Halverwege de maand mei stroomden de e-mailboxen van heel Nederland vol met verzoeken tot toestemming gegevensgebruik en privacyverklaringen. Het kan u dan ook moeilijk ontgaan zijn dat op 25 mei 2018 de Algemene verordening gegevensbescherming (AVG) van kracht is gegaan. We zijn nu enkele maanden verder en blikken samen met Dominique Campman terug op het voorbereidingstraject binnen één van de hoger onderwijsinstellingen.
Dominique Campman startte begin 2018 via Fundatis als projectmanager voor het voorbereidingstraject AVG bij de Universiteit van Amsterdam (UvA). Omdat het compliant worden aan de AVG meerdere jaren in beslag zal nemen en een continue activiteit is, ondersteunt Dominique de UvA hier tot het einde van het jaar bij.
Wat, wanneer, waarom
De Europese Algemene verordening gegevensbescherming verving op 25 mei 2018 de Nederlandse Wet bescherming persoonsgegevens (Wbp). De AVG stelt regels voor de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens. De AVG gaat uit van een aantal basisprincipes zoals rechtmatigheid, zorgvuldigheid, transparantie, vertrouwelijkheid, integriteit en dataminimalisatie. “Er heerst een AVG-kramp, dat niks meer mag en niemand wat durft,” vertelt Dominique. “Dit is niet nodig, want deze beginselen waren ook terug te vinden in de Wbp en golden al tien jaar. Wat er daadwerkelijk is veranderd? Het transparant zijn en meer verantwoording moeten kunnen afleggen én het boetesysteem.” Het zorgvuldig om moeten gaan met de persoonsgegevens is dus eigenlijk niet nieuw. “De AVG zorgt ervoor dat er meer besef is over het feit dat het gaat om de gegevens van een ander en het dwingt ons om daadwerkelijk zorgvuldig om te gaan met deze gegevens.”
Belang van privacy
De gemiddelde mens is wellicht niet dagelijks bezig met het thema privacy en de verwerking van zijn/haar persoonsgegevens. Wel lijkt het erop dat dit thema steeds meer ter sprake komt en discussie opwekt. Dat is niet slecht, vindt Dominique: “Privacy is een groot goed. Ik merk dat de AVG een lastig onderwerp is, maar daarbij kom ik er steeds meer achter dat het erg belangrijk is. Sommigen zien de AVG als rem, terwijl anderen er juist de voordelen van inzien. Er zijn nu al andere landen buiten Europa die meer willen weten over de General Data Protection Regulation, oftewel de AVG. Privacy is onbezorgd jezelf kunnen zijn en voor een vrij land is dat van onschatbare waarde.”
De 10 belangrijkste stappen
De meeste hoger onderwijsinstellingen in Nederland werken met het door de Autoriteit Persoonsgegevens opgestelde tien-stappenplan. Bewustwording en communicatie spelen een belangrijke rol in dat stappenplan. Daarnaast zijn er strengere regels en hebben de personen waarvan persoonsgegevens verwerkt worden meer rechten gekregen. Daarbij is het van belang geworden om alle gegevensverwerkingen in kaart te brengen, toestemming te vragen aan de betrokken personen en het doel voor het verzamelen van deze informatie te beschrijven en kenbaar te maken. Dominique vult aan: “Er gelden een aantal basisbeginselen, zoals 1) verzamel niet meer gegevens dan nodig voor het doel, 2) gebruik gegevens nooit voor een ander doel dan waarvoor ze verzameld zijn, 3) bewaar gegevens niet langer dan nodig en 4) houd gegevens vertrouwelijk en beschermd.”
Hoe verder in een grote instelling
Een onderwijs- en onderzoeksinstelling verwerkt heel wat persoonsgegevens. Je denkt hierbij vaak eerst aan de informatie over studenten en docenten, maar net zo belangrijk zijn bijvoorbeeld gegevens uit onderzoeken of gegevens die te maken hebben met HRM. Dominique schetst een voorbeeld uit de praktijk: “Vorig jaar gaf de UvA een waardebon als kerstcadeau. Hiervoor moest je vooraf je geboortedatum invullen. Op die manier kon het aanbod gepersonaliseerd worden. Het lijkt iets kleins, maar het illustreert wel dat het opvragen en verwerken van persoonsgegevens overal voorkomt. Op grote en op kleine schaal. Ik krijg hierdoor binnen deze opdracht heel veel “mag-dat?”-vragen.”
Bij de UvA hebben ze daarom besloten te werken met workshops. Dominique legt dit uit: “We werken met de methode ‘teach them to fish’. Hiermee leert men zelf om te gaan met AVG gerelateerde zaken in plaats van dat er kant-en-klare oplossingen worden aangeboden. Je moet je hierbij twee dingen afvragen: 1): “Mag het?” en 2): “Doe ik het zorgvuldig?” Bij de eerste vraag bepaal je het doel van de verwerking van de specifieke gegevens en bepaal je op welke grondslag je dat doet. Ook kijk je hier kritisch naar het ‘waarom’. Hebben we de gegevens niet al? Kan het ook niet op een minder privacygevoelige manier? Bij de tweede vraag kijk je vooral naar de zorgvuldigheid. Heb je echt alle data nodig? Hoe zorg je ervoor dat je de gegevens niet langer bewaart dan strikt noodzakelijk? Hoe organiseer je de autorisaties van de personen goed? En ten slotte: op welke wijze sla je de gegevens op? In het voorbeeld van het kerstcadeau kun je makkelijk werken aan dataminimalisatie; je hoeft niet de exacte leeftijd van iemand te weten. Je zou ook met categorieën kunnen werken, bijvoorbeeld 20 tot 30 jaar, 30 tot 40 jaar, etcetera. De informatie is op die manier minder specifiek en dus geminimaliseerd.”
Moeilijkheden
Iedere vraag die opkomt is uniek en vergt denkwerk en interpretatie over hoe de gegevensverwerking AVG-compliant gemaakt kan worden. “Het maakt eigenlijk niet uit of je bedrijf of instelling groot of klein is, het gaat om de impact en het risico in het licht van de persoonsgegevens,” zegt Dominique. Hij neemt ons hierin mee door een aantal voorbeelden te geven: “Bij de UvA worden zo’n 10.000 onderzoeken per jaar uitgevoerd. De onafhankelijke Functionaris Gegevensbescherming (FG) moet deze onderzoeken goedkeuren, want het gaat in de onderzoeken vaak om verwerking van persoonsgegevens. Dat is niet haalbaar, dus is er bij de UvA besloten een register te maken waarop gefilterd kan worden op risico. Op die manier hoeft de FG alleen de onderzoeken met de grootste risico’s te beoordelen. Een ander voorbeeld komt uit de pedagogische opleidingen. Vanwege didactische beweegredenen nemen studenten zichzelf op tijdens het lesgeven. Op dit filmmateriaal zijn dan ook leerlingen te zien. Het is in zo’n voorbeeld een lastige vraag aan wie je autorisatie moet vragen: aan de leerling zelf, de school of de ouders? Maar denk ook aan de vele kleine (cloud-)applicaties die worden gebruikt binnen grote instellingen, de vele workflows die bestaan binnen een universiteit waarin gegevens ‘zomaar’ van de ene op de andere plek terecht komen, of aan je e-mailbox. Dat gebruiken we ten slotte ook vaak als archief.” De uitdagingen op het gebied van privacy kennen dus vele verschijningsvormen, maar het de combinatie van het tien-stappenplan en het geven van workshops kan hier binnen de instelling op gedegen wijze invulling worden gegeven aan het voorbereidingstraject.
Download hier de: pdf