Waarom geboorteplaats nodig voor campuspas?
Cursor ontvangt veel signalen uit de gemeenschap dat mensen zich afvragen waarom ID-Ware toegang had tot zoveel persoonsgegevens die op het eerste gezicht niet nodig lijken om een campuskaart te maken. Woonadres, privémail en geboorteplaats zijn daar de duidelijkste voorbeelden van. Ook Cursor vroeg zich dat af bij het lezen van de e-mail donderdag 20 oktober over het lek en stelde vragen aan zowel de TU/e als ID-Ware.
Er zijn nog veel vragen over het datalek dat duizenden mensen van de TU/e treft, zo bleek gisteren. De TU/e verwijst allereerst naar een FAQ waarin wat meer informatie te vinden is die voor de gehele gemeenschap relevant kan zijn. Daaruit blijkt dat er in ieder geval melding is gedaan van het lek bij de Autoriteit Persoonsgegevens, een verplichting volgens de wet. Wanneer dit gedaan is, is een van de vragen die uitstaat binnen de TU/e. Volgens de wet moet dit binnen 72 uur na ontdekking van het lek gebeurd zijn. Als dit niet zo op tijd gebeurt, staat daar een boete op.
In de FAQ van de TU/e staat dat privé-emailadressen voor ID-Ware nodig zijn om TU/e’ers 'te contacteren bij incidenten of vragen'. De vraag blijft waarom dergelijke vragen niet rechtstreeks bij de TU/e kunnen worden gesteld. Gezien ook op de kaart zelf het verzoek staat om die bij vinden aan de TU/e te sturen en bij noodgevallen de TU/e-beveiliging te bellen, in plaats van ID-Ware. Daarnaast wordt gesproken over waarom het privé-adres nodig zou zijn: om de pas naar de medewerker of student te sturen.
Over het geven van deze data aan ID-Ware is het College van Bestuur bevraagd. Vice-voorzitter Nicole Ummelen reageert als volgt: "Studenten en medewerkers hebben de pas al nodig bij de eerste dag dat ze aan hun werk of studie beginnen. Daarom doen we de aanvraag van de pas ruim vooraf, zodat de pas op tijd kan worden aangemaakt en toegestuurd. ID Ware krijgt hiervoor enkele data, waaronder het privé-mailadres, wat ID-Ware nodig heeft voor communicatie met de ontvanger van de pas. De pas wordt gestuurd aan het privé-woonadres zodat studenten en medewerkers de pas in huis hebben ruim voorafgaand aan hun eerste dag op de campus. Om die reden worden deze gegevens gedeeld met ID-Ware."
Geboorteplaats
Er wordt niet gesproken in de FAQ waarom de geboorteplaats nodig zou zijn, ook daarover is een vraag aan de TU/e en ID-Ware gesteld. Ummelen erkent in haar antwoord dat dit persoonsgegeven vraagtekens oproept. "Geboorteplaats is inderdaad een gegeven dat vraagtekens oproept. De onafhankelijke interne toezichthouder is in samenwerking met de TU/e het datalek aan het onderzoeken, en kijkt naar alle persoonsgegevens die ID-ware heeft van de campuskaarthouders en de noodzakelijkheid en redelijkheid van de verwerking en opslag van deze gegevens. Daarbij heeft dit specifieke gegeven (geboorteplaats) de aandacht. De toezichthouder zal met aanbevelingen komen."
Verwerkersovereenkomst
Als je als organisatie persoonsgegevens verzamelt of verwerkt moet daar een goede reden voor zijn. Die reden moet je kunnen beargumenteren, in dit geval in een verwerkersovereenkomst, omdat ID-Ware als derde partij gegevens van TU/e’ers verwerkt. Cursor heeft gevraagd hoe de verantwoording eruit ziet van de persoonsgegevens in de verwerkersovereenkomst met ID-Ware. "In de FAQ staat daarover deze alinea: 'de TU/e doet momenteel onderzoek naar alle persoonsgegevens die ID-ware heeft van de campuskaarthouders en de noodzakelijkheid en redelijkheid van de verwerking en opslag van deze gegevens. Vervolgens zal TU/e, waar nodig, maatregelen nemen om er zorg voor te dragen dat er niet meer persoonsgegevens worden verwerkt dan noodzakelijk voor het aanmaken, versturen en beheren van de campuskaart en persoonsgegevens niet langer dan noodzakelijk worden bewaard.' In een verwerkersovereenkomst heb je dit soort zaken al vooraf beslecht. Cursor heeft ook gevraagd of er wel een verwerkersovereenkomst gesloten is met ID-Ware zoals wetgeving eist. Het antwoord daarop van vice-voorzitter Nicole Ummelen is 'ja, die verwerkersovereenkomst met ID-Ware is er'. Ook zegt zij dat de redelijkheid en de noodzakelijkheid van de verwerking van de soorten persoongegevens juridisch is getoetst in die verwerkersovereenkomst die de TU/e met ID-Ware gesloten heeft.
ID-Ware heeft nog op geen enkele vraag van Cursor gereageerd.
Discussie