Voor een grote organisatie als de Rijkuniversiteit Groningen is het heel belangrijk dat de informatiebeveiliging goed op orde is en dat de AVG-wetgeving wordt nageleefd. Harold Groenewold is sinds juni 2020 bij de Rijksuniversiteit Groningen werkzaam als Projectmanager Privacy. Hij combineert deze functie sinds februari 2021 met een functie als Manager Privacy & Security University Services bij dezelfde instelling. In dit interview vertelt Harold over het ‘Volwassenheidsprogramma voor Privacy & Security’ van de universiteit, zijn rol daarin en over de samenwerking met IT-auditors Sanne Eppinga en Pim Verboeket van Afier.

“De nulmeting die Afier voor ons heeft gedaan, geeft inzicht in de stand van zaken Privacy & Security bij de Rijksuniversiteit Groningen”

Over de Rijksuniversiteit Groningen

De Rijkuniversiteit Groningen (RuG) is een grote en complexe organisatie met 11 faculteiten, meer dan 7.000 medewerkers en ruim 36.000 studenten (waarvan 10.000 internationaal). Naast de faculteiten kent de RuG ook een aantal diensten zoals de UB (Universiteitsbibliotheek), CIT (het Centrum voor Informatie Technologie) en US (University Services).

US bestaat uit vijf clusters en twee stafafdelingen met elk hun eigen taken en subafdelingen. De clusters zijn: Onderwijs & Studenten, Onderzoek & Impact, Financiën & Inkoop, HR & Health en Campus & Community. De stafafdelingen zijn: Bestuurlijke & Juridische Zaken en Corporate & Internationale Zaken. De clusters worden geleid door clusterdirecteuren, de stafafdelingen vallen onder de directie van University Services. Samen ondersteunen zij onderwijs, onderzoek en bedrijfsvoering op een professionele, proactieve en samenhangende manier.

Persoonsgegevens en informatiebeveiliging

Binnen de RuG worden veel persoonsgegevens verwerkt, bijvoorbeeld van studenten, medewerkers, alumni en externen. Zonder verwerking van persoonsgegevens kan de RUG geen onderwijs en onderzoek verzorgen. Op grond van de Algemene Verordening Gegevensbescherming (AVG) moet de RuG zorgvuldig omgaan met deze verwerkte persoonsgegevens. Dit wordt ook wel de bescherming van persoonsgegevens genoemd.

Op het gehele RuG-netwerk treft de universiteit maatregelen om de systemen en gegevens te beschermen tegen bedreigingen van buitenaf. Het netwerk van de RuG heeft vanwege onderzoek en onderwijs een open karakter. Toch moeten data, persoonsgegevens en systemen goed worden beschermd. Daarvoor wordt veel gedaan op het gebied van security (van virusscanners tot 24/7 monitoring) en privacy (van autorisatiebeheer en dataminimalisatie tot awareness omgang met persoonsgegevens).

Volwassenheidsprogramma voor Privacy & Security

In de huidige digitale samenleving waarin het delen van informatie centraal staat speelt digitale veiligheid en het beschermen van persoonsgegevens een steeds grotere rol. Er zijn tal van voorbeelden waarin organisaties het slachtoffer zijn van datalekken, gijzeling van privacygevoelige gegevens en spionage. Het aantal incidenten stijgt en is lucratief voor kwaadwillenden.

Een weerbaarheidsprogramma van de techniek is niet voldoende om veilig en vertrouwd samen te werken en om lekken van data en privacygevoelige gegevens te voorkomen. De menselijke factor speelt hierbij een grote rol. Het gaat niet alleen om een technisch veilig systeem maar ook hoe medewerkers en studenten ermee omgaan. Het is van belang dat we daar afspraken over maken, hier een goede PDCA-cyclus voor inrichten, en dat iedere medewerker en student zich continu bewust is van mogelijke risico’s.

Om dit concreet te maken zijn er normenkaders opgesteld door (en in opdracht van) de overheid waarin zogenaamde volwassenheidsniveaus zijn vastgelegd. De RuG heeft een tweejarig Volwassenheidsprogramma Privacy & Security opgezet dat de RuG helpt om op basis van die normen de privacy- en security-organisatie naar een hoger volwassenheidsniveau te brengen. Volwassenheid en weerbaarheid zijn twee aparte programma’s maar zijn onderling wel nauw met elkaar verbonden. Een veilig systeem valt of staat tenslotte met het gebruik ervan door studenten en medewerkers.

