De Hogeschool Utrecht en de Hogeschool van Arnhem en Nijmegen overtreden de Wet bescherming persoonsgegevens. De beveiliging van studentgegevens is onder de maat.
De twee hogescholen zijn door het College Bescherming Persoonsgegevens op de vingers getikt vanwege ernstige tekortkomingen in de beveiliging van studentgegevens als studieresultaten, foto’s, informatie over leningen en notities van decanen. De twee scholen laten inmiddels een ‘onafhankelijke periodieke beveiligingsaudit’ doen, om inzicht te krijgen in de zwakke plekken in de beveiliging.
De scholen hebben al maatregelen genomen, constateert het CBP, maar nog niet alles is geregeld. Zo worden bij beide scholen de logbestanden niet periodiek gecontroleerd, maar alleen in geval van incidenten. ‘Hierdoor bestaat de kans dat onbevoegde toegang tot persoonsgegevens niet wordt opgespoord’.
De Hogeschool Utrecht heeft verder nog twee andere overtredingen openstaan. De school neemt onvoldoende maatregelen om onbevoegde toegang tot het systeem via sql-injecties of cross-site-scripting te voorkomen. Daarnaast worden de toegangsrechten van de medewerkers en studenten niet periodiek gecontroleerd. Daardoor zouden mensen meer rechten kunnen hebben dan nodig is.
De reden voor het onderzoek ligt in een toenemend aantal meldingen over het lekken van studentgegevens door hoger onderwijsinstellingen, schrijft het CBP in de twee rapporten. Dat juist de Hogeschool Utrecht en de Hogeschool van Arnhem en Nijmegen zijn uitgekozen voor een onderzoek, ligt erin dat beide scholen een van de grootsten zijn in het hoger onderwijs, schrijft Punt, de studentenkrant van Hogeschool Avans.
Bij de Hogeschool Utrecht dateerde het informatiebeveiligingsbeleid nog uit juni 2001. Er wordt nu gewerkt aan een actuelere versie. De Hogeschool Arnhem en Nijmegen heeft wel een actueel beveiligingsbeleid.
Het CBP zegt naar aanleiding van het onderzoek geen beeld te kunnen schetsen van de beveiliging in het landelijke hogere onderwijs. ‘We hopen natuurlijk wel dat deze bevindingen een uitstralende werking hebben naar andere hogescholen’, zegt woordvoerster Lysette Rutgers. ‘Het zou mooi zijn als dit leidt tot een bredere naleving van de wet’.
Het CBP zal binnenkort kijken of alle problemen zijn opgelost. ‘Met name de HU heeft nog wel wat te doen hierin. We zitten nu in de handhavingsfase en zullen binnenkort nagaan of de overtredingen zijn beëindigd. In het uiterste geval volgt een last onder dwangsom’.