Campus

Is de opslag van ons functioneren veilig bij Amazon?

De gegevens over het functioneren van TU-medewerkers worden opgeslagen op Amazon-servers. Sommige medewerkers willen daarom hun beoordelingsformulier niet digitaal invullen.

Uit een aanvullend privacy statement van de TU Delft over het digitale functioneringssysteem van de TU Delft (de Resultaat & Ontwikkelings (R&O-)cyclus) blijkt dat leverancier Lumesse gebruikmaakt van de diensten van Amazon om data op te slaan. De data staan op servers van Amazon in Frankfurt, meldt het statement dat medewerkers ontvangen als ze vragen hebben over hun privacy.

Op persoonlijke titel zegt ict-medewerker Mulderij dat hij en enkele collega’s niet tevreden zijn over het ‘zo ver buiten de deur zetten van zoveel persoonlijke informatie’. Zijn belangrijkste bezwaar is dat Lumesse Brits is en Amazon Amerikaans. “Door de Brexit is het twijfelachtig hoe de privacywetgeving zich daar gaat gedragen. De Amerikaanse president Trump is bezig wetgeving aan te nemen om data van Amerikaanse servers op te kunnen vragen, ongeacht waar die servers staan.”

Medewerker Kloosterman heeft dezelfde bezwaren. Zij is blij dat de dienst waarbij zij werkt, Onderwijs & Studentenzaken, vanwege een reorganisatie nog niet is overgegaan op het digitale systeem. Kloosterman en Mulderij hebben een gesprek gehad met directeur Human Resources (HR) Ingrid Halewijn en directeur ICT Paul Hillman over hun bezwaren. Mulderij mag volgens Halewijn eenmalig op persoonlijke gronden zijn R&O-gegevens op papier invullen, indien zijn leidinggevende daarmee akkoord gaat. Het beleid van de directie ICT is en blijft om de formulieren digitaal in te vullen.

Over mogelijke privacyrisico’s na de Brexit zegt Halewijn dat het contract met Lumesse voldoet aan Europese privacywetgeving. “Dat heeft voldoende waarborgen in zich om dit goed te regelen. Daarin zijn wij transparant geweest met het privacystatement: het systeem vraagt voordat je eraan begint of je dat gelezen hebt. De TU Delft doet bovendien zaken met de Nederlandse vestiging van Lumesse.

Toestemming vragen
Vragen of je een verklaring gelezen hebt, is niet hetzelfde als vragen of je akkoord gaat. Wie in het R&O-formulier op zijn naam klikt, ziet onder de term ‘privacyverklaring’ dat hij ermee akkoord is gegaan. Voor deze kwestie verwijst Halewijn naar de functionaris gegevensbescherming van de TU, Erik van Leeuwen. Hij zegt dat de universiteit geen toestemming vraagt om gegevens te verwerken, omdat er een overeenkomst (lees: aanstelling) is met de werknemer.

De gegevensverwerking is volgens Van Leeuwen noodzakelijk voor de uitvoering van die overeenkomst. Hij vergelijkt het met het berekenen van het salaris. “Die gegevens gaan naar een externe partij. Dat moet nu eenmaal, anders kun je het salaris niet uitrekenen. Dat geldt ook bij de R&O. De wettelijke grondslag daarvoor is te vinden in artikel 6.1 b, van de Algemene Verordening Gegevensbescherming (AVG) die vanaf 25 mei 2018 geldt. Nu geldt nog artikel 8 van de Wet Bescherming Persoonsgegevens, met daarin dezelfde grondslag.”

Volgens diezelfde AVG hebben organisaties een informatieplicht. Zij moeten nieuwe en bestaande klanten informeren over wat er met hun persoonsgegevens gebeurt. De universiteit meldt in de privacyverklaring niet dat de data op servers van Amazon staan. Daarmee geconfronteerd vraagt Halewijn zich af wat het probleem daarvan is. “Het is een Amerikaans bedrijf maar de servers staan in Duitsland, op Europees grondgebied. De Nederlandse vestiging van Lumesse heeft daar een contract mee en daarin zijn alle privacywaarborgen goed geregeld.”

