Hij reageert op Kamervragen van CDA-leden Jan Jacob van Dijk en Jack Biskop. Laatstgenoemde is wat teleurgesteld over de antwoorden. "Geen sublieme antwoorden", reageert hij tegenover Webwereld. Biskop gaat de kwestie van informatie lekken door scholen en universiteiten komende maand opnieuw aansnijden bij de behandeling van de Onderwijsbegroting.

Eigen verantwoordelijkheid

Minister Plasterk antwoordt dat hij niets gaat doen om scholen en universiteiten beter bewust te maken van de beveiliging van privacygevoelige informatie. "Ik acht een goede naleving van de Wet bescherming persoonsgegevens de verantwoordelijkheid van de instellingen voor hoger onderwijs. Ik heb daarin geen bijzondere rol of bevoegdheid."

"De beveiliging van de informatiesystemen is de verantwoordelijkheid van de instellingen voor hoger onderwijs. De reguliere voorschriften omtrent (de borging van) privacy-gegevens gelden onverkort voor deze instellingen. In die zin zijn de instellingen voor hoger onderwijs niet anders dan andere organisaties die werken met privacy-gevoelige informatie", antwoordt de minister van Onderwijs.

Beheerprobleem?

Op de vraag of de 'lekkende' scholen tekort schieten met hun ict-beheer, kan Plasterk niet ingaan. "Ik kan geen oordeel geven over de wijze waarop de websites van de instellingen zijn beveiligd noch over de oorzaken van een eventueel tekortschieten daarvan."

"Bij een goede naleving door de instelling past ook de verantwoordelijkheid van de instelling voor het treffen van passende, technische en andersoortige, voorzieningen om de privacy van de betrokkenen te beschermen."

Dat bleek laatst niet op orde te zijn, niet alleen bij de Hogeschool Utrecht - die al jarenlang informatie bleek te lekken, maar ook bij andere scholen.

Aangepast en opgelost

Toch wil het ministerie niet een eigen inventaris maken van lekkende sites van onderwijsorganisaties. Plasterk verwijst in zijn antwoorden op de Kamervragen naar de media. Naast Webwereld heeft ook het Onderwijsblad deze kwestie uitgebreid belicht. De minister noemt in zijn antwoorden op de Kamervragen het uitgebreide onderzoek naar intranetlekken bij onderwijsinstellingen dat het Onderwijsblad heeft uitgevoerd en gepubliceerd.

"In enkele gevallen ging het om informatie die door de student – al dan niet bewust – op het internet was geplaatst", sust Plasterk. "Maar in enkele gevallen ging het om informatie die onbedoeld door de instellingen openbaar was gemaakt. Nadat instellingen door de onderzoekers daarop waren geattendeerd hebben deze instellingen hun werkwijze c.q. hun site aangepast."

'Er is aandacht voor'

Hij meent dat de scholen wel degelijk oog hebben voor de beveiliging van informatie van studenten en medewerkers. "Binnen de universiteiten en hogescholen worden hiertoe ook initiatieven en werkzaamheden ontplooid. Zo zijn medewerkers actief in het beveiligen van informatie die vanuit de instelling wordt verspreid."

"Gegevens die door de studenten zelf openbaar worden gemaakt vallen daar uiteraard niet onder." Met dit laatste verwijst hij naar de enkele gevallen waarbij niet de onderwijsinstantie de informatie naar het openbare internet lekte. In de meeste gevallen ging het echter om interne informatie, zoals telefoonnummers, adressen, cijferlijsten, opdrachten, en bij de Utrechtse opleiding journalistiek namen en contactgegevens van anonieme bronnen.

Stichting Surf

Plasterk is toch gerust over huidige gang van zaken. Hij sluit af: "Verder komen (medewerkers van) de instellingen sinds een aantal jaren bijeen om kennis en ervaringen uit te wisselen over informatiebeveiliging in het kader van Stichting Surf. Er wordt informatie uitgewisseld over beveiligingsinbreuken, er wordt voorlichting gegeven aan de aangesloten instellingen op het gebied van beveiliging, zowel incidenteel (bij calamiteiten) als structureel (bijvoorbeeld in het geval van verspreiding van kennis over beveiligingslekken in software)."