What Personal data does Tilburg University Collect

Privacyverklaring SURF SOC/SIEM

Deze verklaring bevat informatie over hoe wij omgaan met de verwerking van persoonsgegevens in het kader van SURF SOC/SIEM.

Tilburg University verwerkt persoonsgegevens in het kader van SURF SOC/SIEM door het verzamelen van loggegevens vanuit de ICT-infrastructuur. Deze gegevens verzamelen wij om ze te analyseren op mogelijke aanvallen en zo verdacht gedrag tijdig te signaleren. Op deze manier beheersen wij onze informatiebeveiliging en bewaken wij security incidenten.

Door middel van de SIEM-oplossing worden persoonsgegevens vanuit de ICT-infrastructuur van Tilburg University via netwerkmonitoring en logbestanden verzameld en geanalyseerd. De SIEM-functionaliteit is uitbesteed aan SURF en wordt geleverd door Fox-IT. Onderdeel van het SIEM-systeem is de database Splunk. Dit wordt beheerd door UMBRIO.

In deze privacyverklaring gaan we verder in op waarom we gegevens verzamelen, welke gegevens we verzamelen, hoelang de gegevens bewaard blijven en de doorgifte van deze gegevens aan derden.  

Privacyverklaring Tilburg University

Deze privacyverklaring is expliciet gericht op de verwerking van persoonsgegevens binnen SURF SOC/SIEM. De centrale privacyverklaring van Tilburg University kun je raadplegen op de webpagina Privacy Statement Tilburg University.

De grondslag en doeleinden van de gegevensverwerking

De wettelijke grondslag voor het verwerken van persoonsgegevens in het kader van SURF SOC/SIEM is het gerechtvaardigd belang van Tilburg University om haar netwerken en informatie te beveiligen en daarmee gegevens van individuen te beschermen

Het doel dat wij nastreven met de verwerking van jouw persoonsgegevens is tweeledig:

  1. Aantoonbare beheersing van informatiebeveiliging door interne controles en het bewaken van security incidenten.
  2. Verhoging van de kwaliteit en beschikbaarheid van de benodigde expertise door bundeling van kennis binnen Tilburg University, SURF-coöperatie en eventueel aansluiting via SURF SOC op Nationaal Detectie Netwerk.

Daarnaast krijgt SURFcert door de SIEM-oplossing aanvullende mogelijkheden om haar taken uit te voeren, waardoor haar werkzaamheden worden versterkt. SURFcert verwerkt persoonsgegevens om netwerken, die in het beheer zijn van SURF en waar instellingen zoals Tilburg University gebruik van maken, te beveiligen. Zo kan SURFcert, door de inzage in incidenten en gegevens van instellingen, andere instellingen proactief waarschuwen voor bepaalde dreigingen. De wettelijke grondslag voor de verwerking van persoonsgegevens door SURFcert is tevens gerechtvaardigd belang.

SURFcert heeft met de verwerking van jouw persoonsgegevens een breder doel dan enkel Tilburg University ondersteunen, maar wil hiermee een veilige en beschermde omgeving bieden voor het gehele hoger onderwijs en onderzoek.

De herkomst van jouw persoonsgegevens

De persoonsgegevens die wij van je verwerken, verzamelen wij middels netwerkmonitoring en logbestanden. De gegevens worden enkel en alleen geraadpleegd wanneer een incident plaatsvindt die het onderzoek van de gelogde gegevens rechtvaardigt. Alleen de gegevens gerelateerd aan het incident worden doorzocht.

Om eventueel misbruik te kunnen constateren en om na te gaan of een beheerderaccount is gehackt, worden binnen de SIEM-omgeving van Tilburg University de gegevens van beheerders die toegang hebben tot deze omgeving, gelogd en opgeslagen. Hieronder vallen ook de door de beheerders ingegeven commando's (toetsenbordaanslagen). Ook hierbij geldt dat de loggegevens alleen worden geraadpleegd wanneer een incident plaatsvindt die het onderzoeken van de gelogde gegevens rechtvaardigt. Alleen de gegevens gerelateerd aan het incident worden doorzocht.

