"Bewustwording over privacy blijft belangrijk om persoonlijke data te beschermen"

Moswa houdt toezicht op de (online) privacy binnen de universiteit. Hij ziet erop toe dat alle persoonsgegevens van studenten, medewerkers en andere betrokkenen worden verwerkt volgens de wettelijke regels van de Europese Unie en de beleidsregels van de Autoriteit Persoonsgegevens. Hij onderzoekt, overlegt, adviseert, zet zaken in gang, beantwoordt vragen en creëert (meer) bewustwording. 

Online privacy kan gaan over grote én kleine dingen, illustreert Moswa aan de hand van een voorbeeld. “Een paar jaar geleden stonden een moeder en zoon hier op de campus. Ze kwamen net uit het vliegtuig en wilden de dochter verrassen met een bezoekje, maar ze wisten het adres niet meer. Met de beste bedoelingen werd dat gedeeld. Een uur later belde de dochter in paniek op: het bezoek was absoluut niet gewenst. Het ging mogelijk om een eerwraak-situatie. Op stel en sprong moest een verhuizing voor de dochter in gang worden gezet. Uiteindelijk kwam het goed, maar het is een goed voorbeeld dat een klein gebaar grote gevolgen kan hebben.”

Privacy-uitdaging

Moswa werkt in een team dat zich bezighoudt met alle facetten rondom privacy en security, waar we als universiteit veel waarde aan hechten. Met digitalisering als aanjager van innovatie is het niet meer uit onze levens weg te denken. Het zorgvuldig omgaan met de enorme beschikbaarheid van data is daarin ontzettend belangrijk.

“Binnen een onderwijsinstelling als Tilburg University worden enorm veel data verzameld, steeds vaker online”, legt Moswa uit. “Het gaat om persoonsgegevens, vaak gevoelige informatie. Om de privacy van de betrokkenen te waarborgen, moet die informatie zorgvuldig en veilig verwerkt worden. Bij zoveel data is het de uitdaging om goed overzicht te houden: welke data bewaar je waar? Want meer overzicht betekent meer controle. Een andere uitdaging is het hanteren van bewaartermijnen. Dat niet-noodzakelijke data in onze systemen ook daadwerkelijk en op de juiste, veilige manier wordt verwijderd.” 

Het gaat om persoonsgegevens, vaak gevoelige informatie. Om de privacy van de betrokkenen te waarborgen, moet die informatie zorgvuldig en veilig verwerkt worden.

Scriptkiddies en professionele hackers

Het goed verwerken en beschermen van data wordt steeds belangrijker, stelt Moswa. “We zien steeds vaker dat buitenstaanders, van ‘scriptkiddies’ (jongeren die scripts of programma’s die door anderen zijn ontwikkeld voor kwaadaardige doeleinden op het internet gebruiken, red.) tot criminele organisaties, onze data proberen binnen te halen. Bijna dagelijks zelf. Niet alleen bij ons hoor, overal bij dergelijke organisaties, en daar zijn we gelukkig goed tegen gewapend. We werken hiervoor samen met professionele partijen. Want als onze systemen, netwerken en programma’s niet goed beschermd zijn tegen digitale aanvallen, heeft het zorgvuldig verwerken van alle persoonsgegevens binnen de universiteit ook geen nut. Zonder security geen privacy.”

Online proctoring

Begin 2020, tijdens corona, was Tilburg University een van de eerste drie universiteiten in Nederland die werkte met online proctoring, online surveillance bij digitale toetsafname, vertelt Moswa. “De applicatie gaf een signaal bij een aparte situatie. Bij een bepaalde drempel van signalen kon de surveillant achteraf de korte specifieke situatie terugkijken. Dat riep vragen en bezwaren op. ‘Hoe zit het met onze privacy?’, vroegen studenten zich af. Vooraf hadden we alle processen beoordeeld, risicobeoordelingen uitgevoerd, goede afspraken met de leverancier gemaakt en de databeveiliging op orde gebracht, dus we dachten dat we alles onder controle hadden.” 

“Achteraf hadden we de studenten eerder moeten betrekken bij het hele proces”, blikt Moswa terug. “Ze beter moeten inlichten. Dat was een wijze les. Nadat we vragen binnenkregen, zijn we direct met een afvaardiging van studenten om de tafel gaan zitten. We hebben heel open en transparant uitgelegd wat we deden, waarom we dat deden en hoe we hun privacy waarborgden. Uiteindelijk kregen we van de Autoriteit Persoonsgegevens zelfs een compliment over onze aanpak!” 

Artificial Intelligence

Er zijn veel ontwikkelingen op het gebied van online privacy, vertelt Moswa. “Artificial Intelligence neemt een gigantische groeispurt; iedereen krijgt daarmee te maken. Dat biedt kansen, maar óók risico’s. Wat gebeurt er bijvoorbeeld met de gegevens die je gebruikt voor tools als ChatGPT en Deepl? Volgens de voorwaarden wordt al jouw input bij de gratis varianten gebruikt voor Machine Learning. Maar wat betekent dat precies? Daar komen binnenkort vanuit de Autoriteit Persoonsgegevens regels en richtlijnen voor.”

Volgens de voorwaarden wordt al jouw input bij de gratis varianten van tools als ChatGPT en DeepL gebruikt voor Machine Learning. Maar wat betekent dat precies?

Meer bewustwording

Er is steeds meer bewustwording op het gebied van online privacy, ervaart Moswa. “Privacy is een actueel onderwerp; het leeft steeds meer. Studenten en medewerkers krijgen er zelf steeds meer mee te maken en zijn zich steeds meer bewust van de gevaren en risico’s als het niet goed gaat. Hoe meer bewustwording er is, in alle lagen binnen de organisatie, hoe beter we samen de juiste dingen kunnen doen om onze data goed te verwerken en beschermen. We blijven eraan werken die bewustwording verder te vergroten.” 

Online privacy – drie tips van Moswa

1. Gebruik verschillende wachtwoorden voor al je accounts; hoe ingewikkelder hoe beter. Je hoeft ze niet te onthouden; sla je wachtwoorden op in een veilige applicatie, zoals Keeper. Deze app is door de universiteit aangeschaft en kun je gratis gebruiken als wachtwoordenkluis en password manager.
2. Let op wat je deelt met gratis online tools als Deepl of ChatGPT; al je data worden in het kader van Machine Learning opgeslagen. Van gevoelige documenten die je wil laten vertalen tot persoonlijke gegevens uit een mail die je wil laten opstellen. Deel in dit soort gratis tools daarom nooit persoonlijke gegevens óf maak alleen gebruik van veilige (gratis) tools die vanuit de universiteit beschikbaar worden gesteld. Met deze leveranciers hebben we goede afspraken gemaakt. 
3. Krijg je te maken met AVG? Zie dat niet als een beperking, maar als een hulpmiddel om het verzamelen, verwerken of opslaan van persoonsgegevens zorgvuldig en veilig te doen.  

Door: Hilde Gilissen 

Foto's: Simone Michielsen