Foto | Shutterstock

AVG komt half jaartje te vroeg voor de TU/e

De TU/e gaat het niet halen om alles op orde te hebben voor vrijdag 25 mei, als de Algemene Verordening Gegevensbescherming (AVG) van kracht wordt. De universiteit is nu zo’n anderhalf jaar bezig met de voorbereidingen voor de nieuwe privacywetgeving. Er is in die periode al behoorlijk wat werk verzet, maar tevreden achterover leunen kan waarschijnlijk pas vanaf november.

door
foto Shutterstock

"We hebben 80 tot 90 procent in beeld van wat er moet gebeuren”, vertelt Martin Romijn, Chief Information Security en Privacy Officer van de TU/e. “Maar om tot meer dan 95 procent te komen, hebben we nog wat tijd nodig. En eigenlijk is het nooit helemaal af, het is een doorlopend proces.”

Romijn noemt er verschillende oorzaken voor. “Het is erg complex. Daar komt bij dat we ons deels op informatie van SURF (de ICT-samenwerkingsorganisatie van het onderwijs en onderzoek in Nederland, red.) baseerden en de nieuwste tekstversie van die organisatie ontvingen we in maart. Bovendien werken de interne processen binnen de TU/e niet altijd even snel.” Bij Romijn, die geregeld contact heeft met andere universiteiten, leeft wel het beeld dat de TU/e niet ver achterloopt op andere universiteiten.

Datasteward

De TU/e heeft twee trajecten uitgezet, vertelt Romijn; aan de ene kant op onderzoeksgebied en aan de andere kant op het gebied van bedrijfsvoering en onderwijs. “Van ieder onderzoek wordt vanaf nu een privacy-impactanalyse gemaakt en de hoogleraren zijn daar eindverantwoordelijk voor. We hebben ook een nieuwe functie gecreëerd, namelijk die van de datasteward. Die persoon gaat de onderzoeker helpen bij het aanleren van nieuwe manieren om met de data om te gaan, en dat gaat breder dan alleen met betrekking tot privacy. Denk daarbij aan zaken als waar en hoe je persoonsgegevens archiveert, hoe lang dat mag en op welke wijze hergebruik mogelijk is.”

Ook komen er twee ethische commissies, vertelt Romijn. Een die zich op medische zaken richt en een die zich met niet-medische zaken bezighoudt. Onderzoekers schatten zelf in of hun onderzoeksvoorstel langs een ethische commissie moet, want soms zullen subsidieverstrekkers vragen om een beoordeling door een ethische commissie.

Bewustzijn

Op het gebied van bedrijfsvoering en onderwijs zijn gegevensverantwoordelijken benoemd, die integraal verantwoordelijk zijn voor wat er met gegevens gebeurt. Romijn illustreert: “Denk aan een directeur Personeelszaken die ervoor moet zorgen dat het duidelijk is hoe lang sollicitatiebrieven worden bewaard.” Die lijst met verantwoordelijken komt nog online te staan.

Om alle betrokkenen in beeld te krijgen, heeft de stuurgroep Privacy verschillende categorieën bezoekers in beeld gebracht. Romijn: “Denk aan studiekiezers, alumni, sporters en campusbezoekers. Hoe ga je om met cameratoezicht en wat doe je met de leengegevens bij de bieb? Het gaat er om dat het helder is wat er met de informatie gebeurt en dat dat duidelijk wordt gecommuniceerd." 

Het bewustzijn is er, aldus Romijn, "en het is duidelijk wat er bij die groepen moet gebeuren, maar de communicatie daarover is nog niet afgerond. En er bestaan nog altijd enige concrete praktische vragen. Een interessante groep is bijvoorbeeld die van de secretaresses, omdat hun takenpakket zo verschilt.”

Ook op ict-gebied moet er nog een en ander gebeuren; zo moeten verschillende leveranciers nog nieuwe versies van  softwarepakketten leveren. Romijn stelt dat voor aanstaande vrijdag in elk geval de autorisaties van de belangrijkste en grootste systemen aan de TU/e zijn gecontroleerd.

Een TU/e-breed algemeen privacy-document ligt volgende week bij het College van Bestuur en wordt binnenkort aan de universiteitsraad aangeboden. Ook wordt er verplicht een functionaris gegevensbescherming aangesteld, die TU/e-breed een controlerende functie zal hebben.

De privacywet heeft ook nog andere gevolgen. Zo zouden eind mei de resultaten van de Nationale Studenten Enquête (NSE) bekend worden, maar dat gaat een maandje langer duren.

Deel dit artikel via je socials