorgt voor de algemene veiligheid van alle gegevens, maar gaat niet na of deze gegevens er mogen zijn. Paredis stelt het zwart-wit voor: “Er zijn data en ik moet zorgen dat die data veilig zijn. Of persoonsgebonden data er mogen zijn wordt door de Data Protection Officer (DPO) onderzocht. Verder kijkt de DPO naar de bewaartermijnen van de gegevens.”

Kan je nog vergeten worden?

Hoelang data worden bijgehouden hangt af van verschillende factoren, verklaart Damen. “De bewaartermijnen zijn voorgeschreven door verschillende wetten. Toch worden data vaak langer bijgehouden dan je zelf zou denken. Als je bijvoorbeeld een contract hebt afgesloten, dan bewaar je dat (contract) even lang als de verjaringstermijnen van je vordering. Want mocht er iets fout lopen en je wordt aangeklaagd, dan kan je steeds het contract gebruiken als bewijs en dus houd je de persoonsgegevens langer bij. Bij diplomering worden de data nog langer bewaard omdat de overheid databanken wil bijhouden van wie allemaal een diploma heeft behaald. Als je data archiveert dan worden ze bijgehouden tot het einde der tijden, zodat historici in de toekomst onderzoek kunnen blijven doen. Er zijn dus veel verschillende bewaartermijnen voor allerlei soorten data en soorten werkingen.”

Aan de VUB worden er twee soorten data bijgehouden: werkingsdata en technische data. Paredis: “De werkingsdata zijn data noodzakelijk voor de dagelijkse werking van de VUB. Hieronder valt onder andere studentendata, je adres, welke studierichting je volgt en je behaalde punten. Maar ook personeelsdata en externe partnerdata vallen hieronder. Er zijn wettelijke bewaarvereisten aan sommige data. Zo moeten we als universiteit steeds met data kunnen aantonen dat je hier je diploma hebt behaald. Naast de werkingsdata heb je de technische data. Hiermee kunnen we zien wanneer je inlogt op het netwerk, welke applicaties je gebruikte. Niet op het niveau dat we kunnen zien welke pagina’s je allemaal bezoekt op internet, maar wel of je in CaLi of Canvas aanpassingen hebt gemaakt. Zoals de naam laat uitschijnen worden die data enkel bijgehouden voor technische doeleinden. Als er zich een probleem voordoet in het systeem, dan kunnen we nagaan waar het juist fout liep. Of in geval van een ernstig cyberincident hebben we de mogelijkheid om na te gaan wat er juist is gebeurd. Deze data worden uiteraard afgeschermd en slechts beperkte tijd bijgehouden. In geval van een incident bewaren we een kopie zodat we voldoende tijd hebben om deze grondig te onderzoeken.”

(on)veilige data

Natuurlijk heeft niet iedereen zomaar toegang tot je persoonlijke gegevens. De verschillende diensten hebben elk verschillende toegangen tot de databanken en ze gebruiken elk verschillende logins. Verder moeten personeelsleden die werken met persoonlijke gegevens steeds een contract ondertekenen waarin ze accepteren de geheimhoudingsplicht na te leven. Ook jobstudenten die toegang hebben tot CaLi zijn verplicht om zo’n contract te ondertekenen. “De mate waarin dat wordt uitgevoerd, ligt voor een groot deel bij de diensthoofden en directeurs, maar ik heb wel de indruk dat zulke zaken heel serieus worden genomen,” verklaart Damen.

Naast de geheimhoudingsplicht bij het personeel is er nog de beveiliging van de data. Paredis spreekt van een gelaagde veiligheid. “Er zijn verschillende veiligheidsmaatregelen tegen verschillende aanvallen. De basis is de fysieke veiligheid, want er kan iemand fysiek binnenkomen en zo de harde schijf uit het systeem halen. Verder is er ook de brandbeveiliging. Daarvoor hebben we back-ups nodig. En natuurlijk is er de beveiliging tegen digitale aanvallen, zowel van binnen het netwerk als extern. Mocht er een tekortkoming zijn in de beveiliging van de data, zou dat imagoschade zijn voor de VUB. Wij zijn heel streng op het beveiligen van de privacy. Als VUB zouden we het heel persoonlijk opnemen mocht data van onze studenten, personeel of onderzoekers zomaar op de straatstenen terechtkomen.”

Less is more

Toch ontstaan er soms spanningen over het bijhouden van data tussen onderzoekers en de VUB als instelling. De GDPR legt verplichtingen op en de VUB als instelling moet ervoor zorgen dat die worden nageleefd. Voor Damen is dit soms een moeilijke evenwichtsoefening. “Je zit steeds tussen twee vuren. Het naleven van de wet betekent dat je zo goed mogelijk recht doet aan de belangen van de betrokkenen, maar onderzoekers moeten wel hun werk kunnen doen. Hoe we dit op een juiste manier kunnen aanpakken, is soms lastig, zeker aan de VUB, waar er een grote mate van academische vrijheid leeft. Begrijp me niet verkeerd; ik ben een fervent voorstander van die vrijheid, maar als er iets fout loopt bij het juist verzamelen of bewaren van die data, dan is het de VUB die aansprakelijk is.  Een ander probleem is ‘dataminimalisatie’. Een van de verplichtingen die instellingen wordt opgelegd is om niet meer data te verzamelen dan nodig is. Maar hoe maak je aan een onderzoeker duidelijk dat minder data beter is? Om dan de wettelijke plicht van dataminimalisatie in te voegen, is soms lastig.”

Data zijn vandaag niet meer weg te denken uit het dagelijkse leven en ze worden steeds dominanter. Daarom is het belangrijk dat consumenten steeds zicht hebben op welke data er van hen worden bijgehouden. Privacy in een digitale wereld mag geen contradictio in terminis zijn. Om data en de gevaren die ze soms met zich meebrengen onder de aandacht te brengen, nodigt de Moeial u uit op haar jaarlijkse Filopub. Het thema van dit jaar? ‘Big brother is watching you: Privacy in een digitale wereld’ met Jan Walraven, journalist bij Apache en auteur van De diefstal van de eeuw. Hoe we onze data kunnen heroveren (2018).