Amerikaanse wetgeving
Van Amerikaanse wetgeving om data van Amerikaanse servers op te kunnen vragen, ongeacht waar die servers staan, was bij de aanbesteding nog geen sprake, zegt Halewijn. “Mocht ons contract hierdoor niet meer voldoen aan de privacywaarborgen die wij als TU Delft willen, dan zullen we daar op moeten reageren. Lumesse is er aan gehouden om de privacy te waarborgen volgens Europese wetgeving en zal dat ook zeker doen. Anders raakt Lumesse klanten kwijt.” Van Leeuwen voegt daar aan toe dat als gegevens worden opgevraagd, er versleutelde data worden gekregen. “Een cijferbrij waarvan je de sleutel niet hebt.”

Lumesse meldt geen informatie te mogen geven over klanten aan mensen die geen contactpersoon zijn. Daarom komt de leverancier via Halewijn met de volgende reactie: de TU Delft heeft een contract met de Nederlandse BV van Lumesse, niet met de Britse, en het datacentre van Amazon Web Services (AWS) staat op EU-grondgebied (in Frankfurt) waardoor zowel Lumesse als AWS zich aan de Nederlandse en EU-regelgeving inzake privacy en security moeten houden. Dit is contractueel gewaarborgd. De data staan versleuteld opgeslagen, de datacentres zijn ISO gecertificeerd en alle software voldoet momenteel al aan de AVG. Amazon heeft vooralsnog niet gereageerd op vragen van Delta.

Halewijn wil geen contracten aan Delta overleggen, maar zegt het geen punt te vinden inzage te geven aan mensen met vragen hierover. Op de vraag of er wordt bijgehouden wie er in de R&O-gegevens mogen kijken, zegt Erik van Leeuwen dat in het systeem is vastgelegd wie er in mogen kijken, maar dat niet wordt gemonitord wie er in hebben gekeken. “Het is niet de bedoeling dat Lumesse in die gegevens kan kijken”, zegt Van Leeuwen. “Als het goed is kan dat niet. De gegevens zijn versleuteld.”

Waarom digitaal?
Een andere vraag is waarom de TU de opslag van de gegevens heeft uitbesteed aan een externe partij. Heeft de TU de expertise niet zelf in huis? Volgens Halewijn gebeurt dit in veel organisaties en kan de TU van die ervaring profiteren. “Je kunt er voor kiezen om het op eigen servers te zetten, maar dan krijg je een ander type product dat niet past bij de eisen en wensen die wij hadden. Bovendien zijn er ook privacy- en securityrisico’s verbonden aan eigen servers. Dat is niet per se veiliger. Sterker nog: de security-eisen waaraan de externe partner moet voldoen zijn vaak streng.”

En waarom moest het R&O-proces digitaal? “Dit was een wens van velen, omdat de oude manier veel handwerk opleverde met vrij veel security- en privacyrisico’s”, zegt Halewijn. “Papieren versies printen, kopiëren en rondsturen binnen de TU, handtekeningen verzamelen: daar zitten risico’s aan.” Daarnaast helpt het digitale systeem straks om bijvoorbeeld vacatures af te handelen en opleidingen te organiseren. “Dat gaan we allemaal digitaliseren. Het is makkelijker en efficiënter om met een paar kliks goedkeuring te regelen.”

En als meer mensen bezwaren hebben? “Dan gaan we met ze in gesprek over hun zorgen, maar het zijn er niet veel”, zegt Halewijn. “Naar bevind van zaken maken wij daar een afspraak over.” Ze wil op zoek naar een aanpak voor de gehele universiteit.

R&O privacyverklaring.pdf

Update 24 april 2018:

Wat vindt u van het nieuwe R&O-systeem? Laat het me weten op onderstaand mailadres.

 

Nieuwsredacteur Connie van Uffelen

Heb je een vraag of opmerking over dit artikel?

c.j.c.vanuffelen@tudelft.nl

Comments are closed.