Column: Data-paranoia

Boeiend trouwens, de communicatie daarover. “Wij zijn het slachtoffer geweest van een cyberaanval”. Dat klinkt alsof er een maandenlang durende gerichte campagne van Russische hackers is geweest met virussen, ddos-aanvallen en zorgvuldige nabouwde websites. De realiteit is dat één van de klantenmedewerkers van Odido (die maar liefst 30 cent boven het wettelijk minimumloon verdienen) in een simpel phishing-mailtje is getrapt, wat kennelijk genoeg was om buitenstaanders toegang te geven tot het hele klantenbestand.

Ik vind sowieso dat we in dit land bedrijven in dit soort gevallen veel te gemakkelijk laten wegkomen. In de meeste buitenlanden worden in dit soort gevallen de topmanagers voor een parlementaire hoorzitting gesleurd waar ze sidderend moeten uitleggen hoe ze het publieke vertrouwen zo hebben beschaamd. In Japan zou de CEO in tranen op televisie zijn excuses aan zijn familie hebben aangeboden vanwege de schande die hij over hen had afgeroepen. In Nederland vinden we het zielig dat de beursgang van het bedrijf hierdoor misschien wordt uitgesteld.

Saxion was en is klant van Odido, wat de vraag opriep hoe het zat met de gegevens van ons personeel. En eerlijk is eerlijk, ik heb vaak genoeg kritiek op de communicatie van onze hogeschool, maar nu kwam de boodschap snel en begrijpelijk. En nog goed nieuws ook. Op een handvol armzaligen na zijn onze gegevens veilig.

Tel daarbij het feit op dat wij, in tegenstelling tot sommige andere hogescholen en universiteiten, tot op heden hack-vrij zijn gebleven en je zou zeggen dat Saxion zijn zaakjes goed voor elkaar heeft. En dat is misschien wel zo, waar het gaat om het afschermen van gegevens voor buitenstaanders. Maar waar we absoluut nog een slag kunnen maken is een kritische afweging welke gegevens we allemaal opslaan, en wie we daar toegang toe geven.

Natte droom

Ik denk dan natuurlijk in de eerste plaats aan Bison, de natte droom van elke potentiële stalker. Er is geen enkele werkgerelateerde reden waarom ik toegang zou moeten hebben tot de thuisadressen van mijn studenten bijvoorbeeld, of welke vooropleidingen ze hebben gedaan. Er zijn zelfs nog minder redenen te bedenken waarom ik die informatie zou moeten kunnen inzien van studenten die ik niet eens lesgeef, of oud-studenten.

Ik weet het, Bison zal ooit vervangen worden door het nieuwe Osiris, en misschien wordt het dan beter op dit gebied. Maar de vraag of en waarom we gegevens opslaan wordt denk ik niet vaak genoeg gesteld. Waarom nodigt MijnSaxion in de profielen van medewerkers uit om ook iets over je hobbies te vertellen? Is het verstandig dat er collega’s zijn die in hun teams-profiel de datum van hun verjaardag plaatsen? Wat onze instelling nodig heeft is wat meer gezonde data-paranoia.

Elk stukje informatie dat ergens opgeslagen staat, maakt ons in principe kwetsbaarder voor kwaadwilligen. En mocht de machtige digitale Saxion-verdedigingsmuur in de toekomst toch ooit vallen, dan is de schade in ieder geval beperkt als we zelf de te stelen informatie tot een noodzakelijk minimum hebben gebracht.

Ik heb helemaal geen behoefte om ons CvB hiervoor te zien sidderen in een parlementaire hoorzitting, laat staan huilen op de Japanse televisie. Dat soort dingen bewaren we wel voor de evaluatie van het prullenbakkenbeleid.