Universiteit Leiden

nl en

AVG: ‘We gaan uiterst zorgvuldig met ons alumnibestand om'

‘Veiligheid, privacy en zorgvuldigheid zitten bij alle medewerkers van het Alumni Office en het LUF ingebakken’, zegt Lilian Visscher, hoofd van het Alumni Office. ‘Ons alumnibestand is voor ons van levensbelang, daarom zijn we zo voorzichtig.’

Drie jaar geleden nam het Alumni Office het beheer van het alumnibestand over van het LUF. Daartoe nam de universiteit een nieuw relatiemanagementsysteem in gebruik met meer mogelijkheden. Volgens hoofd Lilian Visscher was daarbij de best mogelijke bescherming van de data een van de primaire eisen.

Lilian Visscher
Lilian Visscher 'We zijn goed voorbereid op de AVG.'

Bestand is de kurk

Waarom vond Visscher dat zo belangrijk? ‘Ons alumnibestand is van cruciaal belang bij ons werk, we kunnen niets zonder dat bestand. Het gaat om persoonsgegevens als contactgegevens, geboortedatum en studiegegevens: welke studie heeft een alumnus gevolgd, wanneer is iemand met de studie begonnen, wanneer vond het afstuderen plaats, volgde iemand eventueel aanvullende programma’s? Daar moet je dus heel zorgvuldig mee omgaan.' Verder verzamelt het Alumnibureau informatie over alumni uit openbare bronnen, in aanvulling op enquêtes die al worden gehouden, en registreert het Office voor welke evenementen ze zich opgeven. 'Zo worden de behoeften in kaart gebracht', aldus Visscher. 'Maar de individuele informatie wil je maximaal beschermen. Om te beginnen is het systeem zelf technisch goed beveiligd. En er zijn andere waarborgen.’

Verklaring

In 2016 werd de Meldplicht datalekken van kracht. Dat was voor Visscher aanleiding om nog eens goed te kijken naar wat beter kon. Zo worden gegevens over alumni die nu worden uitgewisseld tussen het Alumni Office en de faculteiten, beveiligd verzonden. De documenten zijn alleen te openen met een wachtwoord dat altijd afzonderlijk, in een tweede mail, wordt verstuurd. Visscher: 'Verder tekenen sinds 2016 alle medewerkers bij het Alumni Office, het LUF en de faculteiten met een account dat toegang geeft tot onze database, een verklaring over de zorgvuldige omgang met de data en met hun wachtwoord. Zo zijn ze zich er goed van bewust hoe belangrijk dit is.' Het spreekt vanzelf dat alleen collega's die het nodig hebben voor hun werk, over een account beschikken.

 

Wat wil de alumnus?

Visscher hoedt ervoor dat alumni geconfronteerd worden met al of niet digitale post die ze niet willen ontvangen: ze kunnen sinds enige tijd aangeven welke relatie ze met de universiteit willen. Willen ze wel de elektronische nieuwsbrief maar geen e-mails met uitnodigingen en enquêteverzoeken? Dat kan. Willen ze wel de Leidraad, maar verder niet worden benaderd voor wat dan ook? Zijn ze juist wel bereid om een keer voorlichting te geven of mee te doen aan een event? De alumnus bepaalt het allemaal zelf. En als iemand helemaal geschrapt wil worden, gebeurt dat prompt.   >>>

Dit is het derde artikel in een serie over de betekenis van de nieuwe Europese Verordening Gegevensbescherming - van kracht per 25 mei 2018 - voor de Universiteit Leiden. Zie voor de eerste twee de link rechts op deze pagina. 

In de nieuwe verordening verandert er inhoudelijk niet veel: de regels blijven hetzelfde. Wel gaat de Autoriteit Persoonsgegevens veel scherper dan voorheen toezien op de naleving en zijn de boetes bij niet-naleving enorm verhoogd, tot € 20 miljoen. Voorts moet elk bedrijf en elke instelling een zogenoemd verwerkingsregister aanleggen waarin precies beschreven staat over welke persoonsgegevens men beschikt, wat daarmee gebeurt, en hoe deze worden beschermd. Verder moeten de grotere bedrijven en instellingen een onafhankelijke functionaris gegevensbescherming in dienst hebben. 

Vroeg begonnen

En toen verscheen de Algemene Verordening Persoonsgegevens aan de horizon. Visscher bezocht informatiebijeenkomsten en ging te rade bij de voorganger van onze huidige functionaris Gegevensbescherming. Zo kon het Alumni Office op tijd beginnen met het opzetten van het Verwerkingsregister; hierin moet vastliggen welke persoonsgegevens aanwezig zijn en hoe deze worden gebruikt. Alle lokale registers worden samengebracht in één centraal universitair register. 

Privacyrisico

Verder voerde het Alumni Office een pre-PIA uit. Een PIA is een Privacy Impact Assessment, een instrument om vooraf de privacyrisico’s van het gebruik van gegevens ('gegevensverwerking', heet dat officieel) in kaart te brengen. Een Pre-PIA wijst uit of je een volledig PIA moet uitvoeren of niet; dit is verplicht als het gebruik van gegevens waarschijnlijk een hoog privacyrisico oplevert. Bij het Alumni Office was dat niet het geval, dus een PIA was niet nodig
 

Gerechtvaardigd belang

Een prangende vraag was ook: moet aan de alumni worden gevraagd of en welke gegevens de universiteit van hen mag bewaren? Deze vraag kwam bij alle universiteiten op dus staken ze de koppen bij elkaar. Tezamen legden de universiteiten de kwestie voor aan een juridisch adviesbureau.. Dat kwam tot de conclusie dat er wat betreft de alumni een ‘gerechtvaardigd belang’ is om gegevens te bewaren. Er is sprake van een gerechtvaardigd belang als betrokkenen redelijkerwijs kunnen verwachten dat hun gegevens worden gebruikt, en dat hun recht op privacy niet onevenredig zwaar geschonden wordt. Zo heeft de universiteit er  belang bij om studenten goed voor te bereiden op de arbeidsmarkt en zijn alumni hiervoor een belangrijke bron van informatie. Ook kunnen alumni met hun kennis en ervaring zinvolle feedback geven op de curricula.  En dus zijn gegevens van en over alumni nodig en mogen ze worden bewaard en gebruikt.

Visscher maakt zich al met al niet veel zorgen over de nieuwe verordening: wat de AVG beoogt, zit al in de genen van haar en haar mensen.

CH/foto: coachcafé van het Alumni Office

Deze website maakt gebruik van cookies. Meer informatie