Hoger onderwijs moet persoonsgegevens beter beveiligen

Twee grote hogescholen moeten de persoonsgegevens van hun studenten beter beveiligen. Als ze dat niet doen, kan het College Bescherming Persoonsgegevens (CBP) een dwangsom opleggen.

Het gaat om de Hogeschool Utrecht en de Hogeschool van Arnhem en Nijmegen. Maar het hadden ook twee andere onderwijsinstellingen kunnen zijn, zegt een CBP-woordvoerder.

Er kwamen zoveel verhalen in de media over tentamencijfers die voor iedereen toegankelijk waren en e-mailadressen die zomaar op straat belandden, dat het college eens poolshoogte wilde nemen in het hoger onderwijs. Het CBP heeft deze twee hogescholen vooral gekozen omdat ze veel studenten hebben. Alle universiteiten en hogescholen mogen de kritiek van het CBP ter harte nemen, als ze de beveiliging van hun persoonsgegevens niet op orde hebben.

De HAN en de HU hebben intussen wel verbeteringen aangebracht, maar zijn volgens het CBP nog steeds niet op orde. Ze houden weliswaar automatisch bij wie de gegevens van studenten inziet, maar kijken daar alleen naar als er een incident is geweest. Ze zouden los daarvan periodiek moeten controleren of er geen ongeoorloofde toegang is geweest, oordeelt het CBP.

Verder zou de Hogeschool Utrecht een betere beveiliging tegen simpele hackersaanvallen moeten hebben. De hogeschool moet bovendien vaker nalopen wie er allemaal het recht hebben om de gegevens van studenten in te zien: misschien zijn er mensen van baan veranderd die allang niet meer bij die gegevens mogen, maar nog wel toegang hebben tot het systeem.

De hogescholen verzamelen onder meer de studieresultaten, nationaliteit en geboortedatum van studenten. Ook staan er pasfoto’s en mailadressen in de systemen. Bij de HU staan er bovendien persoonlijke notities van decanen in de dossiers van studenten. Als ze een aanvraag hebben ingediend bij een studiefonds, dan staat dat er ook in.

“We gaan kijken wat er met onze kritiek gebeurt”, zegt een woordvoerder van het CBP. “Als de hogescholen de beveiliging niet verbeteren, beraden we ons op verdere stappen. We hebben de mogelijkheid om een dwangsom op te leggen als we denken dat dat nodig is om de overtreding een halt toe te roepen.”

De HAN laat weten dat de inlogbeveiliging al op orde is en binnenkort nog strenger wordt dankzij een nieuwe applicatie. “Deze maakt een maandelijkse controle op mislukte inlogpogingen goed mogelijk”, aldus een woordvoerder. “Het CBP wist bij het onderzoek dat we dat al van plan waren, maar heeft dat in de berichtgeving helaas niet gemeld.”

De Hogeschool Utrecht stelt in een verklaring dat de persoonsgegevens van studenten niet in gevaar zijn geweest, ondanks de tekortkomingen die het CBP noemt. De tekortkomingen waren al bekend en er zijn al maatregelen genomen om ze te verhelpen.

Advertentie