Data mobiele telefoon beter beveiligd
Klachten over daling van gebruikersgemak
De timing was wat ongelukkig. Midden in de zomer kregen veel UU-medewerkers te horen dat ze een app van Microsoft moesten downloaden om nog bij hun UU-mail te kunnen op hun smartphone. Deze app is beveiligd door een zescijferige code en valt onder de beveiliging van de Universiteit Utrecht.
De meeste medewerkers lukte het om de applicatie te downloaden, maar al snel bleek dat de nieuwe manier van werken gepaard ging met ongemak.
Meerdere agenda's
De grootste klacht is dat je de agenda van het werk niet meer kunt synchroniseren met andere agenda’s. “Dat is voor iemand met een volle agenda al verschrikkelijk lastig, maar voor mensen die naast hun werk aan de universiteit een eigen bedrijf hebben of bij een andere werkgever werken bijna onoverkomelijk”, zegt Daniël Janssen, universitair hoofddocent bij Communicatie & Informatiewetenschappen. Hij moet nu meerdere agenda’s tegelijk in de gaten houden, een van activiteiten van de UU, een voor andere werkzaamheden.
Een andere klacht is dat het niet meer mogelijk is tekst uit je UU-mail te kopiëren naar bijvoorbeeld een whatsappomgeving. Verschillende werknemers geven aan dat het gebruikelijk is om informatie die je per mail ontvangt in bijvoorbeeld de appgroep met collega’s te zetten. Het wordt als zeer hinderlijk ervaren dat dit niet meer mogelijk is. Wie op een laptop werkt, heeft dit probleem niet. Ook kan je dit omzeilen door een mail door te sturen naar privé-mailadres. Medewerkers vinden dit vreemd.
Nieuwe telefoon kopen
Er waren ook aardig wat medewerkers bij wie het niet lukte de app van Microsoft te downloaden. Zij kwamen er achter dat hun telefoon een te oud besturingssysteem heeft. Voor Android is een OS9 of hoger nodig. De iPhone en iPad moeten minstens IOS-versie 13 hebben. Zo niet, dan moesten ze een nieuwe telefoon of tablet aanschaffen om hun UU-mail op de smartphone te kunnen zien.
Bij verschillende diensten en faculteiten, kregen deze medewerkers een nieuwe telefoon van de UU. Maar er zijn ook faculteiten die smartphone niet vergoeden. De bètafaculteit bijvoorbeeld. Gert Folkers kreeg van zijn leidinggevende te horen dat wilde hij zijn mail kunnen blijven lezen hij toch echt zelf een nieuwe telefoon moest aanschaffen. “Ik heb mijn toestel iets meer dan twee jaar en toch was het besturingssysteem te oud. Ik ga zelf geen nieuwe kopen, hij werkt nog prima. Dan maar geen mail. Ik vind het vreemd dat de universiteit eist dat je een modern toestel moet hebben maar niet bereid is dat te bekostigen.” Folkers is lid van de Universiteitsraad en heeft voor die functie een tablet gekregen. “Maar die is ook te oud. Op die tablet kunnen we de mail evenmin lezen. En daar komt ook geen nieuw model van.”
In de faculteit Bètawetenschappen kan je een mobiel aanvragen via je leidinggevende, zegt directeur Klaas Druijf. Samen bepaal je welke telefoon geschikt is. En of het noodzakelijk is dat je je mail op je smartphone moet kunnen lezen bijvoorbeeld. Er zijn medewerkers binnen de faculteit die wel een nieuw toestel hebben gekregen.
Volgens Folkers is het beleid binnen de faculteit niet eenduidig. “De kosten komen voor rekening van de afdeling en onze leidinggevende kiest dan eerder voor het faciliteren van het laboratorium dan voor de aanschaf van smartphones voor medewerkers.”
Gedwongen winkelnering
Een ander kritiekpunt is de gedwongen winkelnering bij Microsoft. “Ik vind het vreemd dat ik geacht wordt om een microsoftomgeving op mijn telefoon te zetten. Hoe veilig is dat dan?”, vraagt Gerhard Blab, docent bij bèta en voorzitter van de faculteitsraad. Hij heeft ook in zijn omgeving veel klachten gehoord. “Mensen gaan gewoon hun privémail gebruiken. Ze laten alles doorsturen. Hoe veilig is dat?” Zelf vindt hij het vervelend zijn mailtjes en toegevoegde data niet te kunnen bewerken. “Ik wil mijn data niet alleen zien, maar er ook mee werken.”
