Nieuws
Zorgen over ?te openhartige? software
Het universitaire reisboekprogramma ATP toont je collega’s je adres en paspoortnummer. Wetenschappers maken zich zorgen om hun privacy.
woensdag 28 maart 2012

Sterrenkundige Anthony Brown is al een paar maanden bezig om het recht te zetten, maar echt vaart zit er niet in. ATP, het reisboekprogramma van de Universiteit Leiden, is wat hem betreft te openhartig. 'Als je een boeking wil maken, wil het programma je gegevens hebben: naam, geboortedatum, adres, paspoortnummer. Die kun je opslaan als een profiel. Als je dat hebt gedaan, kun je een lijst met alle profielen binnen je faculteit zien, met al die informatie erin.'

Brown maakt zich zorgen dat dit het plegen van identiteitsfraude wel erg gemakkelijk maakt: 'Ik weet ook niet hoe ik dat toe zou passen, maar het hebben van deze gegevens is een eerste stap. De manier waarop ATP te werk gaat, geeft mij weinig vertrouwen in de de zorgvuldige omgang met mijn gegevens. Zo was de login eenvoudig te raden als je iemands voornaam wist. Dit moet softwarematig veiliger in te richten zijn.'

Accountmanager Erick Outshoorn van ATP geeft hem gelijk. 'Als de universiteit dat wil, doen we het graag.' De reden dat alle gegevens zichtbaar zijn, is dat de universiteit daarvoor heeft gekozen. 'Zo kunnen de secretaresses handig in één keer voor de hele groep boeken. Bij onze andere klanten heeft overigens niemand daar problemen mee, maar bij universiteiten ligt dat blijkbaar anders', aldus Outshoorn.

Maar zou het dan niet mogelijk zijn om de software zo in te stellen dat alleen de secretaresses alle gegevens kunnen zien, in plaats van de hele faculteit? 'Als de universiteit dat wil, doen we het graag. Maar dat is niet iets dat we met één druk op de knop kunnen veranderen, dat wordt een hoop werk.'

Dat roept de vraag op waarom de universiteit het zo wilde hebben, en of ze de aanpassing zou overwegen nu er klachten zijn gekomen. Inkoper Gerard de Bruin van het Universitair Facilitair Bedrijf wil daar niet op ingaan, en speelt de bal door naar universitaire persvoorlichter Renee Merkx.

Die beaamt Outshoorns verhaal: de universiteit heeft voor deze aanpak gekozen, zodat iemand boekingen kan doen voor anderen. 'Als iemand een reis wil boeken, moet dat via ATP. Maar dat kan ook via e-mail of telefonisch, zonder een profiel aan te maken. Je hoeft je gegevens dus niet te delen, maar dat kost je iets meer moeite.' Volgens haar zitten grote veranderingen in het privacybeleid er niet in.

Aan de bètafaculteit is in elk geval al wel iets veranderd: de profielen zijn alleen nog zichtbaar op instituutsniveau. Anthony Brown kan nu dus alleen nog maar de gegevens van zijn Sterrewacht-collega's zien. Daar werken ongeveer honderd mensen. BB