Zorgen over privacy studentgegevens in Bison: “Dit kan nooit de bedoeling zijn”

In de vergadering brachten docentleden van de CMR verschillende voorbeelden naar voren van informatie die in Bison niet in te zien zou moeten zijn, maar dat wel is. Zo nam CMR-lid Ruben Sinkeldam de proef op de som door gegevens van zijn eigen zoon op te zoeken, die al anderhalf jaar niet meer op Saxion studeert.

CMR-lid (en docent) Wytse Mensonides liet tijdens de vergadering een geanonimiseerde lijst zien met studentgegevens van studenten van een andere academie dan zijn eigen. “Dit soort informatie kan ik er zo als rapportage uithalen, hele cohorten in een excel. Dit kan nooit de bedoeling zijn.”

Schriftelijke vragen

De CMR stelde eerder al schriftelijke vragen over de vermeende privacy-problemen binnen Bison. In de antwoorden geeft het CvB aan dat het de kwestie liet onderzoeken door de Chief Information Security (CISO). Die constateerde dat het probleem vooral te maken heeft met de geautomatiseerde toekenning tot toegang tot persoonsgegevens.

Docenten hebben volgens hem automatisch toegang tot de gegevens van eigen studenten, en als ze ook studieloopbaanbegeleider zijn, dan tot meer dan alleen de eigen studenten. Als hun rol verandert, dan veranderen die autorisatierechten niet automatisch mee. Dat proces gaat nu handmatig, daarbij kunnen onzorgvuldigheden optreden en is controle complex, zo schrijft hij.

Het CvB gaf aan op korte termijn de genoemde risico’s aan te pakken, én dat Bison in de zomer naar de cloud gaat. Dan wordt de privacy in zijn geheel opnieuw onder de loep genomen, en is het de bedoeling dat autorisaties geautomatiseerd worden toegekend.

Groter

De CMR nam met dat antwoord geen genoegen. Volgens hen zijn de problemen groter dan het CvB in het schriftelijke antwoord onderkent. CMR-lid Niek Wetering: “We hebben het gevoel dat de situatie onderschat wordt. Als deze gegevens in verkeerde handen vallen heeft dat grote gevolgen.” Ook vroeg de CMR zich af waarom er niet eerder actie is ondernomen, terwijl de problemen al eerder werden aangekaart.

Het CvB gaf aan de problemen zeker niet te onderschatten en te gaan uitzoeken waarom het langer geduurd heeft om actie te ondernemen, als de CMR deze signalen eerder heeft afgegeven. De voorbeelden waren nieuw voor hen.

Timo Kos zei direct met de kwestie aan de slag te gaan: “Als dit zo is, dan moet het direct worden dichtgezet. Dit zou zeker niet moeten kunnen. Dit heeft voor ons zeer hoge prioriteit.” Collegevoorzitter Anka Mulder: “We onderschatten het niet, we delen de zorgen.”