Het vaststellen van de juiste bewaartermijn voor persoonsgegevens is niet altijd gemakkelijk. Dat heeft te maken met het volgende:

• De AVG noemt geen specifieke bewaartermijnen, en
• Sommige andere wetten (zoals de belastingwet en de archiefwet) geven wél aan hoe lang we bepaalde (persoons)gegevens moeten bewaren. Je moet dus veel wetten kennen.

Algemeen uitgangspunt: bewaar persoonsgegevens niet langer dan dat je ze nodig hebt voor het doel waarvoor ze zijn verzameld.

Zie voor meer informatie de Selectielijst Universiteiten en Universitair Medische Centra 2020.

Geeft de selectielijst onvoldoende aanknopingspunten, neem dan contact op met privacy.gw@uu.nl of met privacy.rebo@uu.nl.

Een goede bescherming van persoonsgegevens begint uiteraard met een veilige manier van werken. Op het intranet vind je alles over informatiebeveiliging. Houd vooral ook de informatie over nieuwe vormen van identiteitsfraude, phishing en ransomware in de gaten. Op deze gebieden zijn er helaas veel negatieve ontwikkelingen.

Een speciale waarschuwing geldt voor het gebruik van USB memory sticks. Gebruik deze alleen als het écht niet anders kan. Ze zijn weliswaar heel handig, maar naast de vele nadelen die al op het intranet worden benoemd, zijn deze sticks ook nog eens een bron van extreem gevaarlijke besmettingen met malware, zoals infostealers.

Zie ook: Informatiebeveiliging bij de UU (Intranet)

Ja! Heb je het vermoeden dat er een datalek is opgetreden, meld dat dan onmiddellijk door een mail te sturen naar datalek@uu.nl. De reden dat je dit onmiddellijk moet melden is dat de universiteit slechts 72 uur de tijd heeft om het datalek (voorlopig) af te handelen. Hoe langer jij wacht, hoe minder tijd er overblijft.

Geef in je mail zo veel mogelijk details over wat er is gebeurd:

• Welke situatie heeft tot het datalek geleid? Geef een uitvoerige beschrijving.
• Wanneer vond het lek plaats en wanneer kwam je er achter?
• Welke categorieën personen zijn getroffen door het datalek en om hoeveel personen gaat het? (bijv. 25 studenten en 1 docent)
• Welke soorten persoonsgegevens zijn er mogelijk gelekt? (bijv. namen, studentnummers, informatie over privéomstandigheden)
• Wat zouden de mogelijke gevolgen kunnen zijn voor de ‘getroffenen’? (bijv. de getroffenen zouden gepest kunnen worden; er is een risico op identiteitsfraude)
• Kennen de betrokken personen elkaar?

Mailen is een erg foutgevoelige activiteit. Veel datalekken ontstaan door een van de volgende fouten:

• Een e-mail is niet aan de juiste persoon gericht.
• Er staan te veel geadresseerden in het cc-veld. In mails naar meerdere personen die elkaar niet per se kennen, moet het bcc-vak worden gebruikt.
• Je hebt een bijlage toegevoegd, maar die is bedoeld voor een andere geadresseerde.
• De inhoud of bijlage van de mail is te gevoelig om via de normale mail te worden verstuurd. Als je dergelijke mail aan externe ontvangers wilt versturen (dus buiten het UU mailsysteem) kun je gebruikmaken van SURFfilesender. Schakel daarbij de versleuteling (encryptie) in.
  N.B. Voor mails die je van het ene UU-mailadres naar het andere verstuurt, is het UU mailsysteem in principe veilig genoeg.

Mogelijke oplossingen:

• Probeer de onjuiste mail terug te halen via de opties van Outlook.
• Stel voor toekomstige verzendingen een vertraging voor het verzenden van mails in. Je hebt dan nog enige tijd de gelegenheid om de verzending van foutieve mails te annuleren.

Het is een bekend probleem dat studenten hun UU-mailbox maar matig bijhouden. Dit in tegenstelling tot hun privémailbox, die veelal dagelijks wordt geraadpleegd. Mails die naar de UU-mailbox worden gestuurd, worden dus vaak niet opgemerkt door de student, met alle kwalijke gevolgen van dien.

De neiging bestaat om mails vanuit de universiteit daarom naar de privémailbox van de student te sturen. Voor huis-tuin-en-keuken-mails kan dat wellicht geen kwaad, maar mails met gevoelige informatie (zoals tentamenuitslagen of afspraken met de studentpsycholoog) is de privémailbox ongeschikt, althans als er geen maatregelen worden genomen.

Mogelijke oplossingen:

• Gebruik SURFfilesender om de gevoelige gegevens naar de privémailbox van de student te sturen. Dit is redelijk omslachtig, want via een ander kanaal moet er ook een wachtwoord worden verzonden om het bestand te kunnen openen.
• Stuur de gevoelige mail wél naar de UU-mailbox van de student en stuur tegelijkertijd een melding naar diens privémailbox. In die melding zeg je alleen dat er een belangrijke mail naar de UU-mailbox van de student is gestuurd en dat de student dus vriendelijk wordt verzocht zijn of haar mailbox te checken. Veel overheidsdiensten werken ook op deze manier.

Een veelgemaakte vergissing is dat een document van de ene student/medewerker wordt opgeslagen in het dossier (of archief) van de andere student/medewerker.

Mogelijke oplossingen:

• Werk met een naamgevingsprotocol. Zorg er bijvoorbeeld voor dat de naam van degene over wie een document gaat, prominent aanwezig is in de naam van het document zelf.
• Vraag medewerkers en studenten eens in de zoveel tijd te controleren of de documenten in hun dossier (nog) kloppen. Dit laatste is niet alleen van belang in verband met datalekken. De AVG schrijft voor dat we er hoe dan ook voor moeten zorgen dat de persoonsgegevens die wij in bezit hebben, correct zijn.

Als collega’s uit dienst gaan of als ze een andere baan krijgen binnen de UU, wordt vaak vergeten om hun toegangsrechten voor bepaalde Teams-groepen of andere formele of minder formele groepen in te trekken. Gaat iemand uit dienst, dan heeft diegene automatisch geen toegang meer tot bepaalde groepen omdat er voor die toegang een UU gebruikersaccount vereist is. Maar krijgt iemand een andere baan binnen de UU, dan geldt dat niet.

Mogelijke oplossingen:

• Het moet een gewoonte zijn om alle toegangsrechten van mensen die een team verlaten, meteen kritisch tegen het licht te houden.
• Soms is dat lastig. Daarom is het verstandig om voor elke groep formeel een beheerder aan te wijzen die de toegangsmachtigingen minimaal eens in de drie maanden controleert.

Teams-groepen zijn bij uitstek plekken waar je samen met een team aan documenten en bestanden kunt werken. Dat nodigt ertoe uit om dergelijke plekken te gebruiken als parkeerplaats voor alle bestanden die je binnen het team nodig zou kunnen hebben. Maar vooral als het gaat om gevoelige documenten of bestanden is dat geen goede werkwijze. Deze mogen immers alleen toegankelijk zijn voor mensen die op de hoogte moeten zijn van de inhoud ervan (“need-to-know”).

Plaats gevoelige bestanden dus niet in een Teams-groep waarvan niet alle leden een need-to-know hebben, maar deel ze – indien nodig – met specifieke personen.

Verlies of diefstal van een telefoon of laptop moet je altijd melden via datalek@uu.nl. Het feit dat een telefoon of laptop gestolen is of anderszins verloren is gegaan, betekent overigens niet automatisch dat er sprake is van een datalek. De laptops die door de UU aan medewerkers worden verstrekt, zijn end-to-end versleuteld. Dit betekent dat een dief de ingebouwde opslagapparatuur zelfs niet kan gebruiken als deze wordt gedemonteerd en in een andere laptop geïnstalleerd.

In de volgende gevallen is er wél sprake van een datalek:

• De laptop is gestolen op een moment dat deze aan stond en niet vergrendeld was.
• Op het apparaat staan UU-gerelateerde persoonsgegevens die nergens anders worden bewaard, dus niet op een van de UU-systemen. Denk aan nakijkwerk van studentopdrachten.
• Er is niet alleen een laptop of telefoon verdwenen, maar ook een onbeveiligd extern opslagdevice (USB-stick, externe harddisk, geheugenkaartje) waar persoonsgegevens op staan. Met “onbeveiligd” wordt bedoeld dat er voor het opslagdevice zelf geen wachtwoord is ingesteld.

Mede door de opkomst van AI is phishing bezig aan een opmars. Er is sprake van phishing als onbevoegden door middel van list en bedrog proberen jou iets te laten doen waardoor zij informatie in handen krijgen of toegang krijgen tot systemen waar jij op werkt. Vaak neemt phishing de vorm aan van mails of andere elektronische berichten die authentiek lijken en waarin je wordt gevraagd of verleid om ergens op te klikken of om een bepaalde link te volgen. Doe je dat, dan wordt er vaak spionagesoftware op jouw systeem geïnstalleerd of word je naar een goed nagemaakte site gelokt waarop je jouw inloggegevens voor de echte site invoert, bijvoorbeeld die van je bank.

Tot voor kort was phishing meestal goed herkenbaar omdat de hackers onbeholpen mailtjes stuurden. Iedereen kent de slecht geformuleerde mails die zogenaamd afkomstig waren van prinsen uit verre landen of van banken of de belastingdienst. Met hun matige taalgebruik verraadden de hackers zichzelf. Maar door de opkomst van AI ligt het schrijven van waarheidsgetrouw ogende mailtjes inmiddels binnen ieders handbereik. Herkenning is daardoor veel moeilijker geworden.

Algemene richtlijnen:

• Wees vooral voorzichtig met mails die afkomstig zijn van adressen die je niet kent.
• Klik nooit zomaar op een link, maar houd de muisaanwijzer erboven en kijk onderin het scherm waar die link heengaat.
• Vertrouw je het niet of heb je per ongeluk op een phishing link geklikt? Stuur dan onmiddellijk een mail naar phishing@uu.nl.

Ja, dat klopt. De gegevens die we nodig hebben voor administratief werk, staan meestal weliswaar in officiële UU-systemen zoals SAP, Blackboard en Osiris. Maar als het gaat om de hoeveelheid data die een organisatie zoals de UU in totaal in bezit heeft, vertegenwoordigen die systemen slechts een topje van de ijsberg. Om efficiënt en doeltreffend te kunnen werken is het vaak nodig om met gegevens buiten die officiële systemen te werken, hetzij in de vorm van kopieën van “officiële gegevens”, hetzij in de vorm van unieke gegevens zoals e-mails.

Enkele richtlijnen:

• Probeer zo veel mogelijk binnen de officiële systemen te werken en beperk het werken met schaduwsystemen tot het strikt noodzakelijke.
• Wis “tussenbestanden” meteen, d.w.z. zodra het werk is gedaan. Met tussenbestanden bedoelen we bestanden die bijvoorbeeld alleen noodzakelijk zijn om een berekening te maken.
• Voer regelmatig (bijvoorbeeld eens per half jaar in een rustige periode) een opschoning van tijdelijke bestanden uit. Dat geldt ook voor bestanden die je binnen je team hebt gedeeld.

De meeste processen binnen onze faculteit zijn prima geregeld. Nu nog wel, maar onze organisatie staat niet stil. Soms is er ruimte voor verbeteringen in de processen. Een proces kan bijvoorbeeld “lean” worden gemaakt door erin te snoeien. En op andere momenten moeten er heel nieuwe processen worden ingevoerd omdat de wereld nu eenmaal verandert. Hierbij denk je wellicht in de eerste plaats aan het werken met AI.

Worden er binnen die nieuwe of gewijzigde processen persoonsgegevens verwerkt (bijvoorbeeld gegevens over studenten, medewerkers of alumni), dan is het zaak om de facultaire privacy officers van het begin af aan te betrekken in het veranderings- of implementatietraject. Zij kunnen dan meedenken, zodat de bescherming van persoonsgegevens als het ware wordt “ingebakken” in het hele proces. Dit wordt privacy-by-design genoemd. Het is een wettelijke eis vanuit de AVG (artikel 25).

Bestaat de mogelijkheid dat het nieuwe of gewijzigde proces reële risico’s inhoudt voor de rechten, vrijheden en/of belangen van wie dan ook? Dan moeten we waarschijnlijk een data protection impact assessment (DPIA) uitvoeren. Dit proces wordt weliswaar door de privacy officer begeleid, maar de proceseigenaar is verantwoordelijk voor de uitvoering ervan. De DPIA-plicht wordt beschreven in artikel 35 van de AVG.

De privacy officers zijn bereikbaar via privacy.gw@uu.nl en privacy.rebo@uu.nl.

Oplossing: Benader de student vanuit het secretariaat en vraag of het goed is dat de contactgegevens worden verstrekt aan de docent. Of nog liever: vraag vanuit het secretariaat of de student zelf contact wil opnemen met de docent.

Oplossing: Stel aan de onderzoeker voor om een link naar de uitnodiging voor het onderzoek op te nemen in de syllabus van het vak in kwestie. Studenten kunnen dan zelf kiezen of ze die link volgen en of ze hun gegevens verstrekken.

Oplossing: Er zijn voor de onderzoeker andere manieren (bijv. sociale media) om rechtstreeks met alumni in contact te komen. De gegevens op sociale media zijn door de alumni zelf openbaar gemaakt.

Oplossing: De studentenvereniging moet voor zijn eigen ledenwerving zorgen. Ons adressenbestand mag niet worden gebruikt voor spam. Wij kunnen de eerstejaars studenten wel een overzicht sturen van studentenverenigingen in Utrecht, zodat de studenten zelf contact kunnen zoeken.

Oplossing: Vaak circuleren dergelijke gegevens al binnen het team van de desbetreffende collega. De leidinggevende van de zieke collega kan dan bepalen of de gegevens worden verstrekt. Maar laten we wel de medemenselijkheid in het oog houden!

Bij studenten wordt er helaas af en toe examenfraude geconstateerd, bijvoorbeeld omdat de student plagiaat heeft gepleegd, of omdat hij AI heeft gebruikt terwijl dat niet mocht. In dergelijke gevallen wordt in onze systemen vastgelegd dat de student niet aan de examenvoorwaarden van het vak heeft voldaan, en in bepaalde gevallen ook wat daarvan de reden is.

Het feit dat fraude er de oorzaak van was dat de student het vak niet heeft gehaald, mag niet worden gedeeld met derden. Ook de desbetreffende docent mag dat niet doen. Bij internationale uitwisselingsstudenten die aan de UU studeren, mag de “eigen” universiteit dus niet worden ingelicht over de examenfraude, maar alléén over het feit dat de student niet aan de voorwaarden van het vak heeft voldaan.