Informatiebeveiliging en research: kloof tussen beleid en uitvoering

Veel onderzoekers worstelen met de vraag hoe zij vertrouwelijke data kunnen delen met elkaar en met onderzoekers van andere instellingen. Ze werken steeds vaker samen in consortia van onderzoekers van verschillende instellingen en zijn daarbij afhankelijk van elkaars data en resources. De regelgeving voor het gebruik van data met persoonsgegevens is door de invoering van de AVG een stuk strenger geworden.

De instellingen hebben hard gewerkt te kunnen voldoen aan de eisen van de AVG. Er is beleid gemaakt, er zijn Functionarissen Gegevensbescherming en Privacy Officers aangesteld. Op papier lijkt alles in orde. Toch is er nog een aantal problemen. Er bestaat nog een kloof tussen het beleid en de uitvoering ervan in de dagelijkse praktijk.  En daarnaast is het beleid vaak abstract geformuleerd, ontbreken er praktische handvatten voor onderzoekers en zijn de regels niet goed ingericht op het delen van data tussen instellingen onderling.

SURF ontwikkelt technologieën en diensten die het voor onderzoekers makkelijker maken om samen te werken en resources en data te delen. We zien daarbij dat organisatorische belemmeringen vaak grotere obstakels vormen dan de technische. In deze blog vragen wij aandacht voor dit probleem en roepen we op om samen te werken om dit te verbeteren.

Compliancy met de AVG in de praktijk

Tijdens de laatste masterclass on research support in oktober vorig jaar was er een ronde tafelsessie over het onderwerp ‘compliancy met de AVG in de praktijk’. De AVG is bijna een jaar geleden van kracht geworden en veel instellingen hebben hard gewerkt om aan de eisen te voldoen. Er is beleid gemaakt, er zijn FG’s aangesteld enzovoort. Maar hoe gaan instellingen in de dagelijkse praktijk met de AVG om?

Marie-José Bonthuis en Marlon Domingus, FG’s van respectievelijk Lifelines (Medische Biobank onder de vleugels van het UMCG) en de Erasmus Universiteit vertelden over de aanpak bij deze instellingen. De Erasmus Universiteit heeft onder andere een app ontwikkeld die onderzoekers kan helpen bij het vinden van de relevante en juiste informatie. Daarnaast is er een dashboard waarmee allerlei informatie uit het researchregister kan worden opgezocht en weergegeven. Dit helpt de FG en de PO’s om in kaart te brengen waar met gevoelige data wordt gewerkt, welke maatregelen daarvoor zijn genomen en risico’s in kaart te brengen. Zo kunnen ze proactief te handelen waar nodig.

Binnen het UMCG is een hulpmiddel ontwikkeld waarmee besturen, decanen en onderzoekers volgens een stappenplan en aan de hand van een serie vragen kan bepalen wat hij of zij moet doen om het onderzoek compliant met de AVG op te zetten. Inmiddels wordt er gesproken over het opnemen van dit  hulpmiddel en stappenplan in de VSNU gedragscode voor Wetenschappelijk Onderzoek.

Sterk in beleid, minder in praktijk

Vervolgens discussieerden de aanwezigen over de aanpak van de instellingen. In de discussie peilde Marlon Domingus de stand van zaken bij de instellingen aan de hand van een enquête die de deelnemers via Mentimeter konden invullen. De compliancy met de AVG werd geëvalueerd aan de hand van het model ‘CIPL Accountability Wheel’ [1]. De deelnemers konden aangeven in welke mate zij vonden dat hun instelling voldeed aan de criteria:

  • policies and procedures
  • risk assessment
  • transparancy
  • training and awareness
  • monitoring and verification
  • response and enforcement
Spinnenwebdiagram: Hoe sterk vinden instellingen zichzelf 'in control' met betrekking tot de AVG?

Het was geen verrassende uitkomst dat de instellingen sterker scoorden op policies and procedures en op risk assessment dan op de andere elementen. Vrijwel alle organisaties hebben weliswaar beleid ontwikkeld, maar dat is niet altijd vertaald naar concrete richtlijnen voor degenen die ermee moeten werken.

