Schellekens – die ondertussen vertrokken is bij de TU/e - keek vooral naar de volwassenheid van de omgang met data bij de universiteit. Ondanks dat deze momenteel onvoldoende is, ziet hij wel vooruitgang, zo schrijft hij in het voorwoord van zijn rapport (alleen toegankelijk via intranet). Hij prijst in zijn rapport de privacy awareness acties die hopelijk een privacy-cultuur zullen creëren. Ook ziet hij dat er vaker advies wordt gevraagd aan privacy professionals en dat hun advies van goede kwaliteit is. Maar ondanks die vooruitgang “is de TU/e nog altijd niet in controle betreffende data- en privacybescherming om te voldoen aan de AVG.”

Datalek ID-Ware

In het rapport wordt ook het grote datalek bij campuskaartmaker ID-Ware genoemd. Dat voorval waarbij persoonlijke data van duizenden campuskaarthouders op straat kwam te liggen illustreert hoe belangrijk het is ook met partners te toetsen of de data die wordt uitgewisseld wel echt nodig is, of deze voldoet aan de eisen van de AVG en of dit alles netjes in een verwerkersovereenkomst is vastgelegd. Schellekens: “Hoewel de universiteit dit datalek correct heeft afgehandeld, bleek de verwerking tussen de TU/e en ID-Ware zelf niet in overeenstemming met de AVG. Door het lage volwassenheidsniveau van de TU/e was de omvang van het incident zo excessief. Een groot deel van de data die bij de leverancier stond, had er niet (meer) moeten zijn. Het datalek toonde dus precies aan hoe belangrijk het is om naar een hoger volwassenheidsniveau te gaan.”

Het lage volwassenheidsniveau van de TU/e komt volgens Schellekens vooral door de onderzoekskant van de universiteit. “Ondanks de grote hoeveelheid ervaring met risicovolle dataverwerkingsactiviteiten in het onderzoeksdomein, zijn het de wetenschappelijke afdelingen die het algehele volwassenheidsniveau van de organisatie laag houden. De grootste tekortkomen is het gebrek aan overzicht van de gegevens die worden verwerkt, het lage privacybewustzijn en de afwezigheid van onderzoekspecifiek privacybeleid.”

De data protection officer stelt dat het essentieel is dat de TU/e actie onderneemt om de omgang met en regie over dataprotectie te verbeteren. “Om een betrouwbare partner te zijn in het hightech innovatie-ecosysteem en de fundamentele rechten en vrijheden van studenten, werknemers en respondenten te respecteren, is het van cruciaal belang om de situatie aan de universiteit te verbeteren. Verbeteringen op de onderzoeksafdelingen zijn essentieel om het algehele volwassenheidsniveau te verhogen.”

Surfaudit

Team Privacy Operations liet in antwoord op schriftelijke vragen van de U-raad weten dat de TU/e eind 2023 gebruik gaat maken van het Surfaudit Toetsingskader Privacy 3.0 om het privacy volwassenheidsniveau van de organisatie te beoordelen. Het model dat nu in gebruik is, het CIP-model, is volgens het privacyteam een meer generiek model dat door een breed scala aan organisaties kan worden gebruikt. ‘Het CIP-model is vrij streng en als zodanig niet altijd het beste model om op een universiteit te gebruiken, omdat volwassenheidsniveaus van het ene deel van de organisatie tot het andere kunnen verschillen. Het ontwerp houdt geen rekening met de complexiteit en diversiteit in afdelingen en diensten’, staat te lezen in de reactie van het privacyteam. Het volledige privacyteam krijgt later dit jaar nog een professionele training over dit Toetsingskader van Surf.

Gisteren gaf de U-raad ook een positief advies af over de nota 'Privacy- en gegevensbeschermingsbeleid TU/e' (alleen toegankelijk via intranet), waarin wordt toegelicht hoe de universiteit de komende jaren het privacy volwassenheidsniveau van 1,3 naar 3 wil brengen. Het streven is om dat laatste niveau eind 2025 bereikt te hebben. Volgens collegevoorziter Robert-Jan Smits moet om dit niveau 3 te bereiken nog veel gebeuren en moet daarvoor vooral bij de faculteiten de komende jaren nog heel wat werk verzet worden.