Is het hoger onderwijs klaar voor de nieuwe privacywet?
Het lectoraat van Hans Henseler richt zich op Digital Forensics, digitaal sporenonderzoek in het digitale verleden van een (crimineel) bedrijf of organisatie. E-discovery toont verbanden en patronen