Privacyteam: eet cookies met mate
Blindelings cookies accepteren, of direct door op ‘akkoord’ klikken bij de algemene voorwaarden als je een nieuwe app installeert: veel mensen doen het. Maar we geven daarmee onbewust veel persoonlijke data weg aan grote organisaties. Het TU/e privacyteam wil met een nieuwe campagne het privacybewustzijn onder de gemeenschap vergroten, uitleggen hoe de universiteit jouw data beschermt en jou actiever maken in het zelf beschermen van je eigen data.
Iedereen heeft het altijd over privacy, maar wat is dat nou precies en waarom is het zo belangrijk? Dat blijkt lastig in één zin uit te leggen, zegt privacy officer Vera van Lierop: “Het is onderdeel van een mensenrecht, het recht om je privéleven beschermd te hebben.” Collega Anouk de Ruijter vult haar aan: “Gegevens worden steeds waardevoller voor grote bedrijven, want jouw persoonlijke informatie vertelt veel over jou en je gedrag. Daar kunnen bedrijven en instanties op inspelen. Je moet je gegevens daarom niet zomaar weggeven.” Collega en eveneens privacy officer Ineke Litjens ziet nog een probleem: “We doen zoveel digitaal dat we steeds afhankelijker worden van applicaties. Daardoor worden mensen ook gemakzuchtiger met het accepteren van voorwaarden in een app bijvoorbeeld. En daardoor delen mensen vaak (onbewust) meer over hun persoonlijke leven dan zij zich realiseren. En je hebt vaak niet meteen door wat er met jouw persoonsgegevens wordt gedaan en wat daarvan de impact is.”
De TU/e erkent het belang van privacy en een goede bescherming van persoonsgegevens en heeft dan ook sinds de zomer van 2018, toen de Algemene Verordening Gegevensbescherming (AVG) in werking trad, een privacyteam. Begin 2022 is dit uitgebreid met twee nieuwe privacy officers. Anouk de Ruijter, Ineke Litjens, Vera van Lierop en Laura Overmars zijn privacy officer en Yolande Coelen is de officemanager van het stel. “We zijn onlangs een awarenessprogramma gestart – met de aftrap tijdens de Intro 2022”, zegt Litjens. Onder het motto ‘Dit is de enige cookie die je wel blindelings kan accepteren’, werden bij hun stand op de Intromarkt stroopwafels uitgedeeld. “Dat privacybewustzijn moet bij iedereen op de TU/e vergroot worden: onderzoekers, studenten, ondersteunend personeel; privacy gaat iedereen aan.”
Gegevens bij de TU/e
Van elke student en medewerker worden er allerlei gegevens opgeslagen door onderwijsinstellingen en bewaard, langer dan je wellicht zou denken. Litjens: “Als je een student vraagt welke gegevens we hebben en hoe lang we die bewaren, zullen velen dat niet weten, denk ik. Universiteiten zijn verplicht om bepaalde gegevens van hun studenten te bewaren. Denk aan, onder andere, je naam, adres, e-mail, BSN, de vakken die je volgt en hebt gevolgd, behaalde cijfers en je telefoonnummer. De cijferlijsten van je diploma moeten we zelfs vijftig jaar bewaren volgens de wet.” Van Lierop: “Dat komt omdat je een diploma meeneemt en we moeten kunnen bewijzen dat je daar recht op hebt. Natuurlijk zijn er ook van medewerkers allerlei gegevens aanwezig in de systemen van de TU/e, zoals NAW-gegevens, bankgegevens en gegevens over de huwelijkse staat. Dat laatste is van belang voor de Belastingdienst. Daarnaast wordt er veel onderzoek gedaan aan de TU/e, vaak met mensen zoals bij medisch onderzoek.” Ook van die mensen verwerkt de universiteit tal van (gevoelige) gegevens. Het hebben van zoveel data brengt altijd risico’s met zich mee, bijvoorbeeld op datalekken.
