Back to list All Articles Archives Search RSS Terug naar lijst Alle artikelen Archieven Zoek RSS

Nieuwe privacywet dwingt tot beter opletten

Nieuwe privacywet dwingt tot beter opletten

Photographer:Fotograaf: Pixabay

Wettelijk verandert er niet zo veel

MAASTRICHT. “Paniek is niet nodig, maar je moet goed voorbereid zijn.” Dat zegt Raoul Winkens, de wettelijk verplichte functionaris gegevensbescherming over de gevolgen van de invoering van de nieuwe Europese privacywetgeving bij de Universiteit Maastricht, afgelopen 25 mei.

Wat zegt hij nog meer? Iets wat voor de gewone burger/medewerker nogal opmerkelijk klinkt. Want die nieuwe Algemene Verordening Gegevensbescherming, de AVG, is de laatste weken zo indringend in het nieuws geweest, mensen krijgen zo veel mails van instanties waarvan ze niet eens wisten dat ze in hun bestand zaten, dat die AVG niets meer of minder dan een aardverschuiving lijkt te betekenen voor een instelling als een universiteit.

Maar Winkens blijft stoïcijns: “Voor de UM verandert er eigenlijk heel weinig. Wat niet mag, mocht ook al niet onder de oude privacywetgeving.” Zoals? “Neem een secretariaat waar de persoonsgegevens van mensen ongeoorloofd in een Excel-bestand worden bijgehouden, zonder dat er een termijn is vastgesteld dat ze verwijderd worden. Omdat dat zo handig is. Zoiets was al niet toegestaan, en is het nu ook niet.”

Wat ook niet mocht, en mag, is bijvoorbeeld een e-mail bewaren van jaren geleden waarin het cv van iemand is bijgevoegd. Winkens: “Als het om sollicitaties gaat; een cv van iemand die niet in de prijzen viel moet je, als de procedure eenmaal is afgerond, binnen vier weken verwijderen. Als je denkt dat iemand later nog voor een andere functie in aanmerking kan komen mag je het iets langer bewaren. De Autoriteit Persoonsgegevens vindt een jaar lang zat. En dan nog alleen met toestemming van de kandidaat.”

Het probleem met de oude privacywetgeving, de Wet bescherming persoonsgegevens uit 2000, was dat die nauwelijks bekend was, lange tijd geen sancties kende - pas sinds 2016 - en dus volgens NRC Handelsblad “op grote schaal genegeerd werd”.

De nieuwe wet daarentegen zal, zo belooft de Autoriteit Persoonsgegevens (AP), actief gehandhaafd worden. Daarvoor heeft die dienst meer personeel ingehuurd en zijn taken en bevoegdheden uitgebreid. En de boetes die uitgedeeld mogen worden zijn niet alleen in alle EU-staten geharmoniseerd, maar ook nog eens hoger dan voorheen. Maximaal zelfs 4 procent van de omzet, of twintig miljoen euro. Voor de UM zou die 4 procent 16 miljoen euro betekenen.

Maar dat is echt een ultimum remedium. De AP, legt Winkens uit, heeft een groter repertoire aan sancties dan alleen boetes: waarschuwingen, aanbevelingen, een verbod op de verwerking van bepaalde gegevens, enzovoorts, oplopend in zwaarte dus.

Onderdeel van het verscherpte toezicht is de verplichte aanstelling bij grotere instellingen en bedrijven van een functionaris gegevensbescherming, de FG. Die houdt in de gaten of de wet wordt nageleefd. Winkens doet dat hier bij de UM. Krijgen betrokkenen (studenten, medewerkers, proefpersonen, anderen) te horen welke gegevens van hen worden verzameld en is daar toestemming voor gevraagd? En voor welk doel? En worden die data niet te lang bewaard? Wie heeft er toegang toe? Uiteindelijk moet de UM, en haar verschillende onderdelen, kunnen aantonen dat men voldoet aan de eisen van de wet. “Dat zal nooit 100 procent zijn”, zegt Winkens, “mensen maken nu eenmaal fouten, maar je moet laten zien dat er een privacybeleid is.”

De FG doet meer: hij informeert medewerkers, hij adviseert, hij geeft trainingen. Belangrijk is dat hij onafhankelijk is. Winkens is weliswaar in dienst bij de UM maar “als bazen het niet met mijn handelwijze eens zijn, heeft dat geen consequenties voor mijn positie. Zoals dat bijvoorbeeld ook voor de veiligheidsfunctionaris geldt.”

Als Winkens een probleem signaleert gaat hij daarmee naar het college van bestuur. Vangt hij daar onverhoopt bot, dan kan hij naar de universiteitsraad, naar de raad van toezicht, en in laatste instantie naar de Autoriteit Persoonsgegevens. Maar dat is zeer hypothetisch, “als je naar de AP stapt is het eigenlijk al te ver”, zegt hij.

Er mag dan wettelijk gezien niet zo heel veel veranderen, de benodigde grote omslag zit hem vooral in de bewustwording, zegt Winkens. “Medewerkers zullen zorgvuldiger moeten zijn. Geen persoonsgegevens op een onbeveiligde usb-stick bewaren, geen gegevens opslaan in zoiets als je particuliere Dropbox, geen kopieën bewaren als dat niet nodig is, en zo ja, dan in een afgesloten kast; we hebben een lijst met do’s and don’ts gemaakt. Die is te vinden op de UM-website.”

De grootste aandacht van Winkens zal uitgaan naar die onderdelen van de UM waar met gevoelige gegevens wordt gewerkt. Dan gaat het hoofdzakelijk over Randwijck, waar data van patiënten en proefpersonen in het geding zijn. Maar ook elders binnen de universiteit kunnen dingen misgaan. “Stel dat een laptop op straat belandt, met persoonsgegevens, dan heb je potentieel een datalek. Ook al zijn het alleen zogeheten NAW-gegevens, naam, adres, woonplaats, dat hoeft niet schadelijk te zijn maar vervelend is het wel. Ik schrijf jaarverslagen voor het college van bestuur, maar die worden openbaar gemaakt, dus dat komt naar buiten. Zoiets kan tot imagoschade voor de UM leiden, het kan zelfs tot minder aanmeldingen van studenten leiden. Dus ook daar ben ik alert op.”

 

 

 

Categories:Categorieën:

CommentsReacties

There are currently no comments.Er zijn geen reacties.

Post a Comment

Laat een reactie achter

Door een reactie te plaatsen gaat u akkoord met de verwerking van de ingevulde gegevens door Observant.
Voor meer informatie: Privacyverklaring
By responding, you agree to send the entered data to Observant.
For more info: Privacy statement

Naam (verplicht)

E-mail (verplicht)