‘Zo’n zes keer per jaar melding van datalek’

We kunnen vannacht gerust gaan slapen: Fontys voldoet nagenoeg aan de Algemene verordening gegevensbescherming (AVG). Dat is de nieuwe Europese privacywet die deze vrijdag in werking treedt en het mogelijk maakt om overtreders (torenhoge) boetes op te leggen. Toch is er bij Fontys, door ‘klungeligheid’, nog wel wat werk aan de winkel.

_{door Tim Durlinger}
Dit bleek dondermiddag tijdens de Fontys AVG Conferentie in Eindhoven. Deze werd afgetrapt door Hans Nederlof van het College van Bestuur. Hij gaf aan dat Fontys al veel doet aan gegevensbescherming, maar nóg meer zal moeten doen: “Dat begint bij onszelf. Want nu moeten we ongeveer zes keer per jaar bij de Autoriteit Persoonsgegevens een datalek binnen Fontys melden. Het gaat daarbij vrijwel altijd om, ik zou haast zeggen klungeligheden. Zoals een tas met een laptop in de trein laten staan.”

De Autoriteit Persoonsgegevens (AP) is de overheidsinstantie die toezicht houdt op naleving van de privacywet en boetes kan opleggen. Minister Dekker van Rechtsbescherming zei donderdag echter dat de AP dat niet direct gaat doen, als organisaties kunnen aantonen werk te maken van de AVG. “Wij zijn hier als Fontys al een behoorlijke tijd mee bezig”, aldus Nederlof. “Met name vanuit de Dienst IT zijn er analyses gemaakt en er zijn workshops gehouden, om een beeld te krijgen hoe het bij Fontys is gesteld met informatieveiligheid. Conclusie is dat we het goed in beeld hebben, dat we het niet veel beter of slechter doen dan anderen en dat we voldoende handvatten hebben om te verbeteren.”

Verbeterslagen
Nederlofs verhaal werd ondersteund door de presentatie van Hub Gerats. Hij is bij Fontys Corporate Information Security Officer (CISO). “Hoewel we nog verbeterslagen kunnen maken, heeft Fontys gedaan wat nodig is. We voldoen daarmee aan de eisen die de AP als noodzakelijke voorbereiding op de invoering van de AVG heeft aangegeven. Er is nog een aantal aandachtspunten en daar blijven we de komende weken hard aan werken.”

Toen in oktober 2017 de stand van zaken werd opgenomen, liep de onderwijsinstelling volgens Gerats nog een hoog risico. Dat bleek onder meer uit een actie van hackers, die door Fontys waren gevraagd om de datasystemen aan te vallen. Informatieveiligheid en privacybescherming moesten daarom hoge prioriteit krijgen. Dat is de afgelopen maanden gebeurd, aldus de CISO.

Werkbaar
Fontys-lector Recht en Digitale Technologie Colette Cuijpers hield een pleidooi om de AVG toch vooral werkbaar te houden. Ze gaf aan moeite te hebben met de af en toe strikte manier waarop juristen die uitleggen: “Daardoor werd ik sceptisch over nut en noodzaak hiervan.”

Dat neemt volgens de lector niet weg dat zij er heilig van overtuigd is dat de AVG nodig is. “Want er gaat nog steeds veel mis omdat we eigenlijk nooit de noodzaak hebben gevoeld om er goed over na te denken. Het is goed om erbij stil te staan of we al deze data wel nodig hebben. En zo niet, dat we die ook daadwerkelijk gaan verwijderen. Waarom risico lopen met data die je eigenlijk toch al niet nodig hebt voor het doel waarvoor je ze hebt verzameld?”