‘Iedereen krijgt ermee te maken’, legt Patris van Boxel, informatiemanager bij de faculteit Sociale Wetenschappen, uit. Het is eind maart, en ze geeft een presentatie aan de faculteitsraad en bestuursleden van FSW over de nieuwe privacywet, die op 25 mei in zal gaan. ‘Straks komt er een toezichthoudend orgaan dat mag zware boetes mag opleggen. Dat loopt in de miljoenen.’
Op het moment van de vergadering heeft met name de faculteit Sociale Wetenschappen nog een lange weg te gaan. Logisch, want daar werkt men bijna uitsluitend met persoonsgegevens, en de administratieve processen die daarover gaan moeten aan de nieuwe wet worden aangepast.
Volgende week is het 25 mei, en dan vervangt de nieuwe, op Europees niveau besloten Algemene verordening persoonsgegevens (AVG), de oude Wet op bescherming persoonsgegevens (Wbp). De AVG is scherper dan de oude wetgeving, en de boetes zijn hoger: die kunnen oplopen tot 4 procent van de wereldwijde omzet. De universiteit heeft een omzet van 600 miljoen, en zou bij overtreding dus een boete van 24 miljoen riskeren.
Samengevat: volgens de wet hebben overheden en bedrijven meer verantwoordelijkheid om zorgvuldig met hun data om te gaan: het moet veilig bewaard worden, persoonsgegevens moeten worden geregistreerd, en niet langer bewaard dan nodig. Aan de andere kant krijgen mensen meer privacy-rechten: zo mogen ze beroep doen op recht op vergetelheid, dus dat hun gegevens verwijderd worden. En ze mogen hun gegevens inzien, en ook toestemming voor het gebruik makkelijk kunnen intrekken.
‘Dat betekent dat we de software zo moeten inrichten dat we verzoeken tot inzage, wijziging en verwijdering van persoonsgegevens kunnen inwilligen’, zegt woordvoerder Sietzke Vermeulen van het Leids Universitair Medisch Centrum. ‘Het was en is een behoorlijke klus om alle systemen aan te passen hierop, maar als LUMC hadden we wellicht wel al een voorsprong omdat we al langer gewend zijn om te gaan met persoonsgegevens en het beheer op de toegang daartoe, en omdat privacy daarin altijd een aandachtspunt is geweest.’
‘We willen Facebook-toestanden voorkomen. Als een student of medewerker aan ons vraagt: “Zijn mijn gegevens veilig bij jullie?’ Dan moeten we een goed antwoord hebben. En we kunnen ook uitleggen wat we allemaal doen om hun gegevens te beschermen’, zegt Dennis Hoitink, bestuurslid van de faculteit Rechten. Daar gaat een ‘taskforce’ langs alle afdelingen op de faculteit, om te kijken of er veilig wordt gewerkt.
‘Voorkomen moet worden dat persoonsgegevens op straat komen te liggen. Indien tijdens de inventarisatie wordt geconstateerd dat onveilig wordt gewerkt, bijvoorbeeld een pc wordt niet vergrendeld, er wordt gebruik gemaakt van onbeveiligde netwerken, ‘vervuilde’ J-schijven (openbare schijf van universitair medewerkers, red.), dan worden acties genomen om processen veiliger in te richten.’
Een Excel-bestand met studentgegevens via e-mail aan een collega sturen, mag straks niet meer, zegt Emre Sener, student-assistent communicatie en marketing bij de Faculteit Governance and Global Affairs in Den Haag. ‘Ook hebben we gezien dat veel medewerkers bestanden opslaan op hun persoonlijke schijf of in de cloud. Als medewerkers bestanden in Onedrive opslaan, bijvoorbeeld, moet de universiteit een contract afsluiten met dat bedrijf.’
Ook studenten mogen niet zomaar met data thuis op hun laptop zitten. ‘De AVG schrijft voor passende technische en organisatorische maatregelen te nemen bij het verwerken van persoonsgegevens’, mailt universiteitswoordvoerder Caroline van Overbeeke. ‘Dus of er thuis gewerkt mag worden hangt af van in welke mate de laptop van de student beveiligd is en met welk soort gegevens gewerkt wordt. Voor de duidelijkheid, de AVG verbiedt studenten niet om op hun eigen laptop thuis te werken, maar schrijft wel voor dat dit veilig genoeg dient te gebeuren.’
De faculteit Sociale Wetenschappen overweegt tevens aparte cubicles voor studenten die met beeldmateriaal werken: in verband met gezichtsherkenning zou het in het openbaar werken met dit materiaal ook een overtreding kunnen zijn. Van Overbeeke: ‘Daarnaar zijn we nog aan het kijken en kunnen we nu nog geen antwoord op geven.’
En wat zijn de gevolgen als een medewerker nalatig is, en de universiteit een miljoenenboete krijgt? ‘Nalatigheid is een grijs gebied’, aldus Van Overbeeke. ‘Maar bij opzettelijk in strijd met de wet handelen is de kans groter dat de Autoriteit Persoonsgegevens een boete uitdeelt aan de universiteit. Of en hoe deze boete aan een individu doorgerekend wordt, daar hebben we nog geen zich op.’
Is de universiteit er wel klaar voor? ‘We hopen dat dit gaat lukken. Alle benodigde procedures en templates zijn beschikbaar, en nu is het aan alle medewerkers om deze in te zetten. Het is nieuw voor iedereen, en er zal vast nog wel eens iets niet helemaal goed gaan of vragen oproepen, maar daar zitten we bovenop.’
Informatie voor studenten komt binnenkort beschikbaar: ‘Alle procedures en templates worden binnenkort gepubliceerd. Ook komt er een FAQ op de website waarin we antwoord geven op de meest gestelde vragen. Die zullen we werkende weg aanvullen.’
Er is inmiddels een speciale functionaris gegevensbescherming aangesteld, Jasper Casteleijn, die advies geeft over de AVG. Maar hij mag niet met Mare praten, volgens Van Overbeeke vanwege de gevoeligheid van het dossier.
Door Anoushka Kloosterman