Ook voor de universiteit en het wetenschappelijk onderzoek heeft de wet allerlei gevolgen. Onder andere dat de universiteit een functionaris gegevensbescherming moest aanstellen. Per 1 april is dat Marlon Domingus. Hij houdt in de gaten of iedereen op de universiteit de AVG correct naleeft. Want iedereen, medewerkers én studenten, die te maken krijgt met persoonsgegevens, zal zich aan de nieuwe wet moeten houden. En dat heeft consequenties.
Wat verandert er door de invoering van de AVG?
“De privacyprincipes zoals die in de jaren tachtig al bedacht zijn, gelden eigenlijk nog steeds. Wat er echt verandert, is dat je als organisatie aantoonbaar je zaken goed op orde moet hebben. Burgers kunnen veel makkelijker dan voorheen melding maken van een privacyschending. Het komt er eigenlijk op neer dat de bewijslast is omgekeerd. Je moet precies kunnen laten zien wat je doet met persoonsgegevens. En er moet een duidelijke rechtvaardiging zijn, bijvoorbeeld instemming na goede voorlichting, om die gegevens te mogen gebruiken.
“Ook zijn de boetes hoger geworden dan in de oude Wet Bescherming Persoonsgegevens (WBP), tot 4 procent van de omzet van je organisatie, met een maximum van 10 miljoen euro bij een kleine inbreuk. Bij grote inbreuken is het maximum zelfs 20 miljoen. Vooral bestuurders vinden dat heel spannend, omdat zij degenen zijn die dergelijke boetes zullen ontvangen.”
Hoe snel heb je zo’n boete te pakken?
“Als er nu bijvoorbeeld een datalek is, dan gaat de Autoriteit Persoonsgegevens dat onderzoeken. Die kan dan aanwijzingen geven hoe je dit voortaan kunt voorkomen. En vervolgens moet je leren van die fouten. Blijf je echter kleine fouten maken, dan kom je toch in die categorie van 10 miljoen euro. Maar ik verwacht niet direct dat je die boete zal krijgen als iemand een usb-stick kwijtraakt. Bij grote inbreuken moet je denken aan grote datalekken, met bijzondere persoonsgegevens, of de verwerking van zulke gegevens zonder dat je daar een rechtsgrond voor hebt.”
Wat heeft de universiteit de afgelopen maanden gedaan om je voor te bereiden op de AVG?
“We hebben veel campagne gevoerd om de awareness bij onderzoekers en medewerkers te vergroten. We proberen de basiskennis te verbeteren door events en trainingen te organiseren, nieuwsbrieven te versturen en ik schrijf regelmatig blogs. Ook hebben we een afdeling opgezet die alles doet dat nodig is om privacy in de organisatie te kunnen waarborgen. Zo moet elk type van verwerking van persoonsgegevens op de universiteit moet worden opgenomen in een ‘verwerkingsregister’. Daarin staat onder andere wie welke rol en verantwoordelijkheid heeft bij die verwerking en met welke gegevens hij of zij omgaat, wat het doel is en wat de rechtsgrond van deze verwerking is. Als de Autoriteit Persoonsgegevens langskomt, kan ik ze eenvoudig een overzicht laten zien.“
Wat voor consequenties heeft de nieuwe wet voor onderzoekers?
“Wetenschappelijk onderzoek heeft een uitzonderingspositie in de wet. Daarom is er meer mogelijk. De onderzoekers die al veel met persoonsgegevens werken, zoals in de sociale wetenschappen, snappen heel goed hoe gevoelig het ligt. Soms hanteren zij zelfs gedragsregels die strenger zijn dan de AVG. Een deel van de problemen bij onderzoek met persoonsgegevens wordt al opgelost met techniek. Zo hebben we een platform voor het veilig werken met persoonsgegevens; de EUR document vault. In deze volledig versleutelde omgeving ben je als onderzoeker veel meer in controle door de rechten die je aan anderen geeft – en weer kunt intrekken – en monitoring geeft je een goed beeld van wat er met de data gebeurt. Je kunt bijvoorbeeld makkelijk aangeven dat een mapje over vier jaar niet meer beschikbaar is, of alleen voor bepaalde onderzoekers of teamleden van buiten de instelling.
