Universiteit Leiden

nl en

Geesteswetenschappen is al ver met de AVG

Karin van der Zeeuw-Filemon, hoofd Onderwijsondersteuning en Onderwijslogistiek bij de Faculteit Geesteswetenschappen, zag medio vorig jaar de aankondiging van een workshop over de nieuwe Algemene Verordening Gegevensbescherming in het Hoger Onderwijs. ‘Erheen’, dacht ze meteen, ‘want hier krijgen wij mee te maken.’ Ze kreeg helemaal gelijk.

Een van de nieuwe regels van de Europese Algemene Verordening Gegevensbescherming is dat alle bedrijven en instellingen moeten vastleggen of en hoe ze persoonsgegevens hebben opgeslagen en hoe ze worden gebruikt. Bij de universiteit spelen die processen zich zowel centraal als bij de eenheden af, vooral bij de faculteiten waar voortdurend met de gegevens van studenten wordt gewerkt. Alle procesbeschrijvingen worden, zo verplicht de verordening, centraal samengebracht in één zogenoemd Verwerkingsregister.

Karin van der Zeeuw-Filemon
Karin van der Zeeuw: 'Met gezond verstand kom je een heel eind.'

Korte samenvatting

Van der Zeeuw weet de situatie bij haar faculteit (en waarschijnlijk ook die bij andere) goed samen te vatten. De studenten en hun gegevens staan in USIS en dat is een potdicht, goed beveiligd systeem. ‘Waar we ons vooral op moeten richten’, aldus Van der Zeeuw, ‘is de informatie die zich buiten USIS bevindt. Omdat die nog niet in het systeem is opgenomen of omdat we die er met een of ander doel uit halen.’ Ze geeft diverse voorbeelden.

Papier

De examencommissies hebben cijferlijsten nodig om de bsa-adviezen te kunnen vaststellen. Als nieuwe maatregel ‘Die draaien we gewoon uit op de printer en geven die aan de commissieleden. Na afloop nemen we de uitdraaien weer in, om ze door de versnipperaar te halen. Ik denk dat we daar nog iets strenger op kunnen zijn.’
Gek genoeg zijn er nog steeds gegevens die voor langere tijd op papier bewaard moeten worden, namelijk de cijferlijsten van de studenten. De docenten leveren die lijsten op papier in bij de onderwijsadministratie, die ze invoert in USIS. Vervolgens gaan ze in een afgesloten kast, in een afgesloten ruimte. Wat tegenwoordig trouwens bijna veiliger is -  of in elk geval voelt - dan opslaan in een systeem. 

Dit is het tweede artikel in een serie over de betekenis van de nieuwe Europese Verordening Gegevensbescherming - van kracht per 25 mei 2018 - voor de Universiteit Leiden. Zie voor het eerste artikel de link rechts op deze pagina. 

In de nieuwe verordening verandert er inhoudelijk niet veel: de regels blijven hetzelfde. Wel gaat de Autoriteit Persoonsgegevens veel scherper dan voorheen toezien op de naleving en zijn de boetes bij niet-naleving enorm verhoogd, tot € 20 miljoen. Voorts moet elk bedrijf en elke instelling een zogenoemd verwerkingsregister aanleggen waarin precies beschreven staat over welke persoonsgegevens men beschikt, wat daarmee gebeurt, en hoe deze worden beschermd. Verder moeten de grotere bedrijven en instellingen een onafhankelijke functionaris gegevensbescherming in dienst hebben. 

Module

De studieadviseurs voeren gesprekken met studenten en maken daar aantekeningen van. Die aantekeningen vallen zeker onder de gegevensbescherming. Hoe ga je daarmee om? Wat gebeurt er met die aantekeningen? Van der Zeeuw: ‘USIS heeft een module waar je die aantekeningen direct in kunt zetten. Die hebben we nog niet, maar die zouden we wel moeten aanschaffen.’

Mails naar studenten

Nog weer een ander voorbeeld is het versturen van mails naar studenten. Stel dat een docent van een bepaalde opleiding een lezingencyclus organiseert. De studenten kunnen er geen punten voor krijgen want de cyclus is geen onderdeel van het curriculum. Mag je de studenten van de betreffende opleiding daar dan een mail over sturen? Als de cyclus echt bedoeld is voor verdieping van de stof naast de colleges, dus relevant voor de studie, mag het, stelt Van der Zeeuw. De onderwijsadministratie verstuurt het bericht. (‘Met de studenten in de BCC’, benadrukt Van der Zeeuw). Daarna wordt de mail verwijderd. ‘Meestal is heel duidelijk of je een verzoek moet afwijzen of kunt accepteren’, zegt Van der Zeeuw, ‘maar soms is het lastiger. Dan kom je een heel eind met gezond verstand: hoe zou ik willen dat er met mijn persoonlijke gegevens wordt omgegaan?’

Workshop HOlink

Geesteswetenschappen is het verst met de beschrijving van de processen. Dat komt omdat Van der Zeeuw medio vorig jaar de aankondiging zag van een tweedaagse workshop van HOlink over de op handen zijnde verordening Gegevensbescherming. Van der Zeeuw realiseerde zich meteen dat die verordening consequenties voor haar werk ging hebben en schreef zich in. Ze leerde heel veel en zag tegelijkertijd een enorme berg werk op zich afkomen. Dus begon ze daar, in nauwe samenwerking met andere betrokkenen bij de faculteit (de informatiemanagers, de onderwijsadministratie), vrijwel meteen aan. De inventarisatie leidde, zoals bijna overal, tot kritisch kijken naar de processen en tot aanscherpingen.

Nooit klaar…

Bijna klaar? ‘Het schiet op’, zegt Van der Zeeuw. ‘Je bent nooit klaar, vrees ik, omdat er elke keer weer nieuwe ontwikkelingen zijn. En soms zie je even iets over het hoofd. We hadden de processen rond de reguliere studenten scherp in de peiling en bedachten pas later dat we ook à la carte-studenten, en contractstudenten hebben.’ Dus moest er in ‘het boek’ zoals Van der Zeeuw het noemt, nog weer een heel hoofdstuk bij.

En ja, ze wordt regelmatig benaderd door andere faculteiten: hoe hebben jullie zus of zo aangepakt?

(CH)

Deze website maakt gebruik van cookies. Meer informatie