Het soort gegevens dat wij verwerken

Wij verwerken persoonsgegevens van iedereen die op enige wijze communiceert met Tilburg University. Hierbij kan bijvoorbeeld gedacht worden aan gegevens van studenten, medewerkers, bezoekers van onze website en deelnemers aan een wetenschappelijk onderzoek.

De persoonsgegevens worden ongefilterd doorgestuurd naar de SIEM-omgeving. Hierdoor hebben wij niet de mogelijkheid om bepaalde categorieën persoonsgegevens uit te sluiten.

De ontvangers van uw persoonsgegevens

De persoonsgegevens die wij van je verwerken worden aan verschillende partijen doorgegeven. Met al deze partijen zijn verwerkersovereenkomsten afgesloten, of heeft de verwerker een verwerkersovereenkomst afgesloten. Het gaat om:

  • SURF: SURF levert als verwerker de SIEM-functionaliteit aan Tilburg University.
  • SURF als aanbieder van SURFcert: SURFcert ondersteunt Tilburg University bij hoge prioriteitsmeldingen en kijkt mee in het SIEM naar de betreffende logbestanden. SURFcert krijgt daarmee toegang tot de gegevens die gebruikt worden binnen de SIEM dienstverlening en tot de meldingen uit het systeem.
  • Fox-IT: Fox-IT levert als sub-verwerker de uiteindelijke SIEM-functionaliteit.
  • UMBRIO: UMBRIO is de sub-verwerker die de Splunk database beheert die gebruikt wordt voor het SIEM-systeem.

Beveiliging van jouw persoonsgegevens

De persoonsgegevens worden door alle partijen versleuteld opgeslagen en verzonden. Er kan alleen via Multi-factor Authentication toegang tot de gegevens worden verkregen. Daarnaast is er een beperking in het aantal personen dat toegang heeft tot de gegevens. Ook wordt er bijgehouden wie welke gegevens bekijkt om misbruik te kunnen constateren. Er zijn processen ingericht, zoals het vierogenprincipe en periodieke controles om misbruik te voorkomen. De opslag en verwerking van de persoonsgegevens (ook door derden) vindt plaats in de Europese Economische Ruimte (EER).

De bewaartermijnen van jouw persoonsgegevens

De persoonsgegevens die worden opgeslagen in het SIEM-systeem worden standaard 183 dagen bewaard.
Binnen de netwerksensoren worden de persoonsgegevens 5 dagen bewaard als het gaat om netwerkdata, en 183 dagen als het gaat om metadata.

SURFcert kan de data gebruiken zo lang als deze aanwezig is in het SIEM-systeem. Dit is dus maximaal 183 dagen. Indien uit de analyses Indicators of Compromise (IoC’s) naar voren komen, is SURFcert gerechtigd om deze te gebruiken en te delen, voor zo lang als redelijkerwijs nodig is om de SURFcert-functie te vervullen.

Na deze 183 dagen worden de persoonsgegeven automatisch opgeschoond en verwijderd uit het SIEM-systeem.

Jouw rechten ten aanzien van de gegevensverwerking

Tilburg University is als verwerkingsverantwoordelijke het eerste aanspreekpunt voor u als betrokkene. Als betrokkene heb je rechten op het gebied van inzage, rectificatie, vergetelheid, beperking van verwerking, overdraagbaarheid van gegevens, recht op bezwaar en recht om een klacht in te dienen bij een toezichthoudende autoriteit. Meer informatie over deze rechten en hoe je hier een beroep op kunt doen.

Onze Functionaris Gegevensbescherming (FG)

Binnen Tilburg University is er een Functionaris Gegevensbescherming aangesteld die adviseert over en toezicht houdt op de gegevensverwerkingen en de wetgeving. Mocht je contact op willen nemen met de Functionaris Gegevensbescherming, dan kun je hem via onderstaande contactgegevens bereiken. Voor meer informatie over de Functionaris Gegevensbescherming, kun je de centrale privacyverklaring van Tilburg University raadplegen.

Contact