Groot alarm op 7 november 2016. De complete website van de Erasmus Universiteit blijkt gehackt. 17.000 medewerkers en studenten zijn mogelijk slachtoffer. Al snel blijkt het te gaan om privacygevoelige informatie, zoals medische gegevens, bankrekeningnummers en paspoortnummers. Informatie die nooit op de server bewaard had mogen worden.
Roeland Reijers was toen net aan het werk als de allereerste Functionaris Gegevensbescherming van de Erasmus Universiteit. Zijn belangrijkste en extreem complexe taak: in kaart brengen hoe persoonsgegevens op de universiteit gebruikt en beschermd worden. Dat is onder meer nodig vanwege de strenge Europese wetgeving die in 2018 ingaat. “Toen ik hier in mei binnenkwam, was mijn eerste indruk dat er heel veel goede wil was. Maar ook dat veel mensen het besef niet hadden hoe erg het mis kan gaan met persoonsgegevens.” Het noodlot hielp een handje. “Na het datalek was dat besef er gelukkig wel”, lacht hij.
Rondslingerende persoonsgegevens
Op de universiteit bevinden de meeste persoonsgegevens van studenten zich in het centrale administratiesysteem OSIRIS: niet alleen je adres, je studie en je cijfers, maar ook aantekeningen van je studieadviseur en of je bijvoorbeeld dyslexie hebt of een handicap. “OSIRIS is het bronsysteem. Ik wil alle medewerkers zover krijgen dat ze persoonsgegevens niet meer bij studenten opvragen of verzamelen, als het ook uit OSIRIS te halen valt”, legt Reijers zijn missie uit. Daarmee voorkom je dat persoonsgegevens onbeheerd rondslingeren. “Heb je als docent toch een keer een lijstje met namen en nummers nodig, gooi het dan weg na gebruik.”
Dat weggooien geldt ook voor de universiteit zelf: als een student vertrekt, moeten de persoonsgegevens na een vastgestelde termijn gewist worden. Maar zo’n termijn is er nu niet. “Dat is lastig, want soms komt iemand ook weer terug. Dus hoe lang bewaar je ze? En we moeten in elk geval iemands naam en studie bewaren voor het examenregister. Maar het is in OSIRIS heel lastig om slechts een deel van de informatie over een student weg te gooien. Dus de praktijk is dat alles blijft staan, tenzij een student expliciet vraagt om persoonsgegevens te verwijderen. Dat gebeurt zelden.” En dat terwijl uit de enquête van EM blijkt dat 54 procent van de studenten graag zou zien dat alle data meteen verwijderd worden.
Ik internet veilig of ik internet niet; Geschrokken van alle doemverhalen? Of gewoon een verlaat goed voornemen? Volg dan deze tips van Roeland Reijers om met meer privacy te internetten:
Vluchtelingen tracken
Waar Reijers zich richt op het gebruik van persoonsgegevens in het algemeen, begeleidt Marlon Domingus (coördinator van de afdeling Research Data Management bij de Universiteitsbibliotheek) wetenschappers. Ook in onderzoek gelden namelijk strenge privacyeisen voor persoonsgegevens. “Houdt een onderzoeker zich niet aan de eisen, dan is de EUR verantwoordelijk. Hiermee zijn al snel hoge boetes gemoeid. Dus de EUR moet zorgen dat een onderzoeker nooit kan zeggen: ik wist helemaal niet dat dat moest.”
Bij sommige onderzoeksvoorstellen is de vraag of de privacy niet geschonden wordt heel lastig. “Ik ben nu in gesprek met een EUR-wetenschapper die onderzoek zal doen naar vluchtelingenstromen. Die bedacht: die vluchtelingen hebben allemaal een mobieltje. Als je die kunt tracken, levert dat heel interessante informatie.” Of dit mag, moet nog blijken. “Het interessante aan privacy is dat het altijd een afweging is van rechten. Is er bijvoorbeeld expliciete toestemming van betrokkenen? Zo nee, valt dit tracken dan binnen de ruimte die de wetgeving laat voor uitzonderingen voor wetenschappelijk onderzoek? En is het risico op het schenden van privacy proportioneel?”
