“Bij de TU/e zag je dat toen de AVG in werking trad men dacht AVG-compliant te zijn”, weet Hooijen. “Maar er bleek nog stappen te maken om te voldoen aan de AVG. Het grote datalek met toegangspassenbedrijf ID-Ware in 2022 was ’nodig’ om de zaak in een versnelling te krijgen. Sindsdien is er meer professionalisering binnen de organisatie, met een uitbreiding van het privacyteam en eerstelijns teams zoals DDC’s (Data Domain Coordinators, red.) en data stewards. Ik zie ook dat het bewustzijn over gegevensbescherming op de campus en binnen de TU/e gegroeid is.”

In de maatschappij zien we enerzijds mensen die zich erg bewust zijn van hun privacy. Als zaken eenmaal op internet staan, lukt het ze vaak niet om deze te verwijderen. Anderzijds is er een grote groep die denkt dat het allemaal niet zo erg is. “Soms denken mensen bij de vele phishingmails ‘Ach, het is ‘maar’ een email’. Echter, in deze tijd met veel persoonsgegevens op sociale media kunnen criminelen een heel gepersonaliseerd bericht naar je sturen en is de kans dat je op een link klikt en/of gegevens deelt veel groter. Identiteitsfraude neemt daardoor toe”, merkt Hooijen.

“Ik weet dat mensen snel roepen dat ze niets te verbergen hebben, maar als ik ze om hun pincode vraag, blijkt dat toch niet waar. Ze zien ’verbergen’ als iets negatiefs, maar je moet het zien als een bescherming, dat is juist goed”, vervolgt de functionaris gegevensbescherming

Advies en toezicht

Een FG is veel bezig met adviezen uitbrengen, bijvoorbeeld over Data Protection Impact Assesments (DPIA’s). Dat is een instrument waarmee vooraf privacyrisico’s van een gegevensverwerking in kaart gebracht worden. “Het kan gaan over onderzoeks-DPIA’s of DPIA’s die gaan over verwerkingen in tooling zoals trackingsystemen voor sollicitanten of een parkeersysteem. Bij onderzoek moet je denken aan onderzoeken met kwetsbare groepen zoals kinderen of ouderen met dementie en/of bijzondere persoonsgegevens zoals religie of gezondheidsgegevens.”

Naast advies geven, houdt Hooijen ook toezicht. “Het eerste jaar deed ik dat vooral ad hoc omdat ik de organisatie nog moest leren kennen, maar sinds dit jaar ook structureel. Dat wil zeggen: vooraf gepland toezicht.”

Ze doet dat steeds bij verschillende afdelingen van de universiteit. “Dit jaar houd ik toezicht bij HR, Biomedical Engineering en op de verwerkingsregisters van de diensten.” Dat ze ergens specifiek toezicht houdt, wil niet zeggen dat er daar een probleem is. “Ik heb voor Biomedical Engineering gekozen omdat bij die faculteit een pilot is gedaan rond het gebruik van verwerkingsregisters en voor de eigen privacyvolwassenheidsmeting. Daardoor kun je gericht toezicht houden. Als er nog niets is, kun je beter advies geven”, weet de functionaris gegevensbescherming.

De reden dat HR gekozen is als specifieke dienst komt omdat daar relatief veel (bijzondere) persoonsgegevens passeren. Er wordt bijvoorbeeld aan on- en offboarding gedaan. Ook lopen er verzuimprocessen door ziekte van medewerkers. Gezondheidsgegevens zijn een voorbeeld van bijzondere persoonsgegevens waar extra eisen worden gesteld aan de verwerking. “Daarnaast vind ik dit een afdeling die voorop moet lopen op het gebied van privacy”, zegt ze.

Waar de meeste mensen een leidinggevende hebben die in mindere of meerdere mate stelt wat er moet gebeuren op het werk, is dat voor de functionaris gegevensbescherming niet zo. Zij heeft een controlefunctie en daarbij past het niet om opdrachten te krijgen van een leidinggevende. Voor FG’s staat er een speciale ontslagbescherming in de AVG die ervoor zorgt dat ze niet ontslagen kunnen worden voor het doen van hun werk. “Maar als ik mijn werk niet volgens de functiebeschrijving zou doen, dan kan ik natuurlijk wel ontslagen worden. Deze ontslagbescherming is bedoeld om kritisch te kunnen zijn in je controlerol.”

Bewustwording

“Sinds de transitie van de Wet bescherming persoonsgegevens (Wbp) naar de Algemene Verordening Gegevensbescherming (AVG) in 2018 zijn er meer handhavingsmogelijkheden voor de toezichthouder (Autoriteit Persoonsgegevens) gekomen. Dat in combinatie met een maatschappij waarin mensen meer online zijn en zich meer bewust zijn van hun privacy, zie je dat organisaties steeds meer beleid maken op dit gebied.”

De FG maakt geen beleid, maar houdt toezicht en adviseert of iets wenselijk is. De organisatie die dat advies krijgt, zoals in dit geval de TU/e, is verantwoordelijk voor het uiteindelijke beleid en de uitvoering ervan. “Het privacyteam schrijft tegenwoordig bijvoorbeeld een risico-inventarisatie en -evaluatie (RI&E) als er na een DPIA nog restrisico’s blijken te zijn. Een afdelingsdirecteur kan dan besluiten die (gemiddelde) risico’s te accepteren, maar dat moet hij schriftelijk vastleggen. Ook als iemand van een advies van de FG wil afwijken, moet dat worden vastgelegd. Die handeling zorgt voor meer bewustzijn van de eigen acties.”

Klacht

Kun je als medewerker contact opnemen met de FG, en komt dat überhaupt voor? “Zeker. Als je een klacht hebt over hoe je gegevens binnen de TU/e worden verwerkt, zijn er verschillende manieren om met die klacht om te gaan. Je kunt dit melden bij de betreffende afdeling waar het probleem zich voordoet, bij het privacyteam of je meldt de klacht rechtstreeks bij mij.

Dat geldt ook als je niet tevreden bent met hoe er met je ‘rechten van betrokkene’ is omgegaan. Dan gaat het bijvoorbeeld om inzageverzoeken van je persoonsgegevens die de organisatie van je heeft of verwijdering van bepaalde gegevens. Het privacyteam zet zulke verzoeken uit binnen de organisatie, maar als je daar niet tevreden over bent, kun je daar bezwaar tegen maken of contact met mij opnemen.

Hooijen heeft geheimhouding in haar functie, ook vanuit de wet. “Als er een klacht komt, ga ik niet zomaar met mensen spreken. Ik overleg altijd eerst met de melder of die het goed vindt. Dan ga ik de klacht onderzoeken. Daar kan een advies aan de organisatie uitkomen.” Zo’n advies is zwaarwegend, maar niet bindend. Alleen de Autoriteit Persoonsgegevens (AP) kan eventueel een bindend advies geven. Bijvoorbeeld om een bepaalde verwerking te staken.”