In dit bestuursverslag geven we aan welke activiteiten in 2017 zijn uitgevoerd om te voldoen aan het Privacyreglement van de HAN en het Informatiebeveiligingsbeleid. Omdat beide onderwerpen, bescherming persoonsgegevens en informatiebeveiliging, nauw met elkaar verbonden zijn, worden deze in dit bestuursverslag gecombineerd.
16.1. Bescherming persoonsgegevens
In mei 2016 is de Algemene Verordening Gegevensbescherming (AVG) van kracht geworden. Deze EU-wet vervangt onder meer de Wet bescherming persoonsgegevens (WBP) en dient in mei 2018 binnen de gehele EU volledig ingevoerd te zijn. In april 2017 is het project om de AVG bij de HAN in te voeren van start gegaan. Vanwege de grote overlap in werkzaamheden is dit gecombineerd met de invoering van een onafhankelijk oordeel over de informatiebeveiliging (zie verderop).
In 2017 heeft de HAN eenmaal een datalek gemeld. Het ging om een mail aan studenten van de HAN, waarin adresgegevens van anderen waren opgenomen. Deze anderen (het betrof 81 adressen) zijn ook persoonlijk daarover geïnformeerd, onder vermelding van excuses.
De procedure voor het aanvragen van gegevensverstrekkingen zoals beschreven in artikel 9 van het Privacyreglement is in 2017 57 keer toegepast. Deze zijn op twee aanvragen na goedgekeurd.
16.2. Klachten bescherming persoonsgegevens
De in het vorige bestuursverslag gemelde formele klacht van eind 2016 over onzorgvuldige omgang met bijzondere persoonsgegevens van een betrokkene is begin 2017 afgehandeld. In 2017 zijn geen klachten ingediend. Wel werden zaken gesignaleerd die niet in overeenstemming met de WBP waren. Daarop is steeds actie ondernomen. Het ging met name om de externe verwerking van persoonsgegevens waarover geen of onvoldoende afspraken waren gemaakt met de externe partij.
16.3. Informatiebeveiliging
Het uitvoeren van interne audits informatiebeveiliging (hierna audit genoemd) van informatievoorzieningen is een belangrijk onderdeel van informatiebeveiliging. Een audit richt zich op een drietal zaken: classificatie, risicoanalyse en inventarisatie van reeds genomen maatregelen om de risico’s te verminderen. De classificatie betreft de aspecten Beschikbaarheid, Integriteit en Vertrouwelijkheid (afgekort BIV-classificatie). In 2017 zijn zes interne audits uitgevoerd.
Zoals elke organisatie wordt de HAN vrijwel dagelijks digitaal ‘aangevallen’. In 2017 hebben zich echter geen ernstige incidenten voorgedaan. In 2017 is een drietal ‘ethische hackers’ beloond voor het melden van kwetsbaarheden in digitale voorzieningen van de HAN. Eind november is de informatiebeveiliging van de HAN aan een ‘peer review’ onderworpen in het kader van SURF-audit. De rapportage komt begin 2018 beschikbaar.
Bewustwording
De Adviescommissie Praktijkgericht Onderzoek bij de Faculteit Gezondheid, Gedrag en Maatschappij en de Commissie Informatieveiligheid bij de Faculteit Economie en Management speelden ook in 2017 een belangrijke rol in de bewustwording van het belang van bescherming van persoonsgegevens en informatiebeveiliging. De andere faculteiten overwegen ook een dergelijke commissie in te stellen.
In april 2017 is een namaak phishing-mail naar alle medewerkers van de HAN verstuurd. Deze actie had twee doelen: het vergroten van de bewustwording en nagaan hoeveel medewerkers hun wachtwoord afgeven. Ruim 30% van de medewerkers gaf zijn wachtwoord af, een hoog percentage, dat wel ongeveer gelijk is aan het percentage bij andere onderwijsinstellingen.
Gedurende het jaar is in nieuwsbrieven aan de medewerkers regelmatig aandacht aan beide onderwerpen besteed. De cursus Informatiebeveiliging en Bescherming Persoonsgegevens is eenmaal in de reguliere vorm gegeven en driemaal in verkorte vorm.
Tests
Het HAN-CERT (Computer Emergency Response Team) heeft in februari 2017 een zogeheten ‘vulnerability scan’ uitgevoerd. Dat wil zeggen dat er is onderzocht in welke mate de aangeboden diensten op de interne servers van de HAN kwetsbaar zijn voor digitale inbraak. De scan leverde geen noemenswaardige kwetsbaarheden op.
Naast de test die het HAN-CERT uitvoert, doen sinds 2016 ook de studenten van de opleiding ICT (ICA) twee keer per jaar een zogeheten penetratietest op systemen van de HAN. Deze test gaat iets verder dan de test die het HAN-CERT uitvoert en wordt als zeer nuttig ervaren, zowel voor de studenten als voor de HAN. Alle kwetsbaarheden die de studenten hebben gevonden, zijn gecommuniceerd naar de betreffende beheerders en waar mogelijk opgelost.
De back up- en recovery tests van de voor het onderwijs en de bedrijfsvoering van de HAN essentiële informatiesystemen zijn allemaal goed verlopen.