CBP: Hogescholen moeten persoonsgegevens beter beschermen
Het College Bescherming Persoonsgegevens waarschuwt de Hogeschool Utrecht (HU) en de Hogeschool van Arnhem en Nijmegen (HAN) persoonsgegevens van hun studenten beter te beveiligen. De HBO-scholen kunnen sancties opgelegd krijgen als zij niet aan deze eis voldoen.
Dit concludeert het CBP na onderzoek. De privacywaakhond stelt dat de hogescholen hiermee de Wet bescherming persoonsgegevens (Wbp) overtreden. “Studenten moeten erop kunnen vertrouwen dat hun persoonsgegevens bij hun school in goede handen zijn en dat hun privacy is gewaarborgd. Scholen moeten voorkomen dat onbevoegden persoonsgegevens zoals cijfers kunnen wijzigen in het systeem”, meldt het CBP.
Maatregelen genomen
Beide hogescholen zouden naar aanleiding van de CBP-onderzoeken (HU & HAN) inmiddels maatregelen hebben genomen om de informatiesystemen beter te beveiligen. Het CBP stelt dat bij de HU nog meerdere beveiligingsmaatregelen missen. De HAN zou één overtreding nog niet hebben verholpen.
Zo wordt de toegang tot persoonsgegevens bij beide scholen geregistreerd in logbestanden. Deze logbestanden worden bij zowel de HAN als de HU echter niet periodiek gecontroleerd. Alleen bij geval van incidenten worden de bestanden geraadpleegd. De HU neemt volgens het CBP daarnaast onvoldoende maatregelen om onbevoegde toegang tot het systeem via zogeheten SQL-injecties of cross-site scripting (XSS) te voorkomen.
Toegangsrechten controleren
De HU verzuimt tot slot met regelmaat de toegangsrechten van alle medewerkers en studenten te controleren. Het is hierdoor mogelijk dat gebruikers over meer rechten beschikken dan zij nodig hebben. Dit doet zich bijvoorbeeld voor als de rechten niet of verkeerd worden aangepast bij wijziging van het dienstverband of studie.