Sinds medio oktober maakt de universiteit gebruik van zogenoemde vertrouwelijkheidslabels op computerbestanden. Het idee is dat medewerkers daarmee beter in staat zijn om gevoelige data te beschermen en datalekken te voorkomen. Er zijn vier labels: openbaar, intern, vertrouwelijk en geheim.

Microsoft 365-bestanden die geen gevoelige informatie bevatten, krijgen voortaan automatisch het label ‘intern’. 
Voorheen was dat nog ‘openbaar’, maar volgens universiteitswoordvoerder Caroline van Overbeeke was dat niet meer verstandig. ‘Een standaard label “openbaar” is ondanks de WOO (Wet Openbaarheid Overheid, red.) niet meer gewenst, omdat veel documenten persoonsgegevens of andere vertrouwelijke informatie bevatten die voor de WOO nog gelakt moeten worden.’

Ook mails die medewerkers aan collega’s sturen zijn nu geclassificeerd als ‘intern’. Zo ook een mailtje van collega A aan collega B met de vraag om beneden in de aula een kopje koffie te gaan drinken. Voor wie dat label overdreven vindt: ‘De gebruiker kan dit eenvoudig handmatig aanpassen naar ‘openbaar’’, aldus Van Overbeeke.

Patroonherkenning

Documenten met gevoelige inhoud, zoals adresgegevens, bankgegevens, wachtwoorden en IP-adressen, krijgen nu automatisch het label ‘vertrouwelijk’ en worden automatisch versleuteld. Dat gebeurt op basis van woordherkenning en patroonherkenning: bijvoorbeeld als in het document de samenstelling “BSN” voorkomt, of een serie cijfers een bankrekeningnummer lijkt aan te duiden. ‘Vergelijk het met een spam-filter op de mail of autocorrectie’, aldus Van Overbeeke.

Vooralsnog wordt daarbij geen AI gebruikt, omdat het systeem niet zelflerend is. ‘Alleen de patronen die wij opgeven worden onderzocht, het systeem bedenkt zelf geen nieuwe patronen.’

Het label ‘geheim’ kunnen medewerkers alleen handmatig aanzetten en wordt dus niet automatisch toepast. Wie documenten op ‘geheim’ zet, laat het document automatisch versleutelen. Ook kan de medewerker zelf extra maatregelen nemen, zoals het instellen van een verloopdatum of bepalen wie het document wel en niet mag printen en kopiëren.

‘Er is voor deze methode met automatische labels gekozen om de werklast zo laag mogelijk te houden’, licht Van Overbeeke toe. Aanleiding is een onafhankelijke controle (audit) die nagaat of de universiteit voldoet aan de gestelde beveiligingseisen en -normen. ‘Wij zijn verplicht gevoelige informatie te beschermen. Vanuit het privacy office is de implementatie getoetst aan de AVG.’

In het verleden is het weleens misgegaan, erkent de universiteit. ‘Het komt vaker voor dat gevoelige informatie terechtkomt bij personen waar dit niet gewenst is, gelukkig wel veelal binnen de universiteit’, zegt Van Overbeeke. ‘Door het onbedoeld doorsturen van Excelbestanden is in het verleden een aantal datalekken opgetreden en gemeld. En ook via openbare Teams en Sharepoints zijn documenten wel eens bij medewerkers terecht gekomen die daar niet bij hadden moeten kunnen komen.’

Bewustwording

Zodoende is het labelen van documenten dus ‘vooral een bewustwordingsinstrument’. Van Overbeeke: ‘De kans dat een willekeurig office-bestand wordt gelekt is weliswaar klein, maar de impact kan groot zijn. Vandaar dat hier maatregelen op worden getroffen die het werk niet onmogelijk maken.’

Wel erkent ze dat er ook mogelijke nadelen aan zitten. ‘Gebruikers die nooit gevoelige informatie verwerken of met persoonsgegevens in aanraking komen, worden geconfronteerd met een functionaliteit die ze niet gebruiken.’ Ook kan het voorkomen dat een document een verkeerde automatische classificatie krijgt en de gebruiker die handmatig moet aanpassen.

Een commissie van de universiteitsraad is in juni middels een PowerPoint-presentatie geïnformeerd over de labels. ‘Vanuit de raad waren er geen principiële bezwaren’, aldus raadslid Michel Vermeer die bij de presentatie aanwezig was.