Privacy Statements
Privacyverklaring Admin by Request
10-11-2022
In deze privacyverklaring leggen we uit wat er gebeurt met jouw persoonsgegevens wanneer deze worden verwerkt bij het gebruik van de Admin by Request tool om tijdelijk lokale administrator rechten aan te vragen op het door de UU beheerde apparaat.
Wie is er verantwoordelijk voor de gegevensverwerking?
De Universiteit Utrecht, gevestigd aan de Heidelberglaan 8, 3584 CS Utrecht, is verantwoordelijk voor de verwerkingen die worden omschreven in deze privacyverklaring.
Voor welke doeleinden worden mijn persoonsgegevens verwerkt?
De persoonsgegevens worden voor verschillende doeleinden gebruikt. Het SolisID wordt verwerkt en gebruikt als uniek identificatienummer waaraan de local admin rechten tijdelijk worden toegekend.
Het email adres wordt verwerkt om updates te versturen over het proces, zoals een bevestiging van de aanvraag en de goed- of afkeuring van de aanvraag.
Tevens worden er soft- en hardware gegevens verzameld, waaronder ook locatiedata. Deze data worden verzameld om malafide IP-adressen te identificeren en te weren van het UU-netwerk.
Wanneer de local admin sessie gestart wordt, worden alle acties waarvoor deze verhoogde rechten voor nodig zijn bijgehouden, bijvoorbeeld bij het installeren of verwijderen van programma’s of applicaties. Deze informatie wordt bijgehouden om achteraf onderzoek uit te voeren in het geval van een incident.
Welke persoonsgegevens worden verwerkt?
De volgende gegevens worden verwerkt wanneer je gebruik maakt van Admin by Request:
- Solis-ID;
- Geografische locatie (middels het IP adres);
- Mailadres;
- Logging van het gebruik van de verhoogde rechten.
Hoe lang worden deze persoonsgegevens bewaard?
Alle verzamelde persoonsgegevens worden 90 dagen bewaard.
Worden mijn gegevens gedeeld met derden?
De persoonsgegevens worden gedeeld met de leverancier, FastTrack. FastTrack verwerkt alle gegevens in opdracht van Universiteit Utrecht. De Universiteit Utrecht heeft een verwerkingsovereenkomst gesloten met FastTrack waarin afspraken zijn gemaakt over een zorgvuldige verwerking van de persoonsgegevens door FastTrack.
Worden mijn gegevens doorgegeven naar derde landen?
Nee, de gegevens worden niet doorgegeven naar derde landen buiten de EER.
Wat is de wettelijke grondslag van deze gegevensverwerking?
De wettelijke grondslag die gebruikt wordt voor het verwerken van deze gegevens is het gerechtvaardigde belang. Voor deze grondslag is het volgende overwogen:
- Belangen van de Universiteit Utrecht
Admin by Request software stelt de Universiteit Utrecht in staat om acties waar verhoogde toegangsrechten voor nodig zijn centraal te beheren, monitoren en te controleren. Middels deze software kunnen local admin rechten als service aan eindgebruikers geleverd worden, waardoor het aantal door de UU beheerde apparaten met standaard local admin rechten tot een minimum kan worden beperkt. Dit verminderd de risico’s die komen kijken bij vrijere toewijzing en toepassing van de local admin rechten en verbetert de beveiliging van de UU IT infrastructuur.
- Belangen van de betrokkenen
Het belang de betrokkene, de eindgebruiker, het belang van de betrokkene is dat hun privacy belangen gewaarborgd worden en er geen of zo min mogelijk persoonsgegevens over hen verwerkt worden. Daar waar het toch noodzakelijk is om persoonsgegevens verzameld worden is het van belang voor de betrokkene dat dit op een zorgvuldige manier gebeurt.
Door levering van deze dienst wordt de kans verkleint dat een eindgebruiker per ongeluk malafide software installeert en daarmee de organisatie schade toebrengt. Dit heeft als ook als gevolg dat de werkomgeving van alle eindgebruikers veiliger wordt.
- Overwegingen
Het gebruik van de Admin by Request software komt met name de beveiliging van de IT omgeving van de Universiteit Utrecht ten goede doordat de verhoogde toegangsrechten niet meer zomaar beschikbaar komen op de beheerde apparaten. Het toekennen van verhoogde rechten wordt met deze service via een gereguleerd proces toegekend waarbij dit alles goed wordt bijgehouden en er ingegrepen kan worden indien er acties uitgevoerd worden die de IT infrastructuur van de universiteit in het geding kan brengen.
De eindgebruikers profiteren indirect van een beter beveiligde IT omgeving, waarin gebruikers niet zomaar ongereguleerd potentieel kwaadaardige software op het netwerk kunnen installeren of laten draaien.
Het reduceren, beheren en inzichtelijk maken van het gebruik van de local admin rechten kan niet op een minder ingrijpende of meer passende manier ingevoerd worden dan in een centraal beheerde portal. Het risico van ongereguleerd gebruik van deze verhoogde rechten brengt beveiligingsrisico’s met zich mee die niet opwegen tegen de voordelen van dit ongereguleerde gebruik. Met deze software worden alleen noodzakelijk gegevens verzameld om het gebruik van kwaadaardige software te weren en een audit trail op stellen voor onderzoeksdoeleinde. Daarnaast worden deze verregaande gegevens alleen verzameld gedurende een beperkte periode waarin de verhoogde rechten geactiveerd worden, deze periode kan gestart en vroegtijdig beëindigd worden door de eindgebruiker. Het is altijd duidelijk wanneer deze gegevens verzameld worden.
Gezien het bovenstaande kan niet anders geconcludeerd worden dan dat het gerechtvaardigde belang van de Universiteit Utrecht slaagt.
Welke rechten heb ik volgens de AVG en hoe kan ik deze uitoefenen?
Als betrokkene heb je bepaalde rechten. Namelijk het recht op inzage, het recht op rectificatie van persoonsgegevens, het recht op gegevenswissing, het recht op beperking van verwerking, het recht op bezwaar. Mocht je gebruik willen maken van deze rechten, dan kunt je jouw verzoek richten aan Privacy@uu.nl. Het kan voorkomen dat tijdens deze procedure om identiteitsbewijzen wordt gevraagd.
Wanneer je bezwaar maakt, zal er van geval tot geval bekeken worden of aan dit bezwaar kan of moet worden voldaan. De Universiteit Utrecht staakt de verwerking van persoonsgegevens tenzij er dringende gerechtvaardigde gronden aangevoerd worden die zwaarder wegen dan jouw belangen, rechten en vrijheden.
Is er sprake van geautomatiseerde besluitvorming of profilering?
Er is geen sprake van geautomatiseerde besluitvorming. Dat wil zeggen dat er nooit besluiten worden genomen zonder menselijke tussenkomst. Er is ook geen sprake van profilering.
Vragen
Als u vragen heeft over dit privacy statement, dan kan u die stellen aan privacy@uu.nl. Wilt u een klacht indienen? Dan kan dat bij de functionaris voor gegevensbescherming van de Universiteit Utrecht, te bereiken op fg@uu.nl. Het staat u ook altijd vrij om een klacht in te dienen bij de Autoriteit Persoonsgegevens, de privacy waakhond van Nederland.
