Integrale veiligheid
Studenten en medewerkers moeten zich veilig voelen binnen Hogeschool Rotterdam. Altijd. Daarom staat het thema integrale veiligheid hoog op de agenda. In 2018 werd het integraal veiligheidsplan geaccordeerd door het College van Bestuur. De dienst Faciliteiten en Informatietechnologie (FIT), het onderwijs en andere diensten moeten gezamenlijk de verantwoordelijkheid nemen voor veiligheid en het beleid sámen uitvoeren.
Tevreden was Hogeschool Rotterdam met de uitkomst van de veiligheidsenquête 2018, waarin het veiligheidsgevoel van studenten en medewerkers gewaardeerd wordt met een 8,0. De stijgende lijn wordt na de eerste drie veiligheidsenquêtes (7,1 in 2009, 7,5 in 2012 en 7,9 in 2015) dus nog altijd voortgezet.
Kanttekening daarbij is dat het aantal gedragsincidenten is toegenomen. Daarin zien we een afspiegeling van de samenleving, wat uiteraard niet wil zeggen dat we dit voor kennisgeving aannemen. De cijfers verschillen overigens per instituut en dienst. De afdeling Integrale Veiligheid gaat met directie en managers in gesprek over verbetering van de aandachtspunten rond sociale veiligheid.
In 2018 is Hogeschool Rotterdam rookvrij geworden. Studenten en medewerkers worden hierop aangesproken. Eind 2018 zijn formele waarschuwingen gedaan aan een aantal recidivisten die aanwijzingen van toezichthouders negeerden.
Het belangrijkste doel voor 2019 is het geaccordeerde integrale veiligheidsplan hogeschoolbreed te implementeren. Ook zal Integrale Veiligheid weer een uitgebreid jaarverslag publiceren over de periode van september 2017 tot 31 december 2018, waarmee we aansluiten bij de jaarkalendercyclus voor het jaarverslag.
Privacy
Het College van Bestuur heeft het door de privacy officer opgestelde activiteitenplan voor privacy voor 2018 vastgesteld. In dat plan zijn de aanbevelingen uit het Jaarverslag 2017 van de functionaris gegevensbescherming verwerkt.
De bestaande privacyreglementen zijn aangepast aan de Algemene Verordening Gegevensbescherming (AVG) die per 25 mei 2018 de Wet bescherming persoonsgegevens heeft vervangen. Daarmee is de interne regelgeving aangepast aan het nieuwe Europese wettelijke regime. De informatie over ons privacybeleid en de reglementen staan beschreven op de privacypagina’s van Hint (ons intranet). Op 25 mei 2018 is op de displays van de vele koffieautomaten in de gebouwen van de hogeschool aandacht gevraagd voor de nieuwe AVG en de nieuwe regels die met deze Europese verordening samenhangen. Op 25 mei is ook een nieuwe functionaris gegevensbescherming aangetreden.
Privacy en informatieveiligheid zijn complementair. Maandelijks overleggen juristen, IT’ers en de functionaris gegevensbescherming in het Privacy/IT-overleg. Sinds april nemen ook de lector Privacy & Cybersecurity en de contactpersoon privacy van de Willem de Kooning Academie deel aan dit overleg. Het overleg is sinds kort eveneens aangevuld met een medewerker van concerncommunicatie.
Alle instituten, kenniscentra en diensten hebben een contactpersoon voor het thema privacy. We hebben stappen gezet om het netwerk van contactpersonen voor de privacy vaker bijeen te laten komen en van dit netwerk een kennisdelingsplatform te maken.
Datalekken
Incidenten die de veiligheid van systemen en persoonsgegevens raken, worden gemeld bij het Dataresponse Team. Dat Team beoordeelt of sprake is van een datalek met gevolgen voor de rechten en vrijheden van medewerkers en studenten van de hogeschool. Het Team heeft een afwegingskader geformuleerd aan de hand waarvan gemelde incidenten worden beoordeeld.
In 2018 zijn vier datalekken gemeld aan de Autoriteit Persoonsgegevens. Dit gebeurt als een risico voor betrokkenen niet valt uit te sluiten. Als betrokkenen concrete schade kunnen ondervinden van een datalek (bijvoorbeeld in financiële zin of reputatieschade), zijn we verplicht ook de betrokkenen zelf te informeren. Dat is in 2018 één keer gebeurd.
Een nieuw register waarin meldingen van datalekken worden geregistreerd is eind 2018 in gebruik genomen. De leden van het Dataresponse Team kunnen daarin hun bevindingen rond een melding noteren en eventueel actie ondernemen. Het register helpt ook bij het tijdig melden van een datalek aan de Autoriteit Persoonsgegevens.
Autorisatiebeleid
De information security officer (dienst FIT) heeft een notitie opgesteld met uitgangspunten voor autorisatiebeleid. Autorisatie is voorzien op drie niveaus: basisautorisatie, extra autorisatie op basis van rol, en specifieke, rol-onafhankelijke autorisatie. In het beleid staat voorop dat autorisaties moeten uitgaan van het zogeheten ‘least-privilege’-principe: overeenkomstig de AVG behoort een medewerker alleen toegang te krijgen tot persoonsgegevens die echt noodzakelijk zijn voor het uitvoeren van zijn werkzaamheden.
Filmen in de klas
De privacy officer nam deel aan een regionaal overleg met VO Haaglanden om het onderwerp ‘Filmen in de klas’ AVG-bestendig te maken. Doel is voorkomen dat student-stagiairs zonder toestemming met hun eigen telefoon opnamen in de klas maken.
De opgestelde regels worden uitgerold bij IvL, bij welk instituut studenten die stage lopen onder meer worden beoordeeld aan de hand van beelden van interactie in de klas met leerlingen. De regels zijn ook nuttig voor opleidingen waarvan studenten stage lopen in een omgeving met patiënten (IvG) of cliënten (ISO).