Privacy Contact Personen
De Universiteit Twente heeft Privacy Contact Personen (PCP’s) aangesteld binnen elke faculteit en dienst. De PCP’s adviseren hun eigen eenheid over privacy en informatiebeveiliging en zijn binnen de eenheid het eerste aanspreekpunt. De PCP's ondersteunen hiermee de taken van het FG-team (zie hierna) en vormen de schakel tussen het FG-team en de UT-medewerkers. De PCP’s en het FG-team overleggen periodiek om elkaar op de hoogte te brengen over beleidsmatige ontwikkelingen en acties uit te zetten om te voldoen aan de geldende wetgeving. De belangrijkste taken van de PCP’s zijn:
- ondersteunen van de houder van een gegevensverwerking bij het melden hiervan bij het FG-team;
- optreden als adviseur, trainer en privacy-vraagbaak binnen de eenheid;
- (laten) uitvoeren van een Privacy Impact Assessment (PIA) voor nieuwe gegevensverwerkingen;
- betrokken zijn bij de afhandeling van datalekken en andere beveiligingsincidenten.
Functionaris Gegevensbescherming
Voor de bescherming van persoonsgegevens is het aanstellen van een Functionaris Gegevensbescherming (FG) wettelijk verplicht. De FG houdt toezicht op de toepassing en naleving van privacywetgeving in de hele organisatie. De FG heeft onder andere de volgende taken:
- advies en voorlichting geven aan verantwoordelijke beheerders en verwerkers over de verplichtingen van privacy en het verwerken van persoonsgegevens;
- overzicht houden op gegevensverwerkingen binnen de UT en erop toezien dat deze voldoen aan de wettelijke eisen;
- adviseren van medewerkers, onderzoekers en studenten over privacy vragen;
- behandelen van klachten over het gebruik van persoonsgegevens;
- toezicht houden op het documenteren van inbreuken op persoonsgegevens en, waar nodig, deze melden bij de Autoriteit Persoonsgegevens en aan betrokkenen
Information security Officer
De Information Security Officer (ISO) maakt deel uit van Universitair Informatie Management en functioneert op strategisch en tactisch niveau. De ISO adviseert samen met het hoofd Informatiemanagement het CvB. Zij formuleert het informatiebeveiligingsbeleid en helpt bij een juiste vertaling daarvan naar instellingsonderdelen. Daarnaast ziet de ISO toe op de uniforme naleving van het beleid en rapporteert over lacunes, inconsistenties en onvolkomenheden hierin.
IT Security Manager
De IT Security Manager is gepositioneerd binnen LISA en vervult een belangrijke rol bij de vertaling van de strategie naar tactische (en operationele) plannen. Dit doet hij in overleg met de Information Security Officer.
De IT Security Manager is de coördinator van CERT-UT. Tevens adviseert hij over specifieke informatiebeveiligingsmaatregelen in projecten, variërend van allerhande staande projecten tot acquisities van bijvoorbeeld software of hardware. Ieder kwartaal wordt een managementrapportage opgesteld voor het LISA-MT, de Information Security Officer, het hoofd Informatiemanagement en het CvB.
Daarnaast is de IT Security Manager aanspreekpunt voor HR bij het uitvoeren van crisisoefeningen op de UT wanneer deze een IT component bevatten.
CERT-UT
Het Computer Emergency Response Team van de Universiteit bestaat uit IT professionals van LISA. Zij onderzoeken alle meldingen op het gebied van security en privacy en schakelen de benodigde (technisch) specialisten in om de melding op te lossen. Wanneer een melding een privacy-aspect heeft, wordt rechtstreeks samengewerkt met het FG-team. Incidenten die betrekking hebben op werkplekken of devices van medewerkers worden opgepakt door de ICT servicedesk van LISA.
CERT-UT onderhoudt ook contacten met teams van andere (onderwijs) instellingen en met SURFcert, het overkoepelende, coördinerende team van SURF.
Servicedesk ICT
De Servicedesk ICT is onderdeel van LISA en eerste aanspreekpunt voor incidenten die niet aan security of privacy zijn gerelateerd. Blijkt een bij de Servicedesk ICT gemeld incident toch één van deze componenten te bevatten, nemen zij contact op met CERT-UT.