Deel II. Governance

17Privacy

17.1 Bescherming persoonsgegevens

In mei 2016 is de Algemene Verordening Gegevensbescherming (AVG) van kracht geworden. Deze EU-wet vervangt onder meer de Wet bescherming persoonsgegevens (WBP) en dient in mei 2018 volledig ingevoerd te zijn in de gehele EU. De datum mei 2018 geldt ook voor de HAN. In 2016 zijn reeds enkele voorbereidingen getroffen. Zo is de via de HAN Academy georganiseerde cursus in het najaar aan de nieuwe wet aangepast. De verdere implementatie van de AVG bij de HAN wordt in 2017 projectmatig opgepakt.

De wetswijziging Meldplicht datalekken is per 1 januari 2016 bij de HAN geïmplementeerd. In 2016 heeft de HAN tweemaal een datalek gemeld.

De procedure voor het aanvragen van gegevensverstrekkingen zoals beschreven in artikel 9 van het Privacyreglement is in 2016 61 keer toegepast. Deze aanvragen zijn alle goedgekeurd.

17.2 Klachten bescherming persoonsgegevens

Naast enkele informele klachten is er medio december een formele klacht ingediend over de onzorgvuldige omgang met bijzondere persoonsgegevens van betrokkene. De behandeling van deze klacht kan pas in 2017 plaatsvinden.

17.3 Informatiebeveiliging

Het uitvoeren van interne audits informatiebeveiliging (hierna audit genoemd) van informatievoorzieningen is een belangrijk onderdeel van informatiebeveiliging. Een audit richt zich op een drietal zaken: classificatie, risicoanalyse en inventarisatie van reeds genomen maatregelen om de risico’s te verminderen. De classificatie betreft de aspecten Beschikbaarheid, Integriteit en Vertrouwelijkheid (afgekort BIV-classificatie). In 2016 zijn acht interne audits uitgevoerd.

In maart was er een piek in het aantal medewerkers dat zijn wachtwoord afgaf in reactie op phishing mails. Er is toen een aantal maatregelen getroffen in de vorm van een verplichte extra wijziging van het wachtwoord van alle medewerkers en het tijdelijk inperken van de toegankelijkheid van e-mail. Bijkomend voordeel is dat het bewustzijn van de risico’s is vergroot. Deze incidenten maakten ook een melding van een gegevenslek noodzakelijk.

Andere belangrijke incidenten betroffen ransomware, waarbij bestanden van de HAN worden versleuteld door criminele software die op de een of andere manier is geïnstalleerd op de computer. Bij één incident werden via het werkstation van een medewerker maar liefst 650.000 bestanden versleuteld op een gemeenschappelijke schijf en had ICT veel werk de bestanden weer terug te zetten vanuit de back-up. Een aantal beveiligingsmaatregelen heeft deze ransomware-incidenten in de loop van 2016 drastisch teruggedrongen.

Er is een toenemend ervaren belang van bescherming en beveiliging. Daarom zijn er commissies in het leven geroepen die zich op beide onderwerpen richten, zoals de Adviescommissie Praktijkgericht Onderzoek bij de Faculteit Gezondheid, Gedrag en Maatschappij, die zich naast andere aspecten van onderzoek op de bescherming van persoonsgegevens en informatiebeveiliging richt, en de Commissie Informatieveiligheid bij de Faculteit Economie en Management.

Tests

Het HAN-CERT (Computer Emergency Response Team) heeft in februari 2016 een zogeheten ‘vulnerability scan’ uitgevoerd. Dat wil zeggen dat er is onderzocht in welke mate de aangeboden diensten op de interne servers van de HAN kwetsbaar zijn voor digitale inbraak. De scan leverde geen noemenswaardige kwetsbaarheden op.

Naast de test die het HAN-CERT uitvoert, doen sinds 2016 ook de studenten van onze Informatie en Communicatie Academie twee keer per jaar een zogeheten penetratietest op systemen van de HAN. Deze test gaat iets verder dan de test die het HAN-CERT uitvoert en wordt als zeer nuttig ervaren, zowel voor de studenten als voor de HAN. De kwetsbaarheden die de studenten hebben gevonden, zijn alle gecommuniceerd naar de betreffende beheerders en waar mogelijk opgelost.

Alle back-up- en recovery-tests van de informatiesystemen, die voor het onderwijs en de bedrijfsvoering van de HAN essentieel zijn, zijn goed verlopen.

Volgende18Risicomanagement