TU Eindhoven scoort onvoldoende voor data- en privacybescherming
De Technische Universiteit Eindhoven (TU/e) scoort onvoldoende voor data- en privacybescherming, zo blijkt uit onderzoek van de Functionaris Gegevensbescherming (FG). De 'privacy-volwassenheid ' van de TU/e krijgt op een schaal van vijf punten een 1,3. Ondanks verschillende stappen is de TU/e nog altijd niet in controle wat betreft data- en privacybescherming om te voldoen aan de AVG, aldus het onderzoeksrapport waar Cursor over bericht, het nieuwsplatform van de universiteit.
De lage score is volgens de FG te verklaren door de wetenschappers van de TU/e. "Ondanks de grote hoeveelheid ervaring met risicovolle dataverwerkingsactiviteiten in het onderzoeksdomein, zijn het de wetenschappelijke afdelingen die het algehele volwassenheidsniveau van de organisatie laag houden. De grootste tekortkomen is het gebrek aan overzicht van de gegevens die worden verwerkt, het lage privacybewustzijn en de afwezigheid van onderzoekspecifiek privacybeleid."
Verder wijst de FG ook naar het datalek bij ID-Ware, waar gegevens van duizenden universiteitsmedewerkers werden gestolen. “Hoewel de universiteit dit datalek correct heeft afgehandeld, bleek de verwerking tussen de TU/e en ID-Ware zelf niet in overeenstemming met de AVG", aldus de FG. "Door het lage volwassenheidsniveau van de TU/e was de omvang van het incident zo excessief. Een groot deel van de data die bij de leverancier stond, had er niet (meer) moeten zijn. Het datalek toonde dus precies aan hoe belangrijk het is om naar een hoger volwassenheidsniveau te gaan."
Reacties (13)
Het was daar vroeger al een drama qua verwerking en staf... toen ik nog studeerde. Gelukkig hadden ze toen de WBP. Konden ze doen en laten wat ze wilden....
Geweldig woord. "Privacy-volwassenheid"!
Want je kunt natuurlijk allemaal wetten en regels maken. En hele AVG's. Maar je hebt ook nog dat onderbuikgevoel over wat je wel en niet kan maken op privacygebied. Over waar je wellicht nieuwsgierig naar zou zijn maar gewoon niet hoort te weten. Elk huisje heeft zijn kruisje.
Wel stuitend dat met name een technische universiteit zo laag scoort op privacy-volwassenheid. Het blijven natuurlijk allemaal spelende kinderen, dat was mijn ervaring ook vroeger op de TU Delft. Evenwel een mooie aanleiding om een faculteit privacy-volwassenheid in te richten. Die zich niet enkel richt op wat er technisch kan. Maar ook wat je gewoon niet kunt maken en hoort te beschermen naar beste kunnen. Zo hebben we wel notarissen voor eigendommen en erfenissen. Maar op het gebied van privacy-volwassenheid bestaan dergelijke onafhankelijke deskundigen eigenlijk niet. Er zijn natuurlijk wel mensen die er veel van weten. Nog veel meer die maar wat ouwehoeren en gewoon een mening hebben (net als ik). Maar geen professors die gelijk zien dat je iets technisch wel kunt maken maar dat je het niet kunt maken om het te maken.
Want je kunt natuurlijk allemaal wetten en regels maken. En hele AVG's. Maar je hebt ook nog dat onderbuikgevoel over wat je wel en niet kan maken op privacygebied. Over waar je wellicht nieuwsgierig naar zou zijn maar gewoon niet hoort te weten. Elk huisje heeft zijn kruisje.
Wel stuitend dat met name een technische universiteit zo laag scoort op privacy-volwassenheid. Het blijven natuurlijk allemaal spelende kinderen, dat was mijn ervaring ook vroeger op de TU Delft. Evenwel een mooie aanleiding om een faculteit privacy-volwassenheid in te richten. Die zich niet enkel richt op wat er technisch kan. Maar ook wat je gewoon niet kunt maken en hoort te beschermen naar beste kunnen. Zo hebben we wel notarissen voor eigendommen en erfenissen. Maar op het gebied van privacy-volwassenheid bestaan dergelijke onafhankelijke deskundigen eigenlijk niet. Er zijn natuurlijk wel mensen die er veel van weten. Nog veel meer die maar wat ouwehoeren en gewoon een mening hebben (net als ik). Maar geen professors die gelijk zien dat je iets technisch wel kunt maken maar dat je het niet kunt maken om het te maken.
