Vergroot contrast

Hogescholen verbeteren beveiliging studentgegevens na onderzoek CBP

​Hogeschool Utrecht (HU) en Hogeschool van Arnhem en Nijmegen (HAN) hebben onvoldoende beveiligingsmaatregelen getroffen om de studentgegevens in interne informatiesystemen te beveiligen tegen verlies of onrechtmatige verwerking. Dat concludeert het College bescherming persoonsgegevens (CBP) na onderzoek. De hogescholen overtreden hiermee de Wet bescherming persoonsgegevens (Wbp).

De beveiliging van studentgegevens zoals studieresultaten, foto's, informatie over leningen of notities van decanen is juist van groot belang. Studenten moeten erop kunnen vertrouwen dat hun persoonsgegevens bij hun school in goede handen zijn en dat hun privacy is gewaarborgd. Scholen moeten voorkomen dat onbevoegden persoonsgegevens zoals cijfers kunnen wijzigen in het systeem.

Beide hogescholen hebben naar aanleiding van het CBP-onderzoek maatregelen genomen om de informatiesystemen beter te beveiligen. Bij de HU missen nog meerdere beveiligingsmaatregelen. De HAN heeft nog één overtreding openstaan.

​Beide scholen hebben inmiddels een onafhankelijke periodieke beveiligingsaudit ingesteld. Hiermee kan inzicht worden verkregen op zwakke plekken in informatiebeveiliging op basis waarvan de school maatregelen kan treffen. Openstaande overtredingen zijn:

  • De toegang tot persoonsgegevens worden bij beide scholen geregistreerd (gelogd). De logfiles worden zowel bij de HAN als de HU echter niet periodiek gecontroleerd, maar alleen in het geval van incidenten. Hierdoor bestaat de kans dat onbevoegde toegang niet wordt opgespoord.
  • De HU neemt onvoldoende maatregelen om onbevoegde toegang tot het systeem via zogeheten SQL-injecties of cross-site scripting (XSS) te voorkomen.
  • De HU controleert niet regelmatig de toegangsrechten van alle medewerkers en studenten. Gebruikers kunnen hierdoor meer rechten hebben dan nodig, bijvoorbeeld als de rechten niet of verkeerd worden aangepast bij wijziging van het dienstverband of studie. 

Het CBP heeft een breed scala aan informatiebeveiligingsaspecten onderzocht, toegespitst op twee specifieke informatiesystemen. In beide systemen worden gegevens verwerkt die betrekking hebben op studieresultaten, nationaliteit en geboortedatum. Ook staan er pasfoto's en mailadressen in de systemen. In het systeem van de HU staan bovendien gegevens die te maken hebben met studiefondsen en persoonlijke notities van decanen betreffende de student.