Saxion kan zien welke websites jij allemaal bezoekt (maar zegt dat niet zomaar te bekijken)
Het beveiligingsprogramma dat Saxion sinds deze zomer gebruikt op de aan Saxion-medewerkers geleverde laptops kan veel meer dan het vorige. Wel zo veilig, maar niet alleen maar prettig: het programma logt ook het surfgedrag van gebruikers, en registreert bijvoorbeeld welke programma’s een medewerker allemaal start. En dat zonder dat medewerkers daar goed over geïnformeerd waren. “Dit had eerder en helderder gecommuniceerd moeten worden.”
Het zit zo: sinds afgelopen zomer is virusscanner McAfee op Saxion-laptops vervangen door Microsoft Defender for Endpoint. Dat kan bijvoorbeeld ook geautomatiseerd zien of iemand inlogt vanuit een ‘risicoland’, of dat iemand in een keer grote hoeveelheden data verstuurt. Bij navraag bij Chief Information Security Officer (Ciso) Henry Meutstege blijkt dat het programma nogal wat gegevens vastlegt. “Alle handelingen die op de Saxion-devices worden gedaan worden geregistreerd. Denk hierbij inderdaad aan IP-adressen, maar ook welke programma’s een medewerker start.”
Volgens Saxion worden die gegevens na 180 dagen verwijderd. Ook bekijkt Saxion het surfgedrag en het programmagebruik niet actief, zeggen ze. Pas als er vanuit het programma een signaal komt van een mogelijke dreiging, dan is dat een aanleiding om eventueel deze gegevens te onderzoeken. Dat kan bijvoorbeeld zijn als iemand eerst inlogt vanuit Rusland, en dan vijf minuten later vanuit Deventer, of bij een ransom- of malware-melding.
Kritische vragen
Deze informatie kwam aan het licht toen de Centrale Medezeggenschapsraad (CMR) daarover kritische vragen stelde, en in navolging daarvan tot twee maal toe schriftelijke vragen stelde. De CMR vindt het heel belangrijk dat als Saxion deze gegevens bijhoudt, de school daar ook transparant over is, zegt Wytse Mensonides namens de CMR. “We zitten heel erg op transparantie, en in dit geval zeker. Het is heel belangrijk dat dit voor medewerkers duidelijk is, dan kunnen ze daar ook hun keuzes op bepalen.”
Volgens Saxion staat in de Gedragscode ICT-voorzieningen en de procedure misbruik ICT-voorzieningen onder meer vermeld dat Saxion geautomatiseerd gegevens verzamelt ‘ten behoeve van de goede orde op Saxion en de bewaking van de integriteit en de veiligheid van het netwerk en de computerfaciliteiten’. Net zo goed als wat medewerkers wel en niet allemaal mogen doen met hun Saxion-apparatuur. Ook staat daar in dat Saxion zich daarbij bijvoorbeeld aan de wet bescherming persoonsgegevens moet houden.
Eerder en helderder
Over de communicatie steekt Saxion de hand in eigen boezem. “Medewerkers zijn onvoldoende geïnformeerd over wat er wel en niet wordt vastgelegd en wie dat onder welke voorwaarden kunnen inzien. Dit had eerder en helderder gecommuniceerd moeten worden”, zegt Meutstege. Met name ook over hoe dit programma zich verhoudt tot enerzijds de privacy van medewerkers en studenten, en anderzijds het beschermen van de organisatie tegen online dreiging.
Maatregelen
Daar blijft het niet bij; het aantal ICT-beheerders met ‘hoge rechten’ dat toegang heeft tot dit soort informatie is teruggeschroefd. Ook zijn er aanvullende afspraken gemaakt over de controle door IB-specialisten, die verantwoordelijk zijn voor de digitale veiligheid van Saxion. Zo mag de info slechts worden ingezien bij specifiek omschreven signalen van dreiging, bijvoorbeeld inloggen van een land dat opvalt omdat het op een lijst met risicolanden stond, of bij het versturen van grote hoeveelheden spam vanuit een account.
Saxion begint bovendien een informatie-campagne. De hogeschool gaat vanaf nu actief communiceren bij het uitleveren van hardware over de gedragscode voor het gebruik daarvan, en medewerkers dienen een handtekening te zetten, ook als bevestiging dat ze die gedragscode kennen. Er komt een schematische weergave van hoe een medewerker dient om te gaan met de geleverde apparaten, en welke stappen een ICT-beheerder kan ondernemen bij een mogelijke online dreiging. Saxion is bezig met een project getiteld ‘Nieuwe Werkplek’: de bedoeling is dat daarbij de eis wordt meegegeven dat standaard bij het opstarten getoond wordt dat een apparaat eigendom is van Saxion en dat de activiteiten op het apparaat gelogd worden.
Arbeidsconflict?
Ook goed om te weten: de CMR vroeg zich af of de informatie die gelogd wordt, gebruikt kan worden bij een arbeidsconflict. Het antwoord daarop is klip en klaar. ‘Alleen als er sprake is van strafbare feiten kan een bewijslast worden opgevraagd. Bijvoorbeeld: er bestaat een vermoeden dat een medewerker een strafbaar feit heeft gepleegd. In dat geval zal de aanwezige logging onderzocht kunnen worden op aanwijzingen’, laat Saxion weten.
Gerelateerde artikelen
Asle Lubbers ontfermt zich over in auto opgesloten hond; maar een bedankje zit er niet in
Asle Lubbers heeft net haar eindgesprek gehad voor de deeltijdstudie Integrale Veiligheidskunde, als ze vanuit haar auto de kop van een hond omhoog ziet komen in de auto ernaast. Ze belt de politie, die de ruit intikt om de hond te bevrijden. De eigenaresse van de hond verschijnt ook, maar is lijkt zich van geen kwaad bewust. “Vindt u dit zelf niet erg dan?”
Hogeschool onderzoekt verkoop Epy Drost-gebouw
Saxion overweegt de verkoop van het Epy Drost-gebouw, in de volksmond ook wel bekend als ‘de glasbak’. In dat gebouw is nu nog de Academie Creatieve Technologie (ACT) gehuisvest. Voor de opleidingen van die academie zou dan een andere plek moeten worden gezocht.
Vijf voor twaalf voor moestuin; docent Vera Bextermoeller wil tuintje redden nu het nog kan
Als voor de zomer zich nog steeds niemand ontfermt over de moestuin bij Ko Wierenga in Enschede, dan gaat niet de schoffel, maar de streep erdoor. Dat is de onomwonden boodschap van Dennis Meijer (teamleider facilitair bedrijfsvoering). Dit geluid kwam ook bij SFIB-docent Vera Bextermoeller terecht. Zij wil de moestuin misschien wel onder haar hoede nemen. “Zó jammer als de tuin zou verdwijnen.”