Elke faculteit en dienst heeft inmiddels een eigen Privacy & Security coördinator. Harold is manager van de P&S-coördinatoren bij de dienst US en is daarnaast Projectmanager Privacy voor de gehele universiteit. Harold speelt ook een rol in het P&S-Gilde van de RuG, waar de P&S-coördinatoren hun kennis en ervaringen delen en samen werken aan de doorontwikkeling van RuG-brede onderwerpen die nog niet zijn afgerond.

Inzicht in de stand van zaken

Sanne Eppinga en Pim Verboeket van Afier IT-auditors hebben voor een aantal clusters van de universiteit onderzocht wat het volwassenheidsniveau is. Om het volwassenheidsniveau vast te kunnen stellen, wordt gebruik gemaakt van normenkaders. Voor de privacyaspecten is dit het CIP-normenkader, dat ook wel de Privacy Baseline wordt genoemd. De eisen van de AVG zijn hierin vertaald naar concrete, hanteerbare normen waarmee gecontroleerd kan worden in hoeverre de organisatie aan privacy wet- en regelgeving voldoet. Voor de toetsing van de securityaspecten wordt het SURF normen- en toetsingskader IBHO gebruikt, dat is gebaseerd op ISO 27001/27002 en het NBA/NOREA Volwassenheidsmodel. Er kunnen scores worden behaald op een schaal van 1 tot 5, waarbij 5 het hoogst haalbare niveau is. Het Ministerie van OCW heeft met de hoger onderwijsinstellingen afgesproken dat wordt gestreefd naar een volwassenheidsniveau 3, wat als voldoende veilig mag worden beschouwd.

Harold: “Volwassenheidsniveau 3 halen is één ding, om op dat niveau te blijven heeft het werk aan Privacy & Security doorlopend en blijvend aandacht nodig. Het begint echter met het bepalen waar je staat, wat er nog moet gebeuren, en wie waarvoor verantwoordelijk is. Het onderzoek dat Sanne en Pim voor ons hebben gedaan geeft inzicht in de huidige stand van zaken en is voor de universiteit een nulmeting. ”

“Het onderzoek dat Sanne en Pim hebben gedaan, heb ik als erg prettig ervaren. Ze hebben veel geduld getoond en zijn flexibel. Het zijn nuchtere mensen die zich goed kunnen verplaatsen in een ander, dat is een groot voordeel gebleken bij het voeren van de vele interviewgesprekken op verschillende niveaus in de organisatie. Dat hebben ze professioneel gedaan.”

BI dashboard Privacy & Security

“De uitkomsten van de nulmetingen zijn verwerkt in een BI dashboard waarin per faculteit en dienst op hoofdlijnen en op detailniveau zichtbaar is wat de stand van zaken is, welke aandachtspunten er zijn en welke acties nog moeten worden opgepakt. Dat is niet alleen nuttig voor de P&S-coördinatoren maar is tevens een goede basis voor gesprekken met de bestuurders”, vertelt Harold. “Het dashboard gaan we ook gebruiken om voorspellingen te doen, bijvoorbeeld vooraf bepalen waar mogelijke risico’s kunnen ontstaan zodat we daarop kunnen anticiperen.”

“Je kunt alles mooi vastleggen in processen en procedures maar Privacy & Security draait uiteindelijk om mensen. Mensen werken in de processen en het is soms best lastig om processen te veranderen en te managen. Dat is eigenlijk in algemene zin mijn rol in dit geheel. Het dashboard kan daar bij helpen. We bespreken waarom een bepaalde score er is, en hoe het anders en beter zou kunnen om risico’s te mitigeren of te minimaliseren” licht Harold toe. “Ik vind het mooi om op verschillende niveaus met verschillende mensen hierover te praten en ze enthousiast te maken voor privacy en security. Als liefhebber van ingewikkelde puzzels is deze (pioniers)rol mij op het lijf is geschreven. Wellicht komt Afier over een aantal jaren weer langs om het volwassenheidsniveau Privacy & Security bij de RuG op te nemen, waarna we kunnen zien welke vorderingen zijn gemaakt ten opzichte van de nulmeting die nu door Sanne en Pim is uitgevoerd”.