Privacyexperts schuiven aan bij universitaire beveiligers

Surfibo, het platform voor informatiebeveiligers in het (hoger) onderwijs, breidt uit met juristen en andere specialisten op het gebied van privacy. Voortaan heet het: SCIPR: Surf Community voor Informatiebeveiliging en Privacy.

*) Dit artikel komt uit Surf Magazine. Hier kunt u een gratis abonnement op nemen.

Bart van den Heuvel, Corporate Information Security Officer bij de Universiteit Maastricht en voorzitter van SCRIPR: “Je kunt vandaag de dag informatiebeveiliging niet meer los zien van privacy. Een integrale aanpak is noodzakelijk. De onderwerpen liggen in elkaars verlengde. We kunnen veel van elkaar leren en elkaar sterker maken.”

Die mening deelt hij met zijn nieuwe medebestuurder Frans Pingen, concernjurist en compliance officer bij Wageningen UR. “Ik werk in onze organisatie al veel langer nauw samen met de security officer, bijvoorbeeld rond thema’s als Surfaudit, classificatie van informatie, beleid voor hoe we omgaan met data op usb-sticks en de invoering van Bring Your Own Device. Je ziet dat privacy en security ragfijn met elkaar verweven zijn. ICT-systemen zijn het fundament voor het privacybouwwerk. Daarom is het heel goed dat twee voorheen losstaande aandachtsgebieden nu zijn samengebracht.”

Privacy by design

De directe aanleiding voor SCIPR is de succesvolle samenwerking van de beide disciplines bij de voorbereiding op de nieuwe Europese privacywetgeving. Van den Heuvel: “Voor dat onderwerp riepen Surfnet en Surfibo de hulp in van de groep juristen en privacy officers binnen de hogeronderwijs- en onderzoeksinstellingen. Dat werd zo’n succesvolle samenwerking met meer dan 20 instellingen, dat we het zonde vonden om die te stoppen op het moment dat we alle documenten rond die nieuwe wet gereed hadden.

Pingen vult aan: “En ook omdat er al weer nieuwe wetgeving op stapel staat waar privacy en informatiebeveiliging samenkomen, zoals de Wet datalekken die in 2016 van kracht wordt. Deze nieuwe wet vraagt om ‘privacy by design’. Je moet kunnen aantonen dat je alles hebt gedaan wat mogelijk is om persoonsgegevens te beschermen. Daar hangt natuurlijk een prijskaartje aan. Als SCIPR kunnen wij instellingen nog beter helpen die prijs zo laag mogelijk te houden.”

Van den Heuvel is eveneens overtuigd van de synergie-effecten die zullen optreden, ook vanwege de ervaringen die hij al opdeed in het project rond de Europese privacywetgeving. “Steeds meer vraagstukken hebben met zowel privacy als security te maken. Als informatiebeveiligers kunnen wij veel van juristen leren. Bijvoorbeeld: hoe lang moet je bepaalde informatie bewaren, en wanneer mag je of moet je die weggooien? Juristen leren van ons hoe je dit soort activiteiten in je informatiesystemen kunt integreren, waardoor ze een integraal onderdeel worden van bedrijfsprocessen. Want dat is natuurlijk wat je wilt: door geautomatiseerde processen afdwingen dat veiligheid en privacy worden gewaarborgd.”

Privacyimpactanalyse

Het eerste resultaat van de samenwerking van de twee bloedgroepen is de privacyimpactanalyse. Hierin zijn 25 administraties gedefinieerd waarbij privacy een rol speelt en die feitelijk voor alle onderwijsinstellingen nagenoeg gelijk zijn, zoals studentadministratie, personeelsadministratie en salarisadministratie.

Voor studentadministratie is de privacyimpactanalyse al volledig uitgewerkt, voor de andere 24 moet dat nog gebeuren. Een nieuw project is privacy in ondezoekssituaties, waarvoor de wet bepaalde uitzonderingen maakt. SCIPR werkt aan een document dat precies aangeeft hoe je als onderzoeker met de privacy van onderzoeksdeelnemers hoort om te gaan.

Privacy en security binnen het mbo

Ook speelt de integratie van het mbo in SCIPR. Van den Heuvel: “ROC’s zijn over het algemeen grote instituten die nog redelijk onervaren zijn in informatiebeveiliging. De meeste hebben net een security officer aangesteld. Kennisnet maakt hen wegwijs in het vakgebied door trainingen, waarbij de expertise van SCIPR-deelnemers en documenten uit het framework van SCIPR gebruikt worden.”

Met de komst van de mbo-instellingen is privacy voor minderjarigen bovendien een belangrijker onderwerp geworden. “Voorheen kenden alleen de hbo-instellingen een klein groepje 17-jarigen. Maar nu het mbo erbij komt, zullen we onze documentatie op dit onderwerp moeten uitbreiden”, zegt Van den Heuvel.

“Onderdeel van de nieuwe Europese regels is een aanscherping van de omgang met gegevens van en over minderjarigen. Zodra de wettekst bekend is, gaan we in kaart brengen wat dat precies betekent.”

Geld besparen

Kortom: SCIPR heeft genoeg onderwerpen om mee aan de slag te gaan. Gelukkig had Surfibo al veel betrokken leden, die vrijwillig een bijdrage leveren. Ook is gebleken dat vanuit de privacyhoek die bereidwilligheid groot is. De beide bestuursleden verwachten dat dit enthousiasme in SCIPR behouden blijft of wellicht nog sterker wordt. “Onderwijsinstellingen concurreren met elkaar bij het aantrekken van leerlingen of onderzoeksopdrachten, maar niet in de bedrijfsvoering. Iedere cent die we kunnen besparen door samen te werken, kunnen we steken in beter onderwijs en onderzoek”, besluit Van den Heuvel.

 

 

Dossier

Gepubliceerd

23 sep 2015

Registreren en de nieuwsbrief ontvangen?

We gaan zorgvuldig met je gegevens om. Je krijgt ook gelijk toegang tot alle plusartikelen en je kunt reageren op de artikelen.

asdas sdf fs dfsdfsf sdffsd

Netkwesties © 1999/2020. Alle rechten voorbehouden. Privacyverklaring

Ehio Media content marketing
1
0
1