image

TU Eindhoven scoort onvoldoende voor data- en privacybescherming

vrijdag 29 september 2023, 16:38 door Redactie, 13 reacties

De Technische Universiteit Eindhoven (TU/e) scoort onvoldoende voor data- en privacybescherming, zo blijkt uit onderzoek van de Functionaris Gegevensbescherming (FG). De 'privacy-volwassenheid ' van de TU/e krijgt op een schaal van vijf punten een 1,3. Ondanks verschillende stappen is de TU/e nog altijd niet in controle wat betreft data- en privacybescherming om te voldoen aan de AVG, aldus het onderzoeksrapport waar Cursor over bericht, het nieuwsplatform van de universiteit.

De lage score is volgens de FG te verklaren door de wetenschappers van de TU/e. "Ondanks de grote hoeveelheid ervaring met risicovolle dataverwerkingsactiviteiten in het onderzoeksdomein, zijn het de wetenschappelijke afdelingen die het algehele volwassenheidsniveau van de organisatie laag houden. De grootste tekortkomen is het gebrek aan overzicht van de gegevens die worden verwerkt, het lage privacybewustzijn en de afwezigheid van onderzoekspecifiek privacybeleid."

Verder wijst de FG ook naar het datalek bij ID-Ware, waar gegevens van duizenden universiteitsmedewerkers werden gestolen. “Hoewel de universiteit dit datalek correct heeft afgehandeld, bleek de verwerking tussen de TU/e en ID-Ware zelf niet in overeenstemming met de AVG", aldus de FG. "Door het lage volwassenheidsniveau van de TU/e was de omvang van het incident zo excessief. Een groot deel van de data die bij de leverancier stond, had er niet (meer) moeten zijn. Het datalek toonde dus precies aan hoe belangrijk het is om naar een hoger volwassenheidsniveau te gaan."

Reacties (13)
29-09-2023, 23:26 door Anoniem
Het was daar vroeger al een drama qua verwerking en staf... toen ik nog studeerde. Gelukkig hadden ze toen de WBP. Konden ze doen en laten wat ze wilden....
30-09-2023, 13:18 door Anoniem
Geweldig woord. "Privacy-volwassenheid"!

Want je kunt natuurlijk allemaal wetten en regels maken. En hele AVG's. Maar je hebt ook nog dat onderbuikgevoel over wat je wel en niet kan maken op privacygebied. Over waar je wellicht nieuwsgierig naar zou zijn maar gewoon niet hoort te weten. Elk huisje heeft zijn kruisje.

Wel stuitend dat met name een technische universiteit zo laag scoort op privacy-volwassenheid. Het blijven natuurlijk allemaal spelende kinderen, dat was mijn ervaring ook vroeger op de TU Delft. Evenwel een mooie aanleiding om een faculteit privacy-volwassenheid in te richten. Die zich niet enkel richt op wat er technisch kan. Maar ook wat je gewoon niet kunt maken en hoort te beschermen naar beste kunnen. Zo hebben we wel notarissen voor eigendommen en erfenissen. Maar op het gebied van privacy-volwassenheid bestaan dergelijke onafhankelijke deskundigen eigenlijk niet. Er zijn natuurlijk wel mensen die er veel van weten. Nog veel meer die maar wat ouwehoeren en gewoon een mening hebben (net als ik). Maar geen professors die gelijk zien dat je iets technisch wel kunt maken maar dat je het niet kunt maken om het te maken.
30-09-2023, 13:26 door Anoniem
De TU Delft is/was een conglomeraat van allemaal kleine interne bedrijfjes die het allemaal beter weten. Volgens mij zijn ze al jaren bezig om deze te integreren. Alleen de TU wordt door Microsoft gesponsord https://www.tudelft.nl/ict-handleidingen/applicaties Veel van die onderzoekers gebruiken Linux en zitten niet te wachten op sharepoint etc dan weet je zeker dat je data zoek raakt (is mij echt verteld). Die bewustwoording is er best maar dan moeten de systemen wel meewerken.
Men verkiest een gitlab wiki boven de jaren 90 bak met folders. Daarnaast met je data sets wel makkelijk kunnen backuppen (met rsync naar mattermost bv). Dus waar zit het privacy probleem sharepoint, 365 of mattermost of ? en niet alleen roepen dat de wetenschappelijke afdelingen het algehele volwassenheidsniveau van de organisatie laag houden, want daar geloof ik niks van.

