‘Privacy moet in het DNA van iedere UvA’er komen’
De Algemene Verordening Gegevensbescherming een ver-van-je-bedshow? Nee, zegt Dominique Campman. Hij is projectmanager AVG en helpt de UvA om zo snel mogelijk in overeenstemming met de wet te handelen. ‘Onderzoeksdata willen we natuurlijk goed bewaren, maar als je vanuit het perspectief van de AVG kijkt, moet je die vanaf mei misschien wel direct verwijderen als je een artikel publiceert.’
‘Een van de grootste mijlpalen van de EU,’ zo noemde de Europese Unie het zelf toen zij in 2016 na een jarenlang debat instemde met de Algemene Verordening Gegevensbescherming (AVG). De centrale gedachte achter die AVG is dat mensen meer controle krijgen over hun data en organisaties duidelijker moeten maken wat ze met data doen. Zo hebben burgers een recht om vergeten te worden en moeten organisaties kunnen aangeven welke data ze van iemand hebben.
Op 25 mei treedt de wet in werking en dat betekent dat grote organisaties een eindsprint moeten inzetten om hun beleid in overeenstemming met die AVG te krijgen. Die taak rust aan de UvA tot het einde van dit jaar op de schouders van Dominique Campman. Eerder was hij onder meer Chief Information Officer op de Erasmus Universiteit Rotterdam en manager van een groot managementinformatieproject aan de TU Eindhoven. Hij heeft er alle vertrouwen in dat de UvA op de goede weg is. ‘Als hier op 26 mei iemand binnenloopt, kan ik laten zien dat we aan alle voorwaarden voldoen, of daar binnenkort aan gaan voldoen.’
Wat gaat de AVG precies veranderen?
‘Over het algemeen kun je zeggen dat de belangrijkste verandering ten opzichte van de huidige Wet Bescherming Persoonsgegevens het boetebeding is. Er kunnen meer en hogere boetes opgelegd worden als je niet in overeenstemming met de AVG handelt. Inhoudelijk komt de nadruk meer te liggen op accountability, op verantwoording. Je moet kunnen laten zien wat je doet, waarom je dat doet en waarom dat mag.’
Wat ziet u als uw belangrijkste taak de komende maanden?
‘Het belangrijkste is het updaten van het register van verwerkingen, maar eigenlijk zijn er vier zaken waar ik me mee bezig ga houden.
Allereerst is er dat register van verwerkingen. Wij moeten iedere verwerking van persoonsgegevens registreren. Een verwerking is iedere handeling die iemand uitvoert waar persoonsgegevens bij betrokken zijn. Daarbij moet duidelijk zijn waarom we dat doen, wat de wettelijke grondslag daarvan is, wie de eigenaar van de data is en of we die data bijvoorbeeld delen. De komende weken gaan privacycontactpersonen van alle faculteiten en diensten daarmee aan de slag.’
En verder?
‘Ten tweede moet het privacybeleid en het informatiebeveiligingsbeleid een update krijgen. In het privacybeleid, waaronder we hopelijk op 25 mei een handtekening van de medezeggenschap en het college van bestuur hebben, gaat het bijvoorbeeld over wie er mag beslissen over het delen van data, over beveiligingscamera’s en over cookies. Daarop geven we nu eerst gas. Daarnaast is er het informatiebeveiligingsbeleid, waarin bijvoorbeeld staat welke beveilingsmaatregelen we wanneer nemen. Ik hoop dat dat voor de zomer klaar is.
De verwerkersovereenkomsten zijn het derde punt. Als UvA hebben we veel partijen die met data waarvoor wij verantwoordelijk zijn, dingen doen. Denk bijvoorbeeld aan de leverancier van Canvas. De komende tijd houden we alle bestaande verwerkersovereenkomsten tegen het licht om te zien of ze na 25 mei nog voldoen en kijken we of we meer overeenkomsten moeten afsluiten.’
En nummer vier?
‘Dat is bewustwording. Als grote organisatie zijn we verplicht om bewustwording over privacy te vergroten. Dat is natuurlijk iets van de lange adem, en dat is niet op 25 mei klaar, maar uiteindelijk moet privacy in het DNA van iedere UvA’er komen. De komende weken gaan we daarmee beginnen door informatie over de AVG op de UvA-site te zetten.’
Wat gaan wetenschappers merken van de AVG?
‘Op de korte termijn dus die communicatie-uitingen, maar ik ijver er ook voor om medewerkers concrete handvatten te bieden na 25 mei. Daarbij kun je denken aan een soort checklist die ze kunnen gebruiken als ze plannen voor onderzoeken maken of subsidies aanvragen. De AVG moet een normale stap in hun workflow worden.
Dat is overigens gemakkelijker gezegd dan gedaan, want er zijn nog wel enkele dilemma’s. Denk bijvoorbeeld aan de bewaartermijn van onderzoeksgegevens. Vanuit het oogpunt van wetenschappelijke integriteit zou je die zolang mogelijk willen bewaren om conclusies of hypotheses op een later tijdstip nog te kunnen falsifiëren. Als je echter vanuit het perspectief van de AVG naar de doel-bindingDe AVG stelt dat je data alleen zolang mag gebruiken als het doel rechtvaardigt. Als het bewaren geen doel meer heeft, mogen data niet langer worden bewaard. van het bewaren van data kijkt, moet je die data misschien wel verwijderen op het moment dat een onderzoek is gepubliceerd. Dat zijn moeilijke thema’s waar we over gaan praten, onder meer met de universitaire onderzoekscommissie.’
En studenten?
‘Die gaan vooral veel merken van onze bewustwordingscampagne. Voor hen is het belangrijk om te weten dat we goed met hun persoonsgegevens omgaan en dat we AVG-compliant zijn.’
En dan de hamvraag: gaat het lukken om alles aan de UvA AVG-compliant te hebben op 25 mei?
‘Ja, de UvA is op 25 mei compliant. Op alle vier de punten die ik hierboven aanhaalde hebben we dan grote stappen gezet. Misschien dat niet alle afdelingen klaar zijn met hun register van verwerkingen, en bewustwording is natuurlijk nooit klaar, maar als hier op 26 mei iemand binnenloopt kan ik hem laten zien dat we aan alle voorwaarden voldoen, of daar binnenkort aan gaan voldoen.’