Cookies
Als we terug gaan naar de bewustwordingscampagne, vraag je je misschien af waarom men zo inzet op de cookies. Litjens: “Dat komt iedereen elke dag tegen. Veel mensen accepteren ze snel om er vanaf te zijn, zoals trackingcookies. Maar door toestemming te geven, laat je toe dat je gedrag in de gaten wordt gehouden. De sites maken een profiel van je met daarin alles waar je op klikt, wat je koopt en in het ergste geval zelfs je betaalgegevens.” Het kan dus lonen om alleen functionele cookies te accepteren, het minimale dat nodig is om de websites te laten functioneren. Maar dat moet je meestal wel actief instellen, omdat de meeste sites standaard alle cookies hebben aangevinkt bij de pop-up. Litjens: “Een bedrijf kan zo meer van jou weten dan dat je over jezelf weet.” De Ruijter kent de gevolgen van die kennis: “Op basis van wat ze van je weten, krijg je advertenties voorgeschoteld, bijvoorbeeld op Facebook.” Litjens: “Een alledaags voorbeeld is de Bonuskaart van Albert Heijn. Die houdt precies bij welke producten je koopt en tegenwoordig kun je zelfs persoonlijke aanbiedingen krijgen voor zaken die je vaak koopt als je je aanmeldt met je persoonsgegevens. Ze kunnen hele patronen afleiden uit je koopgedrag: of je gezond eet, of je kinderen hebt, et cetera. En daarop acteren om je nog meer te laten kopen. Het privacyteam ziet er op toe dat de applicaties die je gebruikt voor onderwijs of je werk, dergelijke cookies zo min mogelijk gebruiken.”
Wel wat te verbergen
Ook al let een organisatie goed op jouw persoonsgegevens, je kunt ook zelf het nodige doen om je privacy te beschermen. Litjens is er duidelijk over: “je hebt wel wat te verbergen, ook al denk je misschien van niet. En je hebt altijd iets om te beschermen. Je wilt echt niet dat alles over jou bij anderen terecht komt. Als je iets al niet met je vrienden zou willen delen, waarom dan wel met grote bedrijven? Zeker zij die het voor commerciële doelen inzetten. En hoe meer gegevens er van jou online rondzwerven, hoe kwetsbaarder je wordt voor hackers.” Ook daar zijn steeds meer voorbeelden van, waarbij mensen bijvoorbeeld worden gechanteerd met een mail waarin staat dat de hacker je account gehackt heeft en als ‘bewijs’ daarvoor heeft-ie wat gelekte data in die email geplakt, zodat je het verhaal gelooft.
Stel je nu voor dat je al veel data hebt weggegeven, kun je dan nog terug? “Je mag onder de AVG bij elke organisatie een uitdraai opvragen van de gegevens die ze van jou in bezit hebben”, weet Van Lierop. “Vervolgens kun je ook een verwijderingsverzoek indienen dat dan binnen een redelijke termijn behandeld hoort te worden." Wat een redelijke termijn is, is niet precies gedefinieerd. De Ruijter heeft ook nog een extra tip: “Bij social media zoals Facebook en Instagram kun je bij de instellingen zien welke gegevens ze van je hebben, een verwijderingsverzoek doen en aanpassen wat ze in de toekomst nog mogen opslaan. “We weten ook niet waar de gegevens die ze nu van ons hebben in de toekomst ook nog voor gebruikt kunnen worden”, merkt Litjens op.
Ook je foto’s liggen bij Zuckerberg
Het verzamelen van gegevens gaat vaak verder dan klassieke zaken als naam, e-mail en IP-adres. “Zo vragen bepaalde applicaties toegang tot je locatie als je een app installeert”, zegt Van Lierop. “En toegang tot je fotobibliotheek”, vult De Ruijter aan. In een gemiddelde fotobibliotheek van een telefoon zitten duizenden foto’s, waarvan er vast wel een paar tussen zitten die je niet graag op een website terugvindt.
Litjens: “Ons team voert privacy checks uit op applicaties, systemen én de leveranciers, maar ziet er ook op toe dat persoonsgegevens volgens de AVG worden verwerkt en opgeslagen. Er wordt bijvoorbeeld gecontroleerd of er niet meer gegevens worden verwerkt dan noodzakelijk en er worden risico-inventarisaties gedaan. Als een applicatie inzage in je documenten wil en deze vervolgens ook wil kunnen wijzigen terwijl de applicatie daar niet voor bedoeld is, weigeren we zo’n app.”