Offtopic: de TU gebruikt ook een supercomputer (delftblue) een RH Linux cluster. Je leest hier niets over in de media omdat het management dit niet verteld. Ik weet zeker dat, als het windows gebaseerd zou zijn, het breed uitgemeten zou worden. Het management is trots op DelftBlue (geleverd door Fujitsu) maar niet op Linux want ?? maar de gebruikers wel: [url https://doc.dhpc.tudelft.nl/delftblue/ [/url]
30-09-2023, 14:18 door Anoniem
Zo tre cpy-pasten door de FG's van bijna alle andere Nederlandse universiteiten. In Eindhoven hebben ze - anders dan elders - tenminste een een bestuur dat de kritiek accepteert en de aanbevelingen omarmt.
30-09-2023, 15:38 door Anoniem
Door Anoniem: De TU Delft is/was een conglomeraat van allemaal kleine interne bedrijfjes die het allemaal beter weten. Volgens mij zijn ze al jaren bezig om deze te integreren. Alleen de TU wordt door Microsoft gesponsord https://www.tudelft.nl/ict-handleidingen/applicaties Veel van die onderzoekers gebruiken Linux en zitten niet te wachten op sharepoint etc dan weet je zeker dat je data zoek raakt (is mij echt verteld). Die bewustwoording is er best maar dan moeten de systemen wel meewerken.
Men verkiest een gitlab wiki boven de jaren 90 bak met folders. Daarnaast met je data sets wel makkelijk kunnen backuppen (met rsync naar mattermost bv). Dus waar zit het privacy probleem sharepoint, 365 of mattermost of ? en niet alleen roepen dat de wetenschappelijke afdelingen het algehele volwassenheidsniveau van de organisatie laag houden, want daar geloof ik niks van.

Offtopic: de TU gebruikt ook een supercomputer (delftblue) een RH Linux cluster. Je leest hier niets over in de media omdat het management dit niet verteld. Ik weet zeker dat, als het windows gebaseerd zou zijn, het breed uitgemeten zou worden. Het management is trots op DelftBlue (geleverd door Fujitsu) maar niet op Linux want ?? maar de gebruikers wel: [url https://doc.dhpc.tudelft.nl/delftblue/ [/url]

vaak is centrale IT MS only en computationeel zware en top wetenschap gebeurt nu eenmaal NIET op windows. de mensen die de HPC beheren worden vaak geïsoleerd en negeert door centrale IT dienst. een ander groot verschil is quality en level van kennis en tempo. centrale IT is gefocust op procedures maar HPC en wetenschap is gefocust op resultaat. dat is hier op onze uni ook zo. kun je het voorstellen een tenure track positie van 4j om te laten zien wat je wetenschappelijk waard bent en dan rustig een jaar of meer moeten wachten voordat centrale IT iets met externe consultants op gaat pakken? en wat er zoal niet onder het mom van 'security' de strot geduwd wordt. je mag nog niet eens meer je mail laten forwarden als je de uni verlaat en als post doc of wetenschapper elders gaat werken. staat je naam met oude mail adressen op al die paper maar je bent wel onbereikbaar. centrale IT bij universiteiten zijn vaak erg bedroevend in de praktijk en MS only.
30-09-2023, 16:00 door Anoniem
Door Anoniem: De TU Delft is/was een conglomeraat van allemaal kleine interne bedrijfjes die het allemaal beter weten. Volgens mij zijn ze al jaren bezig om deze te integreren. Alleen de TU wordt door Microsoft gesponsord https://www.tudelft.nl/ict-handleidingen/applicaties Veel van die onderzoekers gebruiken Linux en zitten niet te wachten op sharepoint etc dan weet je zeker dat je data zoek raakt (is mij echt verteld). Die bewustwoording is er best maar dan moeten de systemen wel meewerken.
Men verkiest een gitlab wiki boven de jaren 90 bak met folders. Daarnaast met je data sets wel makkelijk kunnen backuppen (met rsync naar mattermost bv). Dus waar zit het privacy probleem sharepoint, 365 of mattermost of ? en niet alleen roepen dat de wetenschappelijke afdelingen het algehele volwassenheidsniveau van de organisatie laag houden, want daar geloof ik niks van.

