Universiteit Leiden

nl en

AVG (deel 2 van 5): Do’s, (please) Don’ts en alternatieven

In het eerste deel van deze reeks is er ingegaan op de beginselen van de AVG en het inventariseren van de persoonsgegevens die worden gebruikt voor verwerkingen. Door zo min mogelijk persoonsgegevens te gebruiken en overbodig opgeslagen gegevens te verwijderen, verminder je de kans op en de impact van datalekken. De volgende stap is dan ook om te weten hoe je verantwoord om kunt gaan met persoonsgegevens en welke veilige alternatieven je kunt gebruiken om hier invulling aan te geven.

Persoonsgegevens

Het verantwoord omgaan met persoonsgegevens begint bij het herkennen ervan. Persoonsgegevens zijn gegevens die te herleiden zijn naar een bepaald persoon of dit mogelijk maken in combinatie met andere gegevens. Een studentnummer is weliswaar een pseudoniem maar kan redelijk eenvoudig naar een student herleid worden en kwalificeert daarom als persoonsgegeven. Het publiceren van een cijferlijst met studentnummers is daarom niet toegestaan; gebruik in plaats daarvan het Grade Centre in Blackboard om cijfers door te geven.

Het anonimiseren of pseudonimiseren van datasets met persoonsgegevens in onderzoek, mits correct gedaan, wordt juist wel aanbevolen. Neem voor vragen hierover contact op met het Centre for Digital Scholarship van de UBL.

Routines

Daarnaast zijn er ook simpele dagelijkse routines die je kunt aanhouden om privacy risico’s te verlagen. Denk hierbij aan het opgeruimd houden van je bureau, het vergrendelen van je PC bij het verlaten van je werkplek (sneltoets: Windows-logotoets Afbeelding van het Windows-logo + L), het zoveel mogelijk gebruik maken van beveiligde netwerken zoals ‘Eduroam’ en het versturen van e-mails naar collega’s en studenten via de Universiteits-mailservers (alle mailadressen die eindigen op leidenuniv.nl). Vooral het laatste punt is iets waar de meeste mensen vaak niet bij stilstaan. Bij het versturen van e-mail is het namelijk zo dat alle digitale tussenstations tussen afzender en ontvanger de inhoud van de mail technisch gesproken kunnen inzien. Denk hierbij aan een ansichtkaart waarvan alle postbodes die hiermee in aanraking komen het persoonlijke bericht achterop de kaart kunnen lezen. Door de Universiteitsmail te gebruiken, is de beveiligde server van de universiteit het enige digitale tussenstation en de inhoud ervan daardoor niet inzichtelijk vanuit externe servers.

Don’ts

De ‘don’ts’ liggen iets ingewikkelder en gevoeliger. Het is onder de AVG straks verplicht voor de universiteit om verwerkersovereenkomsten af te sluiten met externe partijen die persoonsgegevens ‘verwerken’ (bijvoorbeeld: het inzien, opslaan of transporteren). In zo’n verwerkersovereenkomst staat onder andere hoe een externe partij met onze persoonsgegevens moet omgaan. Denk daarbij aan diensten van externe partijen zoals de clouddiensten van bijvoorbeeld Google, Dropbox, Apple, Microsoft en WeTransfer. De Universiteit is verplicht om een verwerkersovereenkomst aan te gaan met deze partijen om de rechtmatigheid en veiligheid van de verwerking te waarborgen. Op dit moment heeft de Universiteit geen verwerkersovereenkomsten met de hierboven genoemde partijen, wat het gebruik van deze diensten onrechtmatig maakt voor de opslag van persoonsgegevens. Het wordt daarom sterk aangeraden om de volgende alternatieven in overweging te nemen ter vervanging van deze diensten. Google gebruiken om iets op te zoeken blijft natuurlijk mogelijk.

Alternatieven

Gelijkwaardige alternatieven op de hierboven beschreven voorbeelden zijn de diensten van SURF. SURF is de ICT-samenwerkingsorganisatie van het onderwijs en onderzoek in Nederland en heeft ook een verwerkersovereenkomst met de Universiteit Leiden. De cloudopslagdienst SURFdrive en de datatransferdienst SURFfilesender zijn diensten van deze organisatie die zodanig veilig worden geacht om ook na de inwerkingtreding van de AVG vrijelijk gebruikt te kunnen worden.

Een ander alternatief is om te werken vanaf de ‘Remote Workplace’. Hiermee kan je op afstand altijd in je Universiteits-omgeving blijven werken en voorkom je dat meerdere versies van een bestand op verschillende plekken is opgeslagen.

Uitzonderingen en meer

In het uitzonderlijke geval dat geen van deze alternatieven een oplossing bieden, kan je er ook voor kiezen om bestanden te beveiligen met een wachtwoord. Het is mogelijk om afzonderlijke wachtwoorden in te stellen voor PDF-, Microsoft Office- en zip-bestanden. Hiermee zorg je ervoor dat je ook in uitzonderlijke gevallen de bescherming van de persoonsgegevens waarborgt.

Op de site van de universiteit staan nog veel meer tools en tips om veiliger digitaal te werken.

Door op de hoogte te zijn van de do’s, don’ts en alternatieven bouw je een sterk uitgangspunt op om daadwerkelijk aan de slag te gaan met de AVG. Het stuk van volgende week zal gaan over twee hele belangrijke en tegelijkertijd de meest spraakmakende aspecten van de AVG: ‘De grondslagen voor verwerkingen & Toestemming’.

FGGA medewerkers

Heb je vragen over de AVG of ben je te ongeduldig om te wachten tot volgende week? Kijk dan op de site van de universiteit voor meer informatie of mail je vraag naar avg@fgga.leidenuniv.nl!

Deze website maakt gebruik van cookies. Meer informatie