Een lezer vroeg me:

Een leerling op de school van mijn zoon heeft de centrale printer van hun school gehackt. Volgens hen was het nauwelijks hacken omdat de beveiliging minimaal was. Uiteraard vind de school het schandalig, maar voor mij als security auditor en moeder redenen om me af te vragen: is de rest van de school dan ook zo belabberd beveiligd. Kan ik daar inzage in krijgen, mag ik maatregelen eisen?

Het ‘hacken’ van ict-apparatuur op school is voor leerlingen leuk en interessant, maar inderdaad reageren scholen daar scherp op. De tijd dat je dan een stage bij een securitybedrijf kreeg (of de IT-persoon van school mocht worden) is al lang voorbij: ik ken zo tien gevallen van mensen tegen wie aangifte werd gedaan in zo’n situatie.

Uiteraard is dat vrij kansloos als de security minimaal tot afwezig is, en er natuurlijk geen echte schade is aangericht. En ik snap wel dat je bij afwezige schade als ouder denkt: is dit representatief voor hoe de school ict-security implementeert. Dat zou goed kunnen, hoewel net zo goed mogelijk is dat de printers door een andere partij worden beheerd dan het leerlingvolgsysteem of de financiële administratie.

Inzage in het beveiligingsbeleid van een organisatie is algemeen eigenlijk niet mogelijk. Ook bij beveiligingsbeleid rond persoonsgegevens is daarvoor geen bevoegdheid: de informatieplichten (artikel 13 en 14 AVG) verwijzen niet naar het beveiligingsbeleid. En bij het recht van inzage (artikel 15) kan geen inzage in genomen beveiligingsmaatregelen worden geëist.

Wel heeft de AVG het algemene beginsel van transparantie (artikel 5 lid 1 onder a), waaruit je kunt afleiden dat transparant zijn over de beveiliging van gegevensverwerking er desondanks bij hoort. Hierover is geen jurisprudentie, en in de richtsnoeren van de EDPB of Autoriteit Persoonsgegevens zie je hier niets over terug. Wel beschrijven veel partijen in algemene zin hun beveiligingsmaatregelen in de privacyverklaring, maar dat gaat zelden verder dan mooie beloften of opmerkingen dat ergens een ISO 27001 certificering voor afgegeven is.

In maart deed de Autoriteit Persoonsgegevens een oproep aan scholen en leveranciers van digitale leermiddelen op om goede afspraken te maken en open te zijn over het verwerken van persoonsgegevens van leerlingen. Hierbij noemt men expliciet dat duidelijkheid gegeven zou moeten worden over “[h]oe deze gegevens worden beveiligd, hoe lang de gegevens worden bewaard en in welke systemen”. Je zou met een beroep op deze oproep het gesprek aan kunnen gaan.

Arnoud
De printer op de foto komt niet voor in het artikel.