Achtergrond

Invoering nieuwe privacywet is ‘behoorlijke klus’

Studenten en medewerkers moeten vaker toestemming geven voor het opslaan van gegevens.

Ook bij de HU is een betere bescherming van de privacy nodig, en wel per 25 mei aanstaande. Vanaf dan geldt de wet Algemene Verordening Gegevensbescherming (AVG). Wat er daardoor verandert? Dirk Jongkind, projectleider Inventarisatie Maatregelen AVG, legt het uit. 

Ruwweg 80 procent van de nieuwe privacywet komt overeen met de bestaande Wet Bescherming Persoonsgegevens. Maar groot verschil is dat het aantal rechten is toegenomen van personen waarvan persoonsgegevens worden vastgelegd.

Individuen hebben bijvoorbeeld meer rechten om opgeslagen informatie in te zien, te wijzigen of te laten verwijderen. ‘De toename van de rechten betekent dan ook dat de verantwoordelijkheden van organisaties groter worden en daarmee ook voor de Hogeschool Utrecht’, zegt Jongkind.

‘Bij de hogeschool zijn gegevens opgeslagen van minstens honderdduizend betrokkenen’

Wat gaat een student hiervan na 25 mei merken?
‘Zij krijgen nadrukkelijker de vraag om toestemming te geven voor het verwerken van bepaalde gegevens. Zij moeten bijvoorbeeld bij gesprekken met decanen toestemming verlenen om persoonsgegevens op te slaan. Deze gesprekken hebben vaak een persoonlijk karakter. De student wordt gevraagd om akkoord te gaan met het vastleggen van de informatie, op voorwaarde dat de hogeschool daar verantwoord mee omgaat. Tot nu toe ging dit vooral mondeling en nu wordt het geformaliseerd.’

Van wie heeft de HU allemaal gegevens?
‘Bij de hogeschool zijn gegevens opgeslagen van minstens honderdduizend betrokkenen. Dan hebben we het over studenten, alumni, medewerkers en ex-werknemers, jongeren die zich hebben ingeschreven op open dagen en mensen van stagebedrijven. Ook als mensen op de site van de HU zoeken naar een opleiding worden er via cookies gegevens vastgelegd.’

En de opslag van gegevens wordt met de nieuwe wet strenger?
‘De website van de hogeschool vraagt nu al toestemming of het de cookies mag gebruiken. Dat is verplicht, maar het wordt inderdaad strenger. Ook mogen er geen persoonsgegevens meer worden verwerkt zonder dat er een reden, een grondslag voor is. Dit moet verbonden zijn aan een doel. Daarnaast zal de betrokkene toestemming moeten verlenen voor het opslaan van persoonsgegevens.’

‘Het is goed dat de veiligheid bij het verwerken van persoonsgegevens verbetert en er voorwaarden aan worden gesteld’

Dat zal de bureaucratie doen toenemen?
‘Dat zal meer worden. Aan de andere kant is het goed dat de veiligheid bij het verwerken van persoonsgegevens verbetert en er voorwaarden aan worden gesteld. Kijk naar de affaire van Cambridge Analytica, het bedrijf dat gegevens van miljoenen Facebook-gebruikers in handen wist te krijgen, zonder toestemming van betrokkenen. Dat daar strenge regelgeving voor komt, daar kan ik het alleen maar mee eens zijn.’

‘We moeten goed omgaan met persoonsgegevens, niet alleen omdat er een wet is, maar het is ook een morele plicht naar alle betrokkenen. Het verantwoord en veilig omgaan met persoonsgegevens moet vanzelfsprekend zijn en onderdeel zijn van onze cultuur en ons gedrag.’

Is de HU klaar voor de nieuwe privacywet?
‘We hebben grote stappen gemaakt. De hogeschool voldoet aan de verplichtingen uit de nieuwe wet. Er is een functionaris gegevensbescherming benoemd en binnenkort lanceren we een privacydesk waar mensen terecht kunnen met vragen. De AVG schrijft verder voor dat er een inventarisatie en analyse moet komen van de risico’s van de opslag en het verwerken van persoonsgegevens en wat voor maatregelen er nodig zijn om dit veilig te doen. Dat hebben we inmiddels gedaan.’

‘Als een medewerker de HU verlaat moet informatie over functioneringsgesprekken verwijderd worden’

‘Maar nog niet alle maatregelen zijn genomen. De wet wil bijvoorbeeld dat organisaties dataminimalisatie invoeren: dit betekent onder meer dat een naam of andere persoonsgegevens maar op één plek worden opgeslagen en niet in meerdere systemen en documenten voorkomt. Dit om het risico op datalekken te verkleinen en een grotere garantie te hebben op de juistheid van persoonsgegevens. Maar dit is een complexe operatie en gaat gepaard met de nodige investeringen en tijd.’

Wat kan er verder nog beter?
‘Als voorbeeld : Op een aantal punten kan de archivering beter. De HU is met de invoering van de nieuwe wet verplicht om gegevens die niet meer nodig zijn te verwijderen. Dat geldt voor zowel digitale data als fysieke documenten. Voor de fysieke archieven kan dit een tijdrovende bezigheid zijn. Denk aan werkstukken, stageverslagen en noem maar op. Alle archieven moeten handmatig worden doorgespit.’

Voor sommige documenten geldt een bewaarplicht van enkele jaren.
‘De AVG omschrijft grondslagen waarop persoonsinformatie opgeslagen kan worden. Er moet een belang zijn om persoonsgegevens vast te leggen, met een mooie woord heet dit doelbinding. Diploma’s en werkstukken van studenten bijvoorbeeld vanwege de wettelijke bewaarplicht. Maar als een medewerker de HU verlaat, dan moet bijvoorbeeld informatie over functioneringsgesprekken en dergelijke verwijderd worden. Het is een behoorlijke klus om dit allemaal uit te zoeken.’

‘Ander voorbeeld. Sommige medewerkers sturen een kaartje na de geboorte van hun kind aan de Dienst Human Resources. Deze kaartjes werden in het verleden bewaard, dit mag niet meer en ze moeten (indien nog aanwezig) worden verwijderd.’

Advertentie

JMW Vind hier jouw bijbaan

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *