Universiteit Leiden

nl en

AVG: Medewerkers kunnen zelf veel doen om de privacy te beschermen

Op 25 mei 2018 treedt de Europese Algemene Verordening Gegevensbescherming (AVG) in werking. 'Heel veel verandert er niet', zegt Jasper Casteleijn, de nieuwe functionaris Gegevensbescherming. ‘Wel worden de boetes gigantisch verhoogd en moet elke organisatie een administratie rond de persoonsgegevens opzetten.’ Medewerkers kunnen veel alerter zijn op privacygebied.

Alle instellingen en bedrijven hebben 25 mei 2018 dik aangekruist in hun agenda’s. Want het mag dan zo zijn dat er niet zoveel verandert, de verhoging van de boetes zorgt ervoor dat heel Europa in beweging komt: de bedragen kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet. Dus houdt iedereen de naleving van de regels nog eens tegen het licht, zo ook de Universiteit Leiden. En wat kunnen medewerkers zelf doen om andermans privacy te waarborgen?

Jasper Casteleijn
Jasper Casteleijn: 'Sollicitatiebrieven en cv's zijn ook persoonsgegevens.'

Gevoelige data

Het is belangrijker dan voorheen dat de universiteit kan laten zien welke gegevens zij hoe lang bewaart en hoe ze worden gebruikt en beschermd. Dat moet allemaal worden vastgelegd. En hoe gevoeliger de data zijn, hoe belangrijker de waarborgen. Een hoge gevoeligheidsgraad hebben bijvoorbeeld medische onderzoeksgegevens die personen betreffen. In dergelijke gevallen moet mogelijk een aparte risico-analyse worden uitgevoerd en daaruit voortvloeiend maatregelen getroffen. Nu de roep toeneemt om onderzoeksdata voor hergebruik of controle beschikbaar te maken, neemt ook de urgentie van privacybescherming op die data toe.

Ook wijzelf…

‘We zijn geneigd om op organisatieniveau te denken’, aldus Casteleijn, ‘maar zelf overtreden we de regels mogelijk ook wel eens.’ Stel dat je emailadressen van mensen buiten de organisatie hebt verzameld voor een regelmatig gezamenlijk overleg. Die emailadressen mag je dan niet gebruiken om die personen ongevraagd op een mailinglist te zetten, en ze zeker niet aan derden beschikbaar stellen. Een ander voorbeeld. Casteleijn: ‘In 2017 had de universiteit 632 vacatures open staan. Nu alles digitaal gaat, komen brieven en cv’s op de computers van evenveel sollicitatiecommissies te staan. Die commissies hebben elk weer meerdere leden. Worden die brieven en cv’s ook weer verwijderd, of blijven ze daar maar staan? Wie ziet daar op toe?’

Contradictie

Er is sprake van een zekere contradictie: de privacywetgeving wordt aangescherpt in een tijd dat mensen meer dan ooit vrijwillig allerlei informatie over zichzelf via social media verspreiden of anderszins op het internet prijsgeven. Toch vindt de EU nieuwe maatregelen nodig, enerzijds om het individu te beschermen tegen mis- en gebruik van hun data, en anderzijds om te voorkomen dat bedrijven persoonsgegevens gebruiken en verhandelen zonder dat mensen die het betreft daarvan weten. De aanscherping zit ‘m niet alleen in de verhoging van de boetes maar ook in de aanstelling van functionarissen als Casteleijn, verplicht voor overheidsinstellingen als de Universiteit Leiden. Hij opereert bij de universiteit als onafhankelijk adviseur op privacygebied.

Logo Autoriteit Persoonsgegevens
Logo Autoriteit Persoonsgegevens. Deze autoriteit ziet toe op de naleving van de AVG.

Projectorganisatie

Om de processen tegen het licht te houden is bij de universiteit een projectorganisatie opgezet met een stuurgroep AVG onder leiding van directeur Bedrijfsvoering Jan van der Boon en een uitvoeringsprogramma dat zowel centraal als decentraal diensten levert. Een externe programmamanager (Marcel ’t Hart) is aangetrokken om de projectorganisatie aan te sturen, en de faculteiten en centrale eenheden te ondersteunen bij het in kaart brengen van het gebruik van persoonsgegevens. Hij zal ook aanbevelingen doen voor eventuele extra beschermende maatregelen. Casteleijn houdt zich in nauwe samenwerking met de programmagroep bezig met de uitvoering. ‘Dat betekent ook dat ik simpelweg formulieren en templates ga ontwerpen’, zegt hij.

Regels…

‘Eigenlijk is het allemaal heel eenvoudig’, zegt Casteleijn. ‘Het draait om persoonsgegevens, gegevens over individuen dus. Er is een aantal regels waaraan het bewaren en het gebruik van die gegevens moet voldoen.' De belangrijkste zijn: de persoon moet weten dat je de gegevens hebt; ze mogen niet langer worden bewaard dan nodig is voor het doel waarvoor ze zijn verzameld; ze mogen niet voor andere doeleinden worden gebruikt of ter beschikking worden gesteld aan derden (laat staan verkocht), en ze moeten zodanig worden opgeslagen dat derden er niet bij kunnen.

… en uitzonderingen

Daarnaast zijn er zes omstandigheden (‘grondslagen’) beschreven waarin wél gebruikgemaakt mag worden van de persoonsgegevens. Casteleijn. ‘Het mag als je er zelf toestemming voor geeft. Of als er een wettelijke verplichting bestaat, bijvoorbeeld het verstrekken van salarisgegevens aan de belastingdienst. Verder mogen de gegevens worden gebruikt voor een taak van algemeen belang of als een leven op het spel staat (een ziekenhuis mag je bloedgroep doorgeven als jij ergens anders heel hard bloed nodig hebt).

De controle van alle bedrijven en organisaties ligt in handen van de Autoriteit Persoonsgegevens. Die zal veel nieuwe mensen aan moeten trekken om controles uit te voeren. ‘En daar zijn ze ook mee bezig’, zegt Casteleijn. Ondertussen kunnen we zelf ook beter opletten en zorgvuldiger omgaan met de privacy van anderen.

(CH)

Jasper Casteleijn is per 1 januari 2018 aangesteld als functionaris Gegevensbescherming (FG) bij de Universiteit Leiden. Hij heeft een bijzondere positie, enigszins vergelijkbaar met die van de vertrouwenspersonen: hij heeft een zelfstandige en onafhankelijke rol. Organisatorisch is de functionaris als adviseur ondergebracht als bij Informatiemanagement, een onderdeel van de centrale directie Bedrijfsvoering. In voorkomende gevallen kan hij zijn adviezen voorleggen aan een hogere autoriteit bij de universiteit, tot aan het College van Bestuur toe. De functionaris Gegevensbescherming is, zoals voorgeschreven, aangemeld bij de Autoriteit Persoonsgegevens.

Casteleijn volgde een bachelor Werktuigbouwkunde en een master Philosophy of Science, Technology and Society aan de TU Twente. Daarna werkte hij als veiligheidsdeskundige en operationeel auditeur bij een petrochemisch bedrijf waar hij de processen controleerde. Vervolgens stapte hij over naar de logistiek. Casteleijn vindt studeren leuk en gezien de groeiende vraag naar gekwalificeerde FG’s, haalde hij de CIPP/E- en CIPM-titels bij de International Association of Privacy Professionals (IAPP). Hiermee is hij uitstekend gekwalificeerd voor de functie van FG. Casteleijn is ook gecertificeerd om in de VS als privacy officer te mogen werken.

Deze website maakt gebruik van cookies. Meer informatie