Daarnaast worden de AVG-regels op verschillende manieren geïnterpreteerd. Er bestaan verschillen tussen de instellingen, maar zelfs binnen een instelling zijn er interpretatieverschillen. Het komt het voor dat een onderzoeker verschillende antwoorden krijgt als hij of zij dezelfde vraag aan verschillende privacy officers voorlegt.

Samenwerking tussen instellingen is belangrijk

Een andere constatering is dat alle instellingen met vergelijkbare problemen worstelen en dat ze overal bezig zijn hetzelfde wiel uit te vinden. Het zou veel beter zijn om meer samen te werken, kennis en ervaring te delen en beleid en richtlijnen op elkaar af te stemmen.

Dit laatste is niet alleen efficiënt, maar is ook in het belang van instellingsoverstijgend onderzoek.

Samenvattend komt de problematiek neer op de volgende punten:
 

  • Er is een kloof tussen beleid en uitvoering van informatiebeveiliging.
  • Onderzoekers hebben behoefte aan duidelijke richtlijnen.
  • Er is onvoldoende aandacht voor instellingsoverstijgend onderzoek in het beleid.
  • Instellingen zouden meer moeten samenwerken op dit gebied, zowel uit efficiencyoverwegingen als om beleid en richtlijnen beter te harmoniseren.

Databeveiliging onterecht bij onderzoekers neergelegd

Deze conclusies uit de masterclass versterken het beeld uit onderzoeksrapport ‘ICT Utopia voor onderzoekers’, dat onderzoeksbureau Vals Plat in opdracht van SURF schreef [2]. In dat onderzoek vertelden onderzoekers dat in hun ogen de databeveiliging ten onrechte bij hen wordt neergelegd.

Onderzoekers weten zelf niet altijd in hoeverre hun data gevoelig is en in welke mate data beveiligd dienen te worden. Dit kan gelden voor zowel datasets die men al heeft, als voor onderzoek dat men nog moet gaan uitvoeren. Ondersteuners beamen dit.

Vervolgens is het onduidelijk hoe onderzoekers met gevoelige data om moeten gaan. De meeste instellingen hebben wel een ‘privacy/security officer’. Die geeft echter volgens onderzoekers geen advies, maar een lijst met artikelen en informatiepagina’s. Hierdoor zijn de onderzoekers alsnog veel tijd kwijt aan het uitzoeken en blijven ze met een radeloos gevoel zitten; ook na het lezen weten ze niet wat zij dan het beste kunnen doen. Zij verwachten van hun organisatie meer en betere praktische aanbevelingen en oplossingen.

Drempels voor instellingsoverstijgend samenwerken

SURF ontwikkelt technologieën en diensten die het voor onderzoekers (makkelijker) mogelijk maken om hun data te delen en elkaars resources zoals instrumenten en computers te gebruiken. Bijvoorbeeld:
 

  • Met het SURFnet-netwerk kunnen veilige, dedicated verbindingen worden gelegd tussen vertrouwde locaties en kan er gemakkelijk grote hoeveelheden data worden uitgewisseld. Met een 10 Gbit/s MSP kan tot wel 100 TB per dag worden verstuurd.
  • In het project Science Collaboration Zone worden services ontwikkeld waarmee onderzoekers elkaar toegang kunnen geven (autorisatie) tot hun systemen en met AAI-diensten zoals SURFconext en tweefactorauthenticatie kan men erop vertrouwen dat de identiteiten van deze gebruikers ook echt kloppen.

Toch blijkt vaak dat het wegnemen van technische drempels alleen niet genoeg is. Organisatorische drempels en regelgeving zijn vaak een showstopper. Niet alleen de regels zelf zijn een belemmering, maar ook het feit dat deze onvoldoende op elkaar zijn afgestemd en te weinig rekening houden met instelling overstijgend onderzoek. Daarom pleiten we voor meer samenwerking tussen de instellingen om dit probleem samen op te pakken. Wil je hieraan bijdragen? Neem dan contact op met support4research@surf.nl.

 

[1] Marlon Domingus, Privacy: on Control and Compliancy, LinkedIn oktober 2018
[2] ICT utopia voor onderzoekers, onderzoeksrapport door Vals Plat i.o van SURFnet. April 2017

Auteur

Reacties

Dit artikel heeft 0 reacties