Slechte beveiliging smartphones
Susanne Veenstra kent de klachten. Ze is projectleider van het Solis Cloud Endpoint Management (Scem). “Wij maken voortdurend de afweging ‘wat is nodig voor het beveiligen van de UU-data en weegt dat op tegen het gebruikersgemak?’” Ze werkte eerst bij een bank en daar waren de eisen beduidend strenger, zegt ze.
De universiteit besloot om met dit programma te gaan werken na een onderzoek waaruit bleek dat de databeveiliging op mobiele telefoons van universiteiten slecht is. Dit onderzoek was gedaan door de onderwijsinspectie naar aanleiding van de hack in Maastricht. “De data uit bijvoorbeeld de mail was vrij makkelijk toegankelijk en dat was een groot risico. We weten dat relatief veel telefoons kwijtraken of niet beveiligd zijn door een code of vingerafdruk. Daardoor kan iedereen bij de mail en dus (vertrouwelijke) data. Dan is er al snel sprake van een datalek wat kan zorgen voor reputatieschade van de UU. Ook loop je kans dat de universiteit gehackt kan worden of dat onderzoeksdata op straat komen te liggen. Dat zijn risico’s die wij willen voorkomen.”
Privéagenda kan wel op UU-agenda
Veenstra geeft aan dat data wel degelijk bewerkt en gekopieerd kunnen worden, maar dan binnen de veilige microsoftomgeving, bijvoorbeeld naar het Wordprogramma of naar Teams binnen de applicatie.
Dat agenda’s niet gesynchroniseerd kunnen worden, is een nadeel, weet ook Veenstra: “Maar bij het maken van afspraken kunnen gevoelige gegevens toegevoegd worden in bijlages en worden personeelsgegevens gedeeld die volgens de privacywetgeving niet kunnen. Als we de agenda’s niet afschermen zouden medewerkers afspraken kunnen delen en zouden personeelsgegevens buiten zicht van de organisatie komen.”
Volgens Veenstra is er wel een oplossing voor. “Andere agenda’s kunnen vaak wel toegevoegd worden aan de outlookagenda van de UU. Dan heb je de privé-agenda en de werkagenda samen. Alleen andersom kan dus niet.”
Nieuw beleid in de maak
Dat mensen hun UU-mail automatisch doorsturen naar een andere privémail om van daaruit te werken, is volgens haar illegaal. “Als je de data van de UU-omgeving gaat doorsturen, ontstaat er een risico. Stel dat dit leidt tot een datalek of het hacken van de UU-systemen, dan wordt de werknemer daarvoor verantwoordelijk gesteld. De kosten om dit te repareren kunnen flink oplopen.”
Adjunct directeur Carol van der Palen van de directie ITS geeft aan dat er een voorstel ligt om beleid te maken over het door de UU te verstrekken smartphones dat universiteitsbreed is. “Daarin moet je kijken wie binnen de UU in aanmerking komt voor een mobiele telefoon van het werk en wat voor telefoon je beschikbaar wilt stellen. Dat is complexer dan het misschien lijkt. Hoe ga je dit financieren en welke modellen stel je ter beschikking? Daarover wordt nu nog gesproken.”
Van wie is de mail?
Blijft de vraag in hoeverre deze maatregelen proportioneel zijn. Is de data op de mobiele telefoon zoveel kwetsbaarder dan op de laptop dat mail en agenda moet worden afgeschermd? De universiteit zegt dat de laptop beter is beveiligd dan de mobiel en dat dat meer strikte maatregelen rechtvaardigt. Universitair hoofddocent Daniël Janssen vindt van niet. Hij beschouwt de data meer privé dan van de UU, verwijzend naar een uitspraak van het Europese Hof voor de Rechten van de Mens uit 2017. Dat zegt dat een werkgever geen inzage mag hebben in de werkmail. Janssen ziet hier wel een parallel en vindt dat de UU met deze maatregelen teveel ingrijpt in de persoonlijke sfeer en grens tussen zakelijk en privé op scherp zet.