Hoe staat de UT er nu voor?
Lasonder: ‘We hebben de nodige voorbereidingen getroffen om zo goed mogelijk aan deze Europese wet te voldoen. Eind 2015 zijn we hiermee begonnen. Begin 2016 voerden we een nulmeting uit, om te inventariseren wat we nog moesten aanpassen. Daar zijn we mee aan de slag gegaan en we staan er nu goed voor.’
Waar kunnen we daarbij aan denken?
Swaters: ‘We hebben een privacy-organisatie ingericht met een FG-team (functionarissen gegevensbescherming, red.) en iedere faculteit en dienst heeft nu een eigen privacy-contactpersoon. Diegene heeft een belangrijke adviserende rol en is het eerste aanspreekpunt als het gaat om privacyvraagstukken en informatiebeveiliging. Daarnaast hebben we alle verwerkingen in de bedrijfsvoering in kaart gebracht en hebben we in het kader van bewustwording regelmatig presentaties gegeven aan verschillende doelgroepen. Naast andere organisatorische en technische maatregelen hebben we onder meer het privacystatement bijgewerkt en geven we op onze cybersafety-site advies over maatregelen die UT’ers kunnen treffen, bijvoorbeeld op het gebied van het verzamelen en bewaren van persoonsgegevens.’
Er zal een groot verschil zitten tussen de gegevens die een sportvereniging verzamelt en gegevens waar een onderzoeker mee werkt?
Lasonder: ‘Klopt, de UT is een complexe organisatie die een enorme hoeveelheid persoonsgegevens verwerkt. Daarom zijn we op tijd begonnen met voorlichten. Wat betreft het bewaren van persoonsgegevens moet je bijvoorbeeld goed concreet maken hoe lang je die gegevens daadwerkelijk nodig hebt. Het gaat erom dat je naar eer en geweten inschat wat eerlijk is en wat binnen de wetgeving past. Al is die wet niet in alle gevallen even expliciet.’
En intussen houdt de Autoriteit Persoonsgegevens toezicht en kunnen er boetes uitgedeeld worden tot wel 4 procent van de omzet van een organisatie. Heeft de UT alle schaapjes op het droge?
Lasonder: ‘Dat is nooit met volledige zekerheid te zeggen. Er zijn organisaties die wel zeggen dat ze honderd procent ‘AVG-compliant’ zijn, maar in feite kan dat helemaal niet. Daar is de wetgeving in zekere zin te abstract voor. Er staan nogal wat open normen in en omdat de wet vanaf vandaag officieel geldt, zijn er ook nog geen juridische uitspraken geweest over wanneer een organisatie wel of niet over de schreef is gegaan. Wij moeten kunnen aantonen dat we in alle redelijkheid en billijkheid hebben gehandeld. Zoals we er nu voor staan, lijkt dat ons het geval.’
Zijn er ook positieve kanten aan deze wet, als tegenhanger voor alle rompslomp?
Lasonder: ‘Er zitten altijd goede kanten aan. Mensen hebben sterkere privacyrechten en het dwingt organisaties om goed te kijken naar de gegevens die ze wel en niet nodig hebben. Dus ook een stuk zelfreflectie. Aan de andere kant betekent de wet bijvoorbeeld voor ons wetenschappelijk personeel dat er meer administratieve taken bijkomen, bovenop de stapel die er al ligt. Het is goed om over deze privacywetgeving na te denken, maar we moeten oppassen dat we er niet in doorschieten.’
Tot slot, nog advies aan UT’ers die twijfels hebben of ze aan de wet voldoen?
Swaters: ‘Kijk goed naar waar je persoonsgegevens bewaard hebt en of je ze nog daadwerkelijk nodig hebt. Als dat niet het geval is, gooi de gegevens dan weg. En bij een security-incident of datalek, meld het alsjeblieft direct bij ons. Zelfs een verloren USB-stick is in feite al een mogelijk datalek, om maar wat te noemen. De allereerste verplichting is om te zorgen dat je informatie veilig is opgeborgen.’
‘Na vandaag houdt het overigens absoluut niet op voor ons. Deze wetgeving blijft de komende tijd onze aandacht vereisen. Eigenlijk geldt voor iedere UT’er: niet de boel laten verslappen.’