De Hogeschool Utrecht heeft te weinig beveiligingsmaatregelen getroffen om gegevens van studenten in het informatiesysteem Osiris adequaat te beschermen. Daarmee overtreedt de hogeschool op diverse fronten de Wet bescherming persoonsgegevens. Dat concludeert het College Bescherming Persoonsgegevens (CBP) na een uitgebreid onderzoek.
De kritiek van het CBP richt zich op een viertal issues. Het beveiligingsbeleid is gestoeld op een document uit 2001. Er is weliswaar een nieuw beleidsplan in de maak maar dat is nog een concept. ‘De HU beschikt derhalve niet over een geschikt, toereikend en doeltreffend informatiebeveiligingsbeleid’, stelt het CBP.
Ook is er is de afgelopen jaren geen controle uitgevoerd op de toegangsrechten van de gebruikers van het informatiesysteem. Verder is het toezicht op onbevoegde toegang tot de gegevens ontoereikend: dit functioneert niet voor de zogenaamde SQL-injectie en XSS aanvallen. Tevens is niet voldaan aan de verplichting om de activiteiten van gebruikers regelmatig te controleren.
Zeven andere aspecten van de beveiliging die zijn onderzocht vertonen geen tekortkomingen. Zo is de beschrijving van welke groepen medewerkers toegang hebben tot bepaalde informatie op Osiris en het systeem van blokkeren/aanpassen van de toegangsrechten op orde. Ook het gebruik van wachtwoorden en het beheer van incidenten op het gebied van informatiebeveiliging voldoet aan de normen, signaleert het College Bescherming Persoonsgegevens.
Het CBP benadrukt dat het beheer van informatie zoals studieresultaten, foto’s en notities van decanen zorgvuldig moet gebeuren en dat studenten erop moeten kunnen vertrouwen dat hun privacy gewaarborgd is. Het onderzoek is gestart na aanhoudende berichten in de media in de afgelopen jaren over het lekken van privégegevens van studenten. Behalve de HU is ook de Hogeschool van Arnhem en Nijmegen onder de loep genomen.
Het college van bestuur van de HU meldt in een reactie dat geen van de geconstateerde gebreken de veiligheid van de persoonsgegevens in gevaar hebben gebracht. De verbeterpunten waren al voor het onderzoek grotendeels bekend. Twee ervan zijn inmiddels aangepakt en de andere twee volgen. Zo heeft het college een securityscan laten uitvoeren waarbij op SQL-injecties en XSS-aanvallen zijn getest. ‘Uit deze scan is gebleken dat Osiris geen aantoonbare kwetsbaarheden op dit gebied heeft. Om aan de eisen van het CBP te blijven voldoen, zal een dergelijke scan regelmatig worden uitgevoerd.’