“Als je de technische problemen hebt opgelost, blijven vooral ethische vragen over. Wat wil je onderzoeken, en heb je daar goede reden voor? Zou je het comfortabel vinden als je onderzoeksopzet morgen in de krant zou staan? Zou je je eigen zoon of dochter proefpersoon laten zijn in je eigen onderzoek? Vaak verduidelijken de antwoorden op die vragen al veel.”
Wat gaan studenten merken van de invoering?
“Het volgen van de AVG zal een vast onderdeel worden in de opleiding van studenten. De bedoeling is dat het heel logisch wordt in onderzoek: ook even kijken of je voldoet aan de privacyregels. Een ander vraagstuk zijn learning analytics, het analyseren van studentengegevens om de ondersteuning van het leerproces te verbeteren. Met het nieuwe platform Canvas, dat in september wordt ingevoerd, is dat mogelijk. Maar we gaan eerst alle voor- en nadelen afwegen voordat we zo’n knop aanzetten. Daarom willen we ook van studenten weten wat zij willen. Wat voelt comfortabel en wat niet meer? Dat is ook een van de voorschriften uit de AVG: betrek je doelgroep.”
Kun je nu ook, zoals de AVG voorschrijft, als student opvragen welke gegevens de universiteit over jou heeft opgeslagen?
“Ja, daar is ook een knop voor vanaf de webpagina van het EUR Privacy Statement. M Er zijn wel veel misverstanden over het ‘recht om vergeten te worden’. Als je bijvoorbeeld vraagt om uit onze administratie verwijderd te worden terwijl je hier nog studeert, dan kan dat natuurlijk niet. Het kan alleen als die informatie geen functie meer heeft.”
Kunnen bijvoorbeeld studentenverenigingen nog wel foto’s van een feestje op Facebook zetten na de invoering?
“Natuurlijk, maar het gaat altijd om redelijkheid. Dat geldt voor sociale media in het algemeen. Als wij bijvoorbeeld een evenement hebben, dan kondigen we aan dat we foto’s gaan maken om een impressie te geven op sociale media. En mensen kunnen dan altijd bezwaar maken. Ook moet je nadenken of het publiceren van een foto proportioneel is: staat iemand er heel raar op, schendt je zijn of haar privacy? Je hebt echt geen expliciete toestemming vooraf van alle aanwezigen nodig.”
Voldoet de universiteit op 25 mei aan alle eisen van de AVG?
“Je gaat altijd iemand op de campus vinden die nog van niks weet. En iets anders dat nog niet helemaal rond is, is het veilig werken met telefoons, laptops, tablets. Medewerkers beseffen vaak niet voldoende dat zij een interessante doelgroep zijn buiten de poorten van de EUR door het gebruik van bijvoorbeeld publieke wifi netwerken. En we zijn nog in de weer met het maken van verwerkingsovereenkomsten met sommige softwareleveranciers. In die overeenkomsten moeten we vastleggen hoe die bedrijven met onze persoonsgegevens omgaan. Maar ik verwacht serieus niet dat de Autoriteit Persoonsgegevens maandag op de stoep staat om een boete uit te delen.”
Hebben mensen en organisaties zich onterecht bang laten maken door de AVG?
“Je moet eerst door een hoop onbegrip heen. De AVG is ook lastig te lezen, want het is een norm een geen afvinklijstje. Het is net als met auteursrecht: mensen vinden het vervelend en lastig, maar uiteindelijk is het er om je te helpen en te beschermen. Uiteindelijk moet je je gezond verstand gebruiken, en handelen zoals je zelf behandeld wilt worden.”
Mocht je vragen hebben over de AVG, dan is Domingus altijd te bereiken op [email protected].