Domingus maakt infographics met eenvoudige vuistregels waar een wetenschapper zich aan moet houden. “En we helpen bij het schrijven van de privacyparagraaf bij beursaanvragen.” De coördinator was bijvoorbeeld stevig in de weer met professor Xandra Kramer van de Erasmus School of Law, die in januari een grote Europese beurs binnensleepte.
Kramer moet reizen voor haar onderzoek, en dat brengt allerlei risico’s met zich mee. “De harde schijf van haar laptop moeten we daarom versleutelen. Want alleen een wachtwoord op je laptop is geen goede beveiliging. Iemand die kwaad wil, kan de harde schijf overzetten op een andere computer en dan is alle informatie vrij toegankelijk.” Er zijn ook ingewikkeldere vragen. Mag je bijvoorbeeld een Skype-gesprek opnemen? “Ja, maar niet met de standaard opnamefunctie, want Skype slaat de gegevens onvoldoende beveiligd op in de cloud”, legt Domingus uit. Een hoop gedoe, maar bij de onderzoekers ondervindt Domingus nauwelijks weerstand. “Professor Kramer was een en al meewerkendheid, maar dat is ook echt in haar belang.”
Veilig data verzamelen voor wetenschappers: Zes tips van Marlon Domingus waarmee ook jouw onderzoek privacytechnisch goed in elkaar steekt;
Duizenden slachtoffers
Dat het waarborgen van privégegevens niet overbodig is, bleek bij het eerder genoemde datalek in de EUR-website. “Een geautomatiseerde hack”, noemt Reijers het. “Of de privacygevoelige informatie achter de formulieren daadwerkelijk is ingezien, kunnen we niet meer achterhalen. Maar omdat het ook niet uit te sluiten is, moeten we daarvan uitgaan.” Volgens Reijers was het geen bijzondere inbraak: “Het was geen scriptkiddie (een beginner – red.), maar ook geen geavanceerde hacker. Hij maakte gebruik van een bekend veiligheidsprobleem in de verouderde software die we gebruikten.”
Het grootste probleem was volgens Reijers dan ook niet de hack zelf, maar wat er te hacken viel: door bezoekers ingevulde webformulieren. Daartussen zaten gemotiveerde aanvragen van gesprekken met studentpsychologen, visumaanvragen en nog veel meer. “Hierdoor was de impact gigantisch”, weet Reijers, want zelfs het hoogste crisisorgaan van de EUR kwam bijeen. “Volgens de wet mag je persoonsgevoelige informatie niet op zo’n openbare server bewaren, maar intern waren daar geen regels voor. Na de hack hebben we al die formulieren offline gehaald. De meest cruciale hebben we na een veiligheidscheck teruggeplaatst. De ingevulde formulieren bewaren we nu niet meer op de server. Die wordt meteen gemaild naar de verantwoordelijke medewerker.” In juni stapt de EUR over op een nieuw, veel beter beveiligd systeem dat formulierdata centraal opslaat en ontoegankelijk is vanaf het internet.
Daarmee is het grootste risico bij een eventuele nieuwe hack verdwenen. En dat is maar goed ook: bij nalatig handelen of het niet melden van een datalek kunnen de boetes oplopen tot 850.000 euro, en in de nieuwe Europese Verordening zelfs tot 20 miljoen euro. Maar het echte doemscenario is volgens Reijers dat ooit OSIRIS, het medewerkersadministratiesysteem SAP of het onderzoekssysteem Metis gehackt wordt. “Dan praat je over duizenden medewerkers en studenten die het slachtoffer kunnen worden van identiteitsfraude. Dat wil je echt niet meemaken.”
Waar is jullie stelling op gebaseerd dat “bij Signal […] slechts een deel van je communicatie [wordt] versleuteld”? Dit is onjuist. Zowel de berichten als het bellen en de sinds deze week toegevoegde videobellen vinden geheel versleuteld plaats. Zijn jullie soms in de war met Telegram waar inderdaad slecht de ‘secret chats’ worden versleuteld?
Signal is ‘open source’ waardoor de gehele programmacode door iedereen kan worden gecontroleerd op de werking ervan. Al het verkeer is versleuteld met behulp van het onderliggende Signal Protocol. Sterker nog, zelfs WhatsApp maakt voor zijn versleuteling gebruik van het Signal Protocol.
Reageren niet meer mogelijk.