De TU Delft is/was een conglomeraat van allemaal kleine interne bedrijfjes die het allemaal beter weten. Volgens mij zijn ze al jaren bezig om deze te integreren. Alleen de TU wordt door Microsoft gesponsord https://www.tudelft.nl/ict-handleidingen/applicaties Veel van die onderzoekers gebruiken Linux en zitten niet te wachten op sharepoint etc dan weet je zeker dat je data zoek raakt (is mij echt verteld). Die bewustwoording is er best maar dan moeten de systemen wel meewerken.
Men verkiest een gitlab wiki boven de jaren 90 bak met folders. Daarnaast met je data sets wel makkelijk kunnen backuppen (met rsync naar mattermost bv). Dus waar zit het privacy probleem sharepoint, 365 of mattermost of ? en niet alleen roepen dat de wetenschappelijke afdelingen het algehele volwassenheidsniveau van de organisatie laag houden, want daar geloof ik niks van.
Offtopic: de TU gebruikt ook een supercomputer (delftblue) een RH Linux cluster. Je leest hier niets over in de media omdat het management dit niet verteld. Ik weet zeker dat, als het windows gebaseerd zou zijn, het breed uitgemeten zou worden. Het management is trots op DelftBlue (geleverd door Fujitsu) maar niet op Linux want ?? maar de gebruikers wel: [url https://doc.dhpc.tudelft.nl/delftblue/ [/url]
Men verkiest een gitlab wiki boven de jaren 90 bak met folders. Daarnaast met je data sets wel makkelijk kunnen backuppen (met rsync naar mattermost bv). Dus waar zit het privacy probleem sharepoint, 365 of mattermost of ? en niet alleen roepen dat de wetenschappelijke afdelingen het algehele volwassenheidsniveau van de organisatie laag houden, want daar geloof ik niks van.
Offtopic: de TU gebruikt ook een supercomputer (delftblue) een RH Linux cluster. Je leest hier niets over in de media omdat het management dit niet verteld. Ik weet zeker dat, als het windows gebaseerd zou zijn, het breed uitgemeten zou worden. Het management is trots op DelftBlue (geleverd door Fujitsu) maar niet op Linux want ?? maar de gebruikers wel: [url https://doc.dhpc.tudelft.nl/delftblue/ [/url]
Zo tre cpy-pasten door de FG's van bijna alle andere Nederlandse universiteiten. In Eindhoven hebben ze - anders dan elders - tenminste een een bestuur dat de kritiek accepteert en de aanbevelingen omarmt.
Door Anoniem: De TU Delft is/was een conglomeraat van allemaal kleine interne bedrijfjes die het allemaal beter weten. Volgens mij zijn ze al jaren bezig om deze te integreren. Alleen de TU wordt door Microsoft gesponsord https://www.tudelft.nl/ict-handleidingen/applicaties Veel van die onderzoekers gebruiken Linux en zitten niet te wachten op sharepoint etc dan weet je zeker dat je data zoek raakt (is mij echt verteld). Die bewustwoording is er best maar dan moeten de systemen wel meewerken.
Men verkiest een gitlab wiki boven de jaren 90 bak met folders. Daarnaast met je data sets wel makkelijk kunnen backuppen (met rsync naar mattermost bv). Dus waar zit het privacy probleem sharepoint, 365 of mattermost of ? en niet alleen roepen dat de wetenschappelijke afdelingen het algehele volwassenheidsniveau van de organisatie laag houden, want daar geloof ik niks van.
Offtopic: de TU gebruikt ook een supercomputer (delftblue) een RH Linux cluster. Je leest hier niets over in de media omdat het management dit niet verteld. Ik weet zeker dat, als het windows gebaseerd zou zijn, het breed uitgemeten zou worden. Het management is trots op DelftBlue (geleverd door Fujitsu) maar niet op Linux want ?? maar de gebruikers wel: [url https://doc.dhpc.tudelft.nl/delftblue/ [/url]
Men verkiest een gitlab wiki boven de jaren 90 bak met folders. Daarnaast met je data sets wel makkelijk kunnen backuppen (met rsync naar mattermost bv). Dus waar zit het privacy probleem sharepoint, 365 of mattermost of ? en niet alleen roepen dat de wetenschappelijke afdelingen het algehele volwassenheidsniveau van de organisatie laag houden, want daar geloof ik niks van.
Offtopic: de TU gebruikt ook een supercomputer (delftblue) een RH Linux cluster. Je leest hier niets over in de media omdat het management dit niet verteld. Ik weet zeker dat, als het windows gebaseerd zou zijn, het breed uitgemeten zou worden. Het management is trots op DelftBlue (geleverd door Fujitsu) maar niet op Linux want ?? maar de gebruikers wel: [url https://doc.dhpc.tudelft.nl/delftblue/ [/url]
vaak is centrale IT MS only en computationeel zware en top wetenschap gebeurt nu eenmaal NIET op windows. de mensen die de HPC beheren worden vaak geïsoleerd en negeert door centrale IT dienst. een ander groot verschil is quality en level van kennis en tempo. centrale IT is gefocust op procedures maar HPC en wetenschap is gefocust op resultaat. dat is hier op onze uni ook zo. kun je het voorstellen een tenure track positie van 4j om te laten zien wat je wetenschappelijk waard bent en dan rustig een jaar of meer moeten wachten voordat centrale IT iets met externe consultants op gaat pakken? en wat er zoal niet onder het mom van 'security' de strot geduwd wordt. je mag nog niet eens meer je mail laten forwarden als je de uni verlaat en als post doc of wetenschapper elders gaat werken. staat je naam met oude mail adressen op al die paper maar je bent wel onbereikbaar. centrale IT bij universiteiten zijn vaak erg bedroevend in de praktijk en MS only.
Door Anoniem: De TU Delft is/was een conglomeraat van allemaal kleine interne bedrijfjes die het allemaal beter weten. Volgens mij zijn ze al jaren bezig om deze te integreren. Alleen de TU wordt door Microsoft gesponsord https://www.tudelft.nl/ict-handleidingen/applicaties Veel van die onderzoekers gebruiken Linux en zitten niet te wachten op sharepoint etc dan weet je zeker dat je data zoek raakt (is mij echt verteld). Die bewustwoording is er best maar dan moeten de systemen wel meewerken.
Men verkiest een gitlab wiki boven de jaren 90 bak met folders. Daarnaast met je data sets wel makkelijk kunnen backuppen (met rsync naar mattermost bv). Dus waar zit het privacy probleem sharepoint, 365 of mattermost of ? en niet alleen roepen dat de wetenschappelijke afdelingen het algehele volwassenheidsniveau van de organisatie laag houden, want daar geloof ik niks van.
Offtopic: de TU gebruikt ook een supercomputer (delftblue) een RH Linux cluster. Je leest hier niets over in de media omdat het management dit niet verteld. Ik weet zeker dat, als het windows gebaseerd zou zijn, het breed uitgemeten zou worden. Het management is trots op DelftBlue (geleverd door Fujitsu) maar niet op Linux want ?? maar de gebruikers wel: [url https://doc.dhpc.tudelft.nl/delftblue/ [/url]
Zo te lezen (dankzij het datalek) is het meer een organisatorisch probleem naast het systeem waar alle naw gegevens van medewerkers in zitten waar blijkbaar nog veel meer in kan worden bewaard (AD-IDware). Eigenaar lijkt mij HRM want die behoren te weten wie er allemaal werken c.q. studeren en wat afgeschermd dient te worden. Ik zou zeggen ga bij HRM klagen en niet bij die afdelingen want HRM fasciliteert iets wat niet deugd.Men verkiest een gitlab wiki boven de jaren 90 bak met folders. Daarnaast met je data sets wel makkelijk kunnen backuppen (met rsync naar mattermost bv). Dus waar zit het privacy probleem sharepoint, 365 of mattermost of ? en niet alleen roepen dat de wetenschappelijke afdelingen het algehele volwassenheidsniveau van de organisatie laag houden, want daar geloof ik niks van.
Offtopic: de TU gebruikt ook een supercomputer (delftblue) een RH Linux cluster. Je leest hier niets over in de media omdat het management dit niet verteld. Ik weet zeker dat, als het windows gebaseerd zou zijn, het breed uitgemeten zou worden. Het management is trots op DelftBlue (geleverd door Fujitsu) maar niet op Linux want ?? maar de gebruikers wel: [url https://doc.dhpc.tudelft.nl/delftblue/ [/url]
Door Anoniem:
vaak is centrale IT MS only en computationeel zware en top wetenschap gebeurt nu eenmaal NIET op windows. de mensen die de HPC beheren worden vaak geïsoleerd en negeert door centrale IT dienst. een ander groot verschil is quality en level van kennis en tempo. centrale IT is gefocust op procedures maar HPC en wetenschap is gefocust op resultaat. dat is hier op onze uni ook zo. kun je het voorstellen een tenure track positie van 4j om te laten zien wat je wetenschappelijk waard bent en dan rustig een jaar of meer moeten wachten voordat centrale IT iets met externe consultants op gaat pakken? en wat er zoal niet onder het mom van 'security' de strot geduwd wordt. je mag nog niet eens meer je mail laten forwarden als je de uni verlaat en als post doc of wetenschapper elders gaat werken. staat je naam met oude mail adressen op al die paper maar je bent wel onbereikbaar. centrale IT bij universiteiten zijn vaak erg bedroevend in de praktijk en MS only.