Offtopic: de TU gebruikt ook een supercomputer (delftblue) een RH Linux cluster. Je leest hier niets over in de media omdat het management dit niet verteld. Ik weet zeker dat, als het windows gebaseerd zou zijn, het breed uitgemeten zou worden. Het management is trots op DelftBlue (geleverd door Fujitsu) maar niet op Linux want ?? maar de gebruikers wel: [url https://doc.dhpc.tudelft.nl/delftblue/ [/url]
Zo te lezen (dankzij het datalek) is het meer een organisatorisch probleem naast het systeem waar alle naw gegevens van medewerkers in zitten waar blijkbaar nog veel meer in kan worden bewaard (AD-IDware). Eigenaar lijkt mij HRM want die behoren te weten wie er allemaal werken c.q. studeren en wat afgeschermd dient te worden. Ik zou zeggen ga bij HRM klagen en niet bij die afdelingen want HRM fasciliteert iets wat niet deugd.
02-10-2023, 10:28 door Anoniem
Door Anoniem:
Door Anoniem: De TU Delft is/was een conglomeraat van allemaal kleine interne bedrijfjes die het allemaal beter weten. Volgens mij zijn ze al jaren bezig om deze te integreren. Alleen de TU wordt door Microsoft gesponsord https://www.tudelft.nl/ict-handleidingen/applicaties Veel van die onderzoekers gebruiken Linux en zitten niet te wachten op sharepoint etc dan weet je zeker dat je data zoek raakt (is mij echt verteld). Die bewustwoording is er best maar dan moeten de systemen wel meewerken.
Men verkiest een gitlab wiki boven de jaren 90 bak met folders. Daarnaast met je data sets wel makkelijk kunnen backuppen (met rsync naar mattermost bv). Dus waar zit het privacy probleem sharepoint, 365 of mattermost of ? en niet alleen roepen dat de wetenschappelijke afdelingen het algehele volwassenheidsniveau van de organisatie laag houden, want daar geloof ik niks van.

Offtopic: de TU gebruikt ook een supercomputer (delftblue) een RH Linux cluster. Je leest hier niets over in de media omdat het management dit niet verteld. Ik weet zeker dat, als het windows gebaseerd zou zijn, het breed uitgemeten zou worden. Het management is trots op DelftBlue (geleverd door Fujitsu) maar niet op Linux want ?? maar de gebruikers wel: [url https://doc.dhpc.tudelft.nl/delftblue/ [/url]

vaak is centrale IT MS only en computationeel zware en top wetenschap gebeurt nu eenmaal NIET op windows. de mensen die de HPC beheren worden vaak geïsoleerd en negeert door centrale IT dienst. een ander groot verschil is quality en level van kennis en tempo. centrale IT is gefocust op procedures maar HPC en wetenschap is gefocust op resultaat. dat is hier op onze uni ook zo. kun je het voorstellen een tenure track positie van 4j om te laten zien wat je wetenschappelijk waard bent en dan rustig een jaar of meer moeten wachten voordat centrale IT iets met externe consultants op gaat pakken? en wat er zoal niet onder het mom van 'security' de strot geduwd wordt. je mag nog niet eens meer je mail laten forwarden als je de uni verlaat en als post doc of wetenschapper elders gaat werken. staat je naam met oude mail adressen op al die paper maar je bent wel onbereikbaar. centrale IT bij universiteiten zijn vaak erg bedroevend in de praktijk en MS only.
Vroeger hadden ze een Cyrus IMAP mail server (nu incl CardDAV and CalDAV support) , veel veiliger, stabieler en werkte met elke applicatie. Met de komst van de nieuwe lichting IT manager moest en zou er Exchange komen. We hebben het geweten miljoenen euro's verder met veel ransomware ellende.
02-10-2023, 14:06 door Anoniem
Inzage is natuurlijk de eerste stap. Als je weet dat je volwassenheidsniveau op 1.3 zit, en dat het niveau met name een issue is bij faculteiten, kun je daarop inspelen en een plan van actie opzetten.
02-10-2023, 18:19 door Anoniem
Door Anoniem: Inzage is natuurlijk de eerste stap. Als je weet dat je volwassenheidsniveau op 1.3 zit, en dat het niveau met name een issue is bij faculteiten, kun je daarop inspelen en een plan van actie opzetten.

nou...

