Universiteit Leiden

nl en

‘Privacybescherming is vooral bewust zijn’

Natuurlijk is het belangrijk om privacybescherming goed te regelen en de processen op orde te hebben, stelt Ricardo Catalan, sinds november 2018 de nieuwe functionaris gegevensbescherming. Maar als mensen zich niet bewust zijn van het belang van uiterste zorgvuldigheid, kan het alsnog mis gaan.

Ricardo Catalan
Ricardo Catalan

Catalans belangrijkste taak is momenteel het operationeel maken van het verwerkingsregister. Eén van de grote klussen die de per mei 2018 in werking getreden Algemene Verordening Gegevensbescherming (AVG) met zich meebracht, was het opzetten van een dergelijk register. Daarin moeten organisaties en bedrijven vastleggen welke persoonsgegevens ze beheren en wat ze daar precies mee doen.

Het verwerkingsregister

De stand van het register is dat vrijwel alle benodigde beschrijvingen van gegevens en processen zijn aangeleverd door de faculteiten en afdelingen, en nu worden ingevoerd in het computerprogramma Privacy Perfect, speciaal ontwikkeld voor verwerkingsregisters. ‘De faculteiten kunnen via dat programma wijzigingen aanbrengen en ik kan die wijzigingen zien’, vertelt Catalan. ‘Daardoor is betere controle en overzicht op de processen mogelijk.’
In het kader van de transparantie kunnen medewerkers en studenten die willen weten wat er precies met hun gegevens wordt gedaan, straks waarschijnlijk in een open register kijken. Catalan: ‘Niet alles wordt voor iedereen zichtbaar. Het programma heeft verschillende niveaus van rapportage. Dat maakt het mogelijk aan specifieke vragen tegemoet te komen.’

Persoonsgegevens zijn er overal

Privacybescherming is volgens Catalan voor een groot deel een kwestie van bewust zijn. ‘Er moet meteen een rood lampje gaan branden als je met persoonsgegevens werkt. Aannemen dat dit vooral bij de studentenadministratie en bij P&O speelt, is een verkeerde denkwijze. Je kunt in een sollicitatiecommissie zitten en brieven toegestuurd krijgen. Blijven die brieven op diverse pc’s staan of spreek je af dat iemand erop toeziet dat ze na afloop van de procedure worden gewist. En wat doe je met aantekeningen die je maakt tijdens een gesprek met een student?’ Maar ook: een plakmemo met een naam en een telefoonnummer, open en bloot voor iedereen zichtbaar is geen goed idee. ‘Zeker niet als het een privénummer is’, aldus Catalan.

Gele kaart

Het lijkt alsof werken met papier meer risico’s met zich meebrengt dan digitaal werken, terwijl het ene na het andere datalek in het nieuws komt. ‘Die zijn er inderdaad regelmatig maar op het totaal van gegevensverwerking is de kans heel klein. Je kunt het zo zeggen dat er bij digitaal werken – met de nodige bescherming – een kleine kans is op een groot lek, terwijl werken met papier een grotere kans geef op een klein lek. Maar zorg er ook voor dat je je scherm kunt afsluiten als je even koffie gaat halen. Het zijn vaak kleine dingen en, nogmaals, bewust zijn. Een goede graadmeter is: wat zou je onprettig vinden rond je eigen persoonsgegevens?’ Catalan vertelt gecharmeerd te zijn van het systeem dat men bij de faculteit Sociale Wetenschappen heeft bedacht: de gele kaart. Iedereen die een risicovolle omgang met persoonsgegevens waarneemt, kan een gele kaart achterlaten. Daarop kan de afzender – die de kaart ook ondertekent - aankruisen wat het ‘vergrijp’ is. ‘Het is een zachte manier om mensen te attenderen’, vindt Catalan.

Autoriteit Persoonsgegevens

Ook vóór de AVG was er al privacywetgeving. Nieuwe maatregelen zijn de verplichting voor bepaalde organisaties en bedrijven om een functionaris gegevensbescherming in dienst te hebben en een verwerkingsregister te onderhouden. Verder zijn de boetes enorm verhoogd. En de Autoriteit Persoonsgegevens (AP) gaat strenger controleren; daarvoor is het personeelsbestand flink uitgebreid. Door zaken die bij de AP aanhangig worden gemaakt, zullen allerlei normen waar nu nog onduidelijkheid over bestaat, scherp gesteld worden. De eerste boete in Europa is inmiddels opgelegd, weet Catalan. ‘Het ging om een Portugees ziekenhuis waar alle patiëntengegevens in te zien waren door alle artsen. Dat mag niet. De boete was hoog, vier ton. Dat jaagt wel schrik aan, denk ik.’

Wat is/doet een functionaris gegevensbescherming?
In het kader van de AVG zijn alle overheidsinstanties en publieke organisaties verplicht om een Functionaris Gegevensbescherming (FG) te hebben. De FG heeft als taak toe te zien op een ordentelijk omgang met persoonsgegevens en te controleren of de bescherming daarvan op orde is. De FG heeft een onafhankelijke rol en positie. Organisatorisch is de FG als adviseur ondergebracht bij Informatiemanagement, een afdeling van de centrale directie Bedrijfsvoering. In voorkomende gevallen kan hij zijn adviezen voorleggen aan een hogere autoriteit, tot aan het college van bestuur. 

De FG is aanspreekbaar op zijn deskundigheid en kan dus worden benaderd met vragen over privacybescherming.

Wie is Ricardo Catalan?
Hadden we vorig jaar niet ook al een nieuwe functionaris gegevensbescherming? Ja, dat klopt: Jasper Casteleijn. Catalan werd als zzp’er  benaderd te helpen bij het opzetten van verwerkingsregister maar Casteleijn kreeg een functie bij de EU in Brussel aangeboden en aanvaardde die. Catalan nam toen diens functie over.
Catalan begon ooit aan een studie notarieel recht maar dat bleek het toch niet te zijn. Hij switchte naar een beroepsopleiding Register-belastingadviseur, gericht op particulieren en het mkb. Daarna werkte hij negen jaar bij een advocatenkantoor. Enkele jaren geleden vestigde Catalan zich als zelfstandig Register-belastingadviseur. Al snel kreeg hij vragen over de werking van de AVG, reden om zich daar grondig in te gaan verdiepen. In de avonduren geeft Catalan nog steeds  belastingadvies.

Tekst: Corine Hendriks
Mail de redactie

Deze website maakt gebruik van cookies. Meer informatie