Vroeger hadden ze een Cyrus IMAP mail server (nu incl CardDAV and CalDAV support) , veel veiliger, stabieler en werkte met elke applicatie. Met de komst van de nieuwe lichting IT manager moest en zou er Exchange komen. We hebben het geweten miljoenen euro's verder met veel ransomware ellende.Door Anoniem: De TU Delft is/was een conglomeraat van allemaal kleine interne bedrijfjes die het allemaal beter weten. Volgens mij zijn ze al jaren bezig om deze te integreren. Alleen de TU wordt door Microsoft gesponsord https://www.tudelft.nl/ict-handleidingen/applicaties Veel van die onderzoekers gebruiken Linux en zitten niet te wachten op sharepoint etc dan weet je zeker dat je data zoek raakt (is mij echt verteld). Die bewustwoording is er best maar dan moeten de systemen wel meewerken.
Men verkiest een gitlab wiki boven de jaren 90 bak met folders. Daarnaast met je data sets wel makkelijk kunnen backuppen (met rsync naar mattermost bv). Dus waar zit het privacy probleem sharepoint, 365 of mattermost of ? en niet alleen roepen dat de wetenschappelijke afdelingen het algehele volwassenheidsniveau van de organisatie laag houden, want daar geloof ik niks van.
Offtopic: de TU gebruikt ook een supercomputer (delftblue) een RH Linux cluster. Je leest hier niets over in de media omdat het management dit niet verteld. Ik weet zeker dat, als het windows gebaseerd zou zijn, het breed uitgemeten zou worden. Het management is trots op DelftBlue (geleverd door Fujitsu) maar niet op Linux want ?? maar de gebruikers wel: [url https://doc.dhpc.tudelft.nl/delftblue/ [/url]
Men verkiest een gitlab wiki boven de jaren 90 bak met folders. Daarnaast met je data sets wel makkelijk kunnen backuppen (met rsync naar mattermost bv). Dus waar zit het privacy probleem sharepoint, 365 of mattermost of ? en niet alleen roepen dat de wetenschappelijke afdelingen het algehele volwassenheidsniveau van de organisatie laag houden, want daar geloof ik niks van.
Offtopic: de TU gebruikt ook een supercomputer (delftblue) een RH Linux cluster. Je leest hier niets over in de media omdat het management dit niet verteld. Ik weet zeker dat, als het windows gebaseerd zou zijn, het breed uitgemeten zou worden. Het management is trots op DelftBlue (geleverd door Fujitsu) maar niet op Linux want ?? maar de gebruikers wel: [url https://doc.dhpc.tudelft.nl/delftblue/ [/url]
vaak is centrale IT MS only en computationeel zware en top wetenschap gebeurt nu eenmaal NIET op windows. de mensen die de HPC beheren worden vaak geïsoleerd en negeert door centrale IT dienst. een ander groot verschil is quality en level van kennis en tempo. centrale IT is gefocust op procedures maar HPC en wetenschap is gefocust op resultaat. dat is hier op onze uni ook zo. kun je het voorstellen een tenure track positie van 4j om te laten zien wat je wetenschappelijk waard bent en dan rustig een jaar of meer moeten wachten voordat centrale IT iets met externe consultants op gaat pakken? en wat er zoal niet onder het mom van 'security' de strot geduwd wordt. je mag nog niet eens meer je mail laten forwarden als je de uni verlaat en als post doc of wetenschapper elders gaat werken. staat je naam met oude mail adressen op al die paper maar je bent wel onbereikbaar. centrale IT bij universiteiten zijn vaak erg bedroevend in de praktijk en MS only.
Inzage is natuurlijk de eerste stap. Als je weet dat je volwassenheidsniveau op 1.3 zit, en dat het niveau met name een issue is bij faculteiten, kun je daarop inspelen en een plan van actie opzetten.
Door Anoniem: Inzage is natuurlijk de eerste stap. Als je weet dat je volwassenheidsniveau op 1.3 zit, en dat het niveau met name een issue is bij faculteiten, kun je daarop inspelen en een plan van actie opzetten.
nou...
"Surfaudit
Team Privacy Operations liet in antwoord op schriftelijke vragen van de U-raad weten dat de TU/e eind 2023 gebruik gaat maken van het Surfaudit Toetsingskader Privacy 3.0 om het privacy volwassenheidsniveau van de organisatie te beoordelen. Het model dat nu in gebruik is, het CIP-model, is volgens het privacyteam een meer generiek model dat door een breed scala aan organisaties kan worden gebruikt. ‘Het CIP-model is vrij streng en als zodanig niet altijd het beste model om op een universiteit te gebruiken, omdat volwassenheidsniveaus van het ene deel van de organisatie tot het andere kunnen verschillen. Het ontwerp houdt geen rekening met de complexiteit en diversiteit in afdelingen en diensten’, staat te lezen in de reactie van het privacyteam. Het volledige privacyteam krijgt later dit jaar nog een professionele training over dit Toetsingskader van Surf."
https://www.cursor.tue.nl/nieuws/2023/september/week-4/privacy-volwassenheid-tu-e-krijgt-een-13-dataprotectie-niet-op-orde/
Dat is bij vrijwel elke universiteit om dezelfde redenen net zo slecht gesteld. Leve de academische vrijheid... ahum.
Door Anoniem: Dat is bij vrijwel elke universiteit om dezelfde redenen net zo slecht gesteld. Leve de academische vrijheid... ahum.
bij vele academische clibjes is het beter gesteld dan bij centrale IT kan ik je vertellen. maar ik ken ook tokos waar het ogekeerde het geval is. academische vrijheden lijken niet van enig belang hierin.
Door Anoniem:
bij vele academische clibjes is het beter gesteld dan bij centrale IT kan ik je vertellen. maar ik ken ook tokos waar het ogekeerde het geval is. academische vrijheden lijken niet van enig belang hierin.
Door Anoniem: Dat is bij vrijwel elke universiteit om dezelfde redenen net zo slecht gesteld. Leve de academische vrijheid... ahum.
bij vele academische clibjes is het beter gesteld dan bij centrale IT kan ik je vertellen. maar ik ken ook tokos waar het ogekeerde het geval is. academische vrijheden lijken niet van enig belang hierin.
Mijn praktijkervaring is anders. De kwetsbaarheden zijn juist daar te vinden waar faculteiten veel onderzoek doen. Schaduw IT o.a.
Door Anoniem:
Mijn praktijkervaring is anders. De kwetsbaarheden zijn juist daar te vinden waar faculteiten veel onderzoek doen. Schaduw IT o.a.
Door Anoniem:
bij vele academische clibjes is het beter gesteld dan bij centrale IT kan ik je vertellen. maar ik ken ook tokos waar het ogekeerde het geval is. academische vrijheden lijken niet van enig belang hierin.
Door Anoniem: Dat is bij vrijwel elke universiteit om dezelfde redenen net zo slecht gesteld. Leve de academische vrijheid... ahum.
bij vele academische clibjes is het beter gesteld dan bij centrale IT kan ik je vertellen. maar ik ken ook tokos waar het ogekeerde het geval is. academische vrijheden lijken niet van enig belang hierin.
Mijn praktijkervaring is anders. De kwetsbaarheden zijn juist daar te vinden waar faculteiten veel onderzoek doen. Schaduw IT o.a.
nou YMMV. de plek waar exploits en hacks en data lekken plaats hebben gevonden bij ons waren bij centrale IT en niet bij wat jjj weg wimpelt als 'schaduw it'. kijk het is eendoudig, als centrale IT niet met het tempo en diepgang mee kan om eTOP onderzoek te ondersteunen, dan gaan ze het zelf doen. CERN wordt ook niet door een stel microsoft admins gerunt en ik denk [lees ik weet zeker] dat die hun zaakjes beter op orde hebben dan de TU eindhoven centrale IT [laat me maar niet praten over hoe de centrale IT bij de UM was]. er zijn plekken in de academische wereld waar IT flink voor loopt op wat er in bedrijfsleven en HBO klasjes geleerd wordt. dus mijn punt: YMMV.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