Dat het topic ‘privacy’ leeft bij de TU/e’ers blijkt uit het feit dat er veel vragen bij het privacyteam binnenkomen. “Bijvoorbeeld of het verstandig is om data op een bepaalde manier te verwerken”, zegt Van Lierop. Naast de ludieke campagne om de aandacht te trekken met de koekjes zijn er ook trainingen voor medewerkers ontwikkeld. (op Canvas, red.). “Die kan iedereen op zijn eigen tempo individueel volgen”, zegt Litjens. “Daarnaast bieden we specifieke trainingen aan voor bepaalde diensten met heel eigen behoeftes, zoals voor HRM, ESA en Finance. En geven de datastewards trainingen aan onderzoekers over het gebruik van persoonsgegevens tijdens, bijvoorbeeld, medisch onderzoek.” Ook voor deze trainingen ziet ze ruim animo. “Het bewustzijn is zeker aan het vergroten, een goede zaak gezien hoeveel persoonsgegevens hier verwerkt worden.”
Boektips
Meer weten over dit onderwerp? Het privacyteam raadt deze boeken aan: Je hebt wel iets te verbergen van Maurits Martijn en Dimitri Tokmetzis en Het is oorlog, maar niemand die het ziet van Huib Modderkolk. De laatste titel gaat over hoe machtig je bent als je bepaalde gegevens hebt. Met de juiste gegevens kun je hele elektriciteitscentrales plat leggen of het betalingsverkeer uitschakelen. Het boek van Martijn en Tokmetzis gaat over bewustwording dat ook jij bepaalde gegevens hebt die je niet op straat wilt hebben liggen. Ben je benieuwd of er van jou al gegevens gelekt zijn en via welke account? Bekijk dan eens www.haveibeenpwned.com. Ook de website www.laatjeniethackmaken.nl is nuttig, want daarop wordt in begrijpelijke taal uitgelegd hoe je je kunt wapenen tegen hackers. Het privacyteam heeft verder nog meer awarenessactiviteiten op de planning staan voor dit academisch jaar en er worden infographics ontwikkeld voor studenten en medewerkers.
Tips: wat kun je zelf doen?
- Wil je nou zelf aan de slag? Een privacytraining van de TU/e kan een goed begin zijn.
- Merk je een datalek op, ongeacht of het je eigen schuld is of niet, meld dit dan. Litjens: “Mensen denken bij een datalek vaak aan iets heel groots, maar het kan ook zo simpel zijn als een mail met persoonsgegevens die je hebt gekregen maar niet voor jou bedoeld was.” Het privacyteam pakt ieder datalek samen met het securityteam op en kan maatregelen treffen om de risico’s te verkleinen.
- Wil je een nieuwe applicatie of tool gebruiken? Of persoonsgegevens verwerken voor je onderzoek? Neem contact op met de gegeven coördinator van je dienst, de datasteward van je faculteit of direct met het privacyteam.
- Deel verder nooit persoonsgegevens op publieke netwerken. Daaronder vallen alle onbeveiligde wifinetwerken die je vaak in restaurants, de trein of in grote steden hebt. “En doe daar al helemaal geen aankopen op”, drukt Litjens iedereen op het hart. “Je bankgegevens kunnen dan gemakkelijker onderschept worden.”
- Loop je cookie-instellingen na. Die staan vaak standaard zo ingesteld dat de instellingen gunstiger zijn voor het bedrijf dan voor jou. Kies ervoor om alleen functionele cookies te accepteren. Het kost je een paar kliks extra maar de privacywinst is groot.
- Gebruik een VPN. Dat is op de TU/e standaard het geval als je inlogt op het internet met je TU/e-account, maar thuis moet je dat actief aanzetten.
- Lees je in in je privacyrechten. Litjens: “Mensen zijn zich vaak niet bewust dat ze gegevens mogen opvragen en laten verwijderen.”
- Gebruik een webcamcover op je laptop. Litjens: “Op veel TU/e laptops zit die standaard ingebouwd. Gebruik hem ook als je niet aan het beeldbellen bent.” De Ruijter: “Je kunt daarnaast ook een dunne sticker kopen voor op je laptop of telefoon die ervoor zorgt dat je van de zijkant niet kan meelezen op het scherm.”
- “Kijk nou bij de eerstvolgende app die je installeert eens even echt naar de voorwaarden”, zegt Van Lierop. “Weet wat je accepteert en met wie je gegevens worden gedeeld.” Het gaat vaak veel verder dan je denkt.
Discussie