Foto: @ Pexels – Kampus Production
De Universiteit Utrecht (UU) en SURF hebben Microsoft ertoe gebracht wereldwijd een fundamentele aanpassing aan te brengen in de beveiliging van Windows. De aanleiding was een ongewenste werking van BitLocker, de schijfencryptie in Windows die automatisch gegevens op een apparaat of schijf versleutelt om ze te beveiligen tegen ongeautoriseerde toegang.
In 2023 werd BitLocker geactiveerd bij de UU. Voor studenten die op hun privélaptops gebruikmaakten van de Microsoft-licentie van de universiteit, werd BitLocker ook automatisch aangezet, zonder dat de UU hiervoor had gekozen. Wanneer de studenten hun versleutelde pc’s weer wilden gebruiken, moesten ze ermee naar de universiteit. Want die had als licentiehouder de digitale sleutel om de toegang te herstellen.
Een student legt de vinger op de zere plek
In de zomer van 2023 nam een student van de UU voor dit probleem contact op met de IT-servicedesk. De universiteit concludeerde dat het principieel onjuist was dat privélaptops werden geblokkeerd door een beveiliging van de instelling. Die heeft immers geen zeggenschap over de privégegevens van studenten. Bovendien geeft de situatie veel ergernis en ongemak zolang het dataslot in werking is.
De UU was niet de enige die het probleem signaleerde. Dit bleek uit gesprekken van Jonas Folkers, privacy officer bij de UU, met andere onderwijsorganisaties. Hij zocht contact met SURF om het issue als collectief bij Microsoft aan te kaarten.
“We hebben het ingestoken als een privacyvraagstuk”, zo vertelt hij. Op die manier kon het probleem worden neergelegd bij de juridische afdeling van Microsoft, als eis tot verandering, in plaats van als featureverzoek bij de serviceafdeling. “We stelden dat deze case berustte op een onrechtmatige verwerking van persoonsgegevens. Microsoft handelde niet in opdracht van de onderwijsorganisatie en maakte deze ongevraagd eindverantwoordelijk voor het zonder toestemming toepassen van de versleuteling.”
Microsoft past Windows aan
Microsoft erkende het probleem en kwam eerst met een quick fix. Die bestond uit een programmaatje waarop studenten met hun UU-authenticatie konden inloggen. Hiermee konden ze vervolgens de herstelcode downloaden, en opslaan op een plek waar ze zelf toegang toe hadden. Folkers zegt dat deze oplossing niet is ingezet. “We wilden onze studenten niet aanleren dat ze inloggegevens moeten invoeren in een programmaatje dat via e-mail is aangeleverd. Dat gaat in tegen de best practices op het gebied van informatiebeveiliging.”
