Saxion kan zien welke websites jij allemaal bezoekt (maar zegt dat niet zomaar te bekijken)
Het beveiligingsprogramma dat Saxion sinds deze zomer gebruikt op de aan Saxion-medewerkers geleverde laptops kan veel meer dan het vorige. Wel zo veilig, maar niet alleen maar prettig: het programma logt ook het surfgedrag van gebruikers, en registreert bijvoorbeeld welke programma’s een medewerker allemaal start. En dat zonder dat medewerkers daar goed over geïnformeerd waren. “Dit had eerder en helderder gecommuniceerd moeten worden.”
Het zit zo: sinds afgelopen zomer is virusscanner McAfee op Saxion-laptops vervangen door Microsoft Defender for Endpoint. Dat kan bijvoorbeeld ook geautomatiseerd zien of iemand inlogt vanuit een ‘risicoland’, of dat iemand in een keer grote hoeveelheden data verstuurt. Bij navraag bij Chief Information Security Officer (Ciso) Henry Meutstege blijkt dat het programma nogal wat gegevens vastlegt. “Alle handelingen die op de Saxion-devices worden gedaan worden geregistreerd. Denk hierbij inderdaad aan IP-adressen, maar ook welke programma’s een medewerker start.”
Volgens Saxion worden die gegevens na 180 dagen verwijderd. Ook bekijkt Saxion het surfgedrag en het programmagebruik niet actief, zeggen ze. Pas als er vanuit het programma een signaal komt van een mogelijke dreiging, dan is dat een aanleiding om eventueel deze gegevens te onderzoeken. Dat kan bijvoorbeeld zijn als iemand eerst inlogt vanuit Rusland, en dan vijf minuten later vanuit Deventer, of bij een ransom- of malware-melding.
Kritische vragen
Deze informatie kwam aan het licht toen de Centrale Medezeggenschapsraad (CMR) daarover kritische vragen stelde, en in navolging daarvan tot twee maal toe schriftelijke vragen stelde. De CMR vindt het heel belangrijk dat als Saxion deze gegevens bijhoudt, de school daar ook transparant over is, zegt Wytse Mensonides namens de CMR. “We zitten heel erg op transparantie, en in dit geval zeker. Het is heel belangrijk dat dit voor medewerkers duidelijk is, dan kunnen ze daar ook hun keuzes op bepalen.”
Volgens Saxion staat in de Gedragscode ICT-voorzieningen en de procedure misbruik ICT-voorzieningen onder meer vermeld dat Saxion geautomatiseerd gegevens verzamelt ‘ten behoeve van de goede orde op Saxion en de bewaking van de integriteit en de veiligheid van het netwerk en de computerfaciliteiten’. Net zo goed als wat medewerkers wel en niet allemaal mogen doen met hun Saxion-apparatuur. Ook staat daar in dat Saxion zich daarbij bijvoorbeeld aan de wet bescherming persoonsgegevens moet houden.
Eerder en helderder
Over de communicatie steekt Saxion de hand in eigen boezem. “Medewerkers zijn onvoldoende geïnformeerd over wat er wel en niet wordt vastgelegd en wie dat onder welke voorwaarden kunnen inzien. Dit had eerder en helderder gecommuniceerd moeten worden”, zegt Meutstege. Met name ook over hoe dit programma zich verhoudt tot enerzijds de privacy van medewerkers en studenten, en anderzijds het beschermen van de organisatie tegen online dreiging.
Maatregelen
Daar blijft het niet bij; het aantal ICT-beheerders met ‘hoge rechten’ dat toegang heeft tot dit soort informatie is teruggeschroefd. Ook zijn er aanvullende afspraken gemaakt over de controle door IB-specialisten, die verantwoordelijk zijn voor de digitale veiligheid van Saxion. Zo mag de info slechts worden ingezien bij specifiek omschreven signalen van dreiging, bijvoorbeeld inloggen van een land dat opvalt omdat het op een lijst met risicolanden stond, of bij het versturen van grote hoeveelheden spam vanuit een account.
Saxion begint bovendien een informatie-campagne. De hogeschool gaat vanaf nu actief communiceren bij het uitleveren van hardware over de gedragscode voor het gebruik daarvan, en medewerkers dienen een handtekening te zetten, ook als bevestiging dat ze die gedragscode kennen. Er komt een schematische weergave van hoe een medewerker dient om te gaan met de geleverde apparaten, en welke stappen een ICT-beheerder kan ondernemen bij een mogelijke online dreiging. Saxion is bezig met een project getiteld ‘Nieuwe Werkplek’: de bedoeling is dat daarbij de eis wordt meegegeven dat standaard bij het opstarten getoond wordt dat een apparaat eigendom is van Saxion en dat de activiteiten op het apparaat gelogd worden.
Arbeidsconflict?
Ook goed om te weten: de CMR vroeg zich af of de informatie die gelogd wordt, gebruikt kan worden bij een arbeidsconflict. Het antwoord daarop is klip en klaar. ‘Alleen als er sprake is van strafbare feiten kan een bewijslast worden opgevraagd. Bijvoorbeeld: er bestaat een vermoeden dat een medewerker een strafbaar feit heeft gepleegd. In dat geval zal de aanwezige logging onderzocht kunnen worden op aanwijzingen’, laat Saxion weten.
Gerelateerde artikelen
Studente Ellis exposeert over toegankelijke, uniseks fashion: “Streetwear is overal”
Creative Business-studente Ellis van Halteren laat met haar expositie op de zesde verdieping van het Epy Drost-gebouw zien dat streetwear tegenwoordig niet duur hoeft te zijn en dat kleding veel meer uniseks is geworden dan het vroeger was. Van kleins af aan droeg Ellis al streetwear, maar toen werd daar nog heel anders naar gekeken. “Kinderen zeiden: iew… jij draagt jongenskleren.”
‘Niet zwijgen als de wereld schreeuwt’: manifest voor dialoog in Saxion-onderwijs
Een groep medewerkers wil dat alle Saxion-opleidingen aandacht hebben voor verschillende meningen en polariserende vraagstukken en dat dit ook in het lesprogramma wordt opgenomen. Die oproep doen ze aan het bestuur met een manifest.
Dolores genomineerd voor Ad Talent Award; “Nooit verwacht”
“Dit moet het worden en anders weet ik het ook niet meer”, dacht Dolores van den Berg (24) toen ze aan de associate degree (Ad) Ondernemerschap & Retail begon. En met klinkend succes: ze is vanwege haar nieuwsgierigheid en ondernemende houding genomineerd voor de Ad Talent Awards.