"Surfaudit

Team Privacy Operations liet in antwoord op schriftelijke vragen van de U-raad weten dat de TU/e eind 2023 gebruik gaat maken van het Surfaudit Toetsingskader Privacy 3.0 om het privacy volwassenheidsniveau van de organisatie te beoordelen. Het model dat nu in gebruik is, het CIP-model, is volgens het privacyteam een meer generiek model dat door een breed scala aan organisaties kan worden gebruikt. ‘Het CIP-model is vrij streng en als zodanig niet altijd het beste model om op een universiteit te gebruiken, omdat volwassenheidsniveaus van het ene deel van de organisatie tot het andere kunnen verschillen. Het ontwerp houdt geen rekening met de complexiteit en diversiteit in afdelingen en diensten’, staat te lezen in de reactie van het privacyteam. Het volledige privacyteam krijgt later dit jaar nog een professionele training over dit Toetsingskader van Surf."

https://www.cursor.tue.nl/nieuws/2023/september/week-4/privacy-volwassenheid-tu-e-krijgt-een-13-dataprotectie-niet-op-orde/
03-10-2023, 17:56 door Anoniem
Dat is bij vrijwel elke universiteit om dezelfde redenen net zo slecht gesteld. Leve de academische vrijheid... ahum.
04-10-2023, 12:36 door Anoniem
Door Anoniem: Dat is bij vrijwel elke universiteit om dezelfde redenen net zo slecht gesteld. Leve de academische vrijheid... ahum.

bij vele academische clibjes is het beter gesteld dan bij centrale IT kan ik je vertellen. maar ik ken ook tokos waar het ogekeerde het geval is. academische vrijheden lijken niet van enig belang hierin.
04-10-2023, 17:01 door Anoniem
Door Anoniem:
Door Anoniem: Dat is bij vrijwel elke universiteit om dezelfde redenen net zo slecht gesteld. Leve de academische vrijheid... ahum.

bij vele academische clibjes is het beter gesteld dan bij centrale IT kan ik je vertellen. maar ik ken ook tokos waar het ogekeerde het geval is. academische vrijheden lijken niet van enig belang hierin.

Mijn praktijkervaring is anders. De kwetsbaarheden zijn juist daar te vinden waar faculteiten veel onderzoek doen. Schaduw IT o.a.
05-10-2023, 07:13 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Dat is bij vrijwel elke universiteit om dezelfde redenen net zo slecht gesteld. Leve de academische vrijheid... ahum.

bij vele academische clibjes is het beter gesteld dan bij centrale IT kan ik je vertellen. maar ik ken ook tokos waar het ogekeerde het geval is. academische vrijheden lijken niet van enig belang hierin.

Mijn praktijkervaring is anders. De kwetsbaarheden zijn juist daar te vinden waar faculteiten veel onderzoek doen. Schaduw IT o.a.

nou YMMV. de plek waar exploits en hacks en data lekken plaats hebben gevonden bij ons waren bij centrale IT en niet bij wat jjj weg wimpelt als 'schaduw it'. kijk het is eendoudig, als centrale IT niet met het tempo en diepgang mee kan om eTOP onderzoek te ondersteunen, dan gaan ze het zelf doen. CERN wordt ook niet door een stel microsoft admins gerunt en ik denk [lees ik weet zeker] dat die hun zaakjes beter op orde hebben dan de TU eindhoven centrale IT [laat me maar niet praten over hoe de centrale IT bij de UM was]. er zijn plekken in de academische wereld waar IT flink voor loopt op wat er in bedrijfsleven en HBO klasjes geleerd wordt. dus mijn punt: YMMV.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.