Saxion kan zien welke websites jij allemaal bezoekt (maar zegt dat niet zomaar te bekijken)
Het beveiligingsprogramma dat Saxion sinds deze zomer gebruikt op de aan Saxion-medewerkers geleverde laptops kan veel meer dan het vorige. Wel zo veilig, maar niet alleen maar prettig: het programma logt ook het surfgedrag van gebruikers, en registreert bijvoorbeeld welke programma’s een medewerker allemaal start. En dat zonder dat medewerkers daar goed over geïnformeerd waren. “Dit had eerder en helderder gecommuniceerd moeten worden.”
Het zit zo: sinds afgelopen zomer is virusscanner McAfee op Saxion-laptops vervangen door Microsoft Defender for Endpoint. Dat kan bijvoorbeeld ook geautomatiseerd zien of iemand inlogt vanuit een ‘risicoland’, of dat iemand in een keer grote hoeveelheden data verstuurt. Bij navraag bij Chief Information Security Officer (Ciso) Henry Meutstege blijkt dat het programma nogal wat gegevens vastlegt. “Alle handelingen die op de Saxion-devices worden gedaan worden geregistreerd. Denk hierbij inderdaad aan IP-adressen, maar ook welke programma’s een medewerker start.”
Volgens Saxion worden die gegevens na 180 dagen verwijderd. Ook bekijkt Saxion het surfgedrag en het programmagebruik niet actief, zeggen ze. Pas als er vanuit het programma een signaal komt van een mogelijke dreiging, dan is dat een aanleiding om eventueel deze gegevens te onderzoeken. Dat kan bijvoorbeeld zijn als iemand eerst inlogt vanuit Rusland, en dan vijf minuten later vanuit Deventer, of bij een ransom- of malware-melding.
Kritische vragen
Deze informatie kwam aan het licht toen de Centrale Medezeggenschapsraad (CMR) daarover kritische vragen stelde, en in navolging daarvan tot twee maal toe schriftelijke vragen stelde. De CMR vindt het heel belangrijk dat als Saxion deze gegevens bijhoudt, de school daar ook transparant over is, zegt Wytse Mensonides namens de CMR. “We zitten heel erg op transparantie, en in dit geval zeker. Het is heel belangrijk dat dit voor medewerkers duidelijk is, dan kunnen ze daar ook hun keuzes op bepalen.”
Volgens Saxion staat in de Gedragscode ICT-voorzieningen en de procedure misbruik ICT-voorzieningen onder meer vermeld dat Saxion geautomatiseerd gegevens verzamelt ‘ten behoeve van de goede orde op Saxion en de bewaking van de integriteit en de veiligheid van het netwerk en de computerfaciliteiten’. Net zo goed als wat medewerkers wel en niet allemaal mogen doen met hun Saxion-apparatuur. Ook staat daar in dat Saxion zich daarbij bijvoorbeeld aan de wet bescherming persoonsgegevens moet houden.
Eerder en helderder
Over de communicatie steekt Saxion de hand in eigen boezem. “Medewerkers zijn onvoldoende geïnformeerd over wat er wel en niet wordt vastgelegd en wie dat onder welke voorwaarden kunnen inzien. Dit had eerder en helderder gecommuniceerd moeten worden”, zegt Meutstege. Met name ook over hoe dit programma zich verhoudt tot enerzijds de privacy van medewerkers en studenten, en anderzijds het beschermen van de organisatie tegen online dreiging.
Maatregelen
Daar blijft het niet bij; het aantal ICT-beheerders met ‘hoge rechten’ dat toegang heeft tot dit soort informatie is teruggeschroefd. Ook zijn er aanvullende afspraken gemaakt over de controle door IB-specialisten, die verantwoordelijk zijn voor de digitale veiligheid van Saxion. Zo mag de info slechts worden ingezien bij specifiek omschreven signalen van dreiging, bijvoorbeeld inloggen van een land dat opvalt omdat het op een lijst met risicolanden stond, of bij het versturen van grote hoeveelheden spam vanuit een account.
Saxion begint bovendien een informatie-campagne. De hogeschool gaat vanaf nu actief communiceren bij het uitleveren van hardware over de gedragscode voor het gebruik daarvan, en medewerkers dienen een handtekening te zetten, ook als bevestiging dat ze die gedragscode kennen. Er komt een schematische weergave van hoe een medewerker dient om te gaan met de geleverde apparaten, en welke stappen een ICT-beheerder kan ondernemen bij een mogelijke online dreiging. Saxion is bezig met een project getiteld ‘Nieuwe Werkplek’: de bedoeling is dat daarbij de eis wordt meegegeven dat standaard bij het opstarten getoond wordt dat een apparaat eigendom is van Saxion en dat de activiteiten op het apparaat gelogd worden.
Arbeidsconflict?
Ook goed om te weten: de CMR vroeg zich af of de informatie die gelogd wordt, gebruikt kan worden bij een arbeidsconflict. Het antwoord daarop is klip en klaar. ‘Alleen als er sprake is van strafbare feiten kan een bewijslast worden opgevraagd. Bijvoorbeeld: er bestaat een vermoeden dat een medewerker een strafbaar feit heeft gepleegd. In dat geval zal de aanwezige logging onderzocht kunnen worden op aanwijzingen’, laat Saxion weten.
Gerelateerde artikelen
Student werktuigbouwkunde verliest zaak rond onvoldoende voor afstuderen: ‘geen twijfels over onafhankelijkheid of deskundigheid’
Al langer dan een jaar is er gedoe rond het afstuderen van een hoogbegaafde student werktuigbouwkunde. Nu oordeelt het College van Beroep voor de Examens (Cobex) dat de examencommissie van LED zorgvuldig handelde bij zijn beoordeling. De onvoldoende die de student kreeg blijft daarom staan. Volgens het Cobex is er bovendien geen enkele aanleiding om te twijfelen aan de deskundigheid of onafhankelijkheid van zijn begeleider.
Bekentenis en Turnitin-rapport funest voor studente in fraudezaak, examencommissie handelde niet onredelijk
Volgens het College van Beroep voor de Examens (Cobex) is bewezen dat een studente fraudeerde bij haar verslag van de minor Prestatiepsychologie. De sanctie die ze daarvoor kreeg van de examencommissie van de AMA blijft daarom staan. Een bekentenis van de studente speelt een belangrijke rol bij dat oordeel.
Iraanse studenten in de knel door oorlog: “Hoogte collegegeld wisten we van tevoren, maar uitbreken oorlog niet"
Een deel van de Iraanse studenten zit in de knel door de oorlog in hun thuisland. Die levert niet alleen heel veel stress en zorgen over hun thuissituatie op, maar ook financiële kopzorgen. Saxion neemt maatregelen de studenten te steunen en die worden volgens de hogeschool door de meeste Iraanse studenten ‘positief ontvangen’. Toch is er ook kritiek. “Ik voelde me een beetje in de steek gelaten.”