‘UvA heeft te weinig aandacht voor privacy’

Veel organisaties zijn druk met voorbereidingen voor de nieuwe privacywetgeving. Bij de UvA moet nog het een en ander gebeuren, vond ik uit voor Folia.

De UvA doet te weinig om de privacy van studenten en medewerkers te beschermen en gevoelige data te beveiligen, vinden de Senaat, de Centrale Ondernemingsraad en de Centrale Studentenraad. De UvA is het daar niet mee eens, maar bevestigt dat er sprake is van ‘achterstallig onderhoud’.

Bij de Senaat, een groep van twaalf UvA-hoogleraren die het bestuur gevraagd en ongevraagd adviseert, is ‘grote bezorgdheid’ ontstaan over de gegegevensbescherming aan de UvA. Dat schrijft de voorzitter van de Senaat, hoogleraar psychiatrie Damiaan Denys, in een brief aan het UvA-bestuur. Vorige maand sprak de Senaat met Kees Koppenol, de functionaris gegevensbescherming van UvA en HvA, en van dat gesprek is de Senaat erg geschrokken. De hoogleraren kregen de indruk dat er pas actie is ondernomen ‘nu het niet op orde hebben van gegevensbescherming zal kunnen leiden tot hoge boetes’.

‘Potentieel zeer groot risico’
Volgens de Senaat kunnen de UvA en HvA ‘in bepaalde opzichten het minimumniveau dat nu al is vereist niet […] garanderen’. De hoogleraren vinden dat het bestuur ‘dit onderwerp al veel eerder UvA- en HvA-breed hoog op de agenda had moeten hebben’, omdat de risico’s voor aantasting van belangen van medewerkers en studenten ‘potentieel zeer groot’ zijn.

De Centrale Ondernemingsraad (COR) is al een tijdje met de UvA in gesprek over gegevensbescherming. COR-voorzitter Breanndán Ó Nualláin verwacht dat er pas na de zomer over een Notitie Beveiligingsbeleid zal worden gesproken. ‘Ik heb het idee dat de kennis en het gevoel voor urgentie bij het College van Bestuur ontbreekt.’ De ondernemingsraad deelt dan ook de zorgen van de Senaat.

Honderdduizend studentenaccounts
‘Wij proberen dit thema al meerdere jaren onder de aandacht te brengen van het bestuur, maar tevergeefs. Terwijl er toch incidenten plaatsvinden: vorig jaar nog konden ethische hackers van de UvA informatie van tienduizenden studentenaccounts van de UvA inzien.’ Ook heeft Ó Nualláin naar eigen zeggen vorig jaar bij ICT Services aangekaart dat de VPN-software, waarmee je vanaf andere locaties UvA-opslagschijven kunt benaderen, die de UvA gebruikte onveilig was. Er is volgens Ó Nualláin bijna een jaar overheen gegaan, zonder dat dit is aangepast. ‘Ik hoop dat we dit thema met het nieuwe bestuurslid, Jan Lintsen, hoog op de agenda kunnen zetten.’

‘Het concept-privacybeleid was gewoon niet in overeenstemming met de nieuwe wetgeving’

Lianne Hooijmans, vicevoorzitter van de studentenraad, onderschrijft dat er problemen zijn. ‘De Senaat schetst wat wij ook zien: het lijkt alsof er niet erg veel prioriteit wordt gegeven aan privacy.’ Als voorbeeld noemt ze het concept-privacybeleid dat de UvA dit voorjaar aan de studentenraad voorlegde. ‘Dat was gewoon niet in overeenstemming met nieuwe regels die vanaf volgend jaar in de hele EU gaan gelden. Nadat we dat hebben weggestemd hebben we nog geen nieuw voorstel ontvangen.’

Geen nieuwe projecten
Hooijmans ziet niet per se grote risico’s, maar zegt dat ‘er wel iets kan gebeuren’. ‘Dat heb je ook gezien met het lek in Blackboard vorig jaar. Gelukkig hebben mensen op de UvA over het algemeen weinig kwaad in de zin. Laten we hopen dat het zo blijft.’ Volgens Hooijmans zou het slim zijn om geen nieuwe projecten met dataverzameling of –koppeling te beginnen zolang de minima van gegevensbescherming niet gegarandeerd kunnen worden.

Bestuurswoordvoerder Yasha Lange bestrijdt dat er sprake is van een gebrek aan urgentie. ‘Er is geen aanleiding om te veronderstellen dat de UvA en HvA niet op de goede weg zijn of dat het onderwerp privacy en gegevensbescherming niet hoog op de agenda zou staan. Dit onderwerp krijgt veel aandacht en gaat nog meer aandacht krijgen de komende tijd. De Senaat zet de zaken in dat opzicht te scherp neer,’ laat hij weten.

Lange laat weten dat de UvA al op 21 oktober 2016 ‘een nieuw privacybeleid en beleid bescherming persoonsgegevens naar de Centrale Ondernemingsraad (COR) gestuurd. De COR heeft in mei 2017 op deze stukken geantwoord. In reactie daarop is gesproken met de COR. Het gesprek waar de Senaat op aandringt heeft dus al plaatsgevonden, de tekst zal worden aangepast aan de Algemene Verordening Gegevensbescherming (AVG), die in mei 2018 van kracht wordt.’

Achterstallig onderhoud
Lange bevestigt wel dat er op sommige punten sprake is van ‘achterstallig onderhoud’. ‘De UvA staat daarin zeker niet alleen, veel organisaties zijn druk bezig zich voor te bereiden op de AVG, ook de Autoriteit Persoonsgegevens zelf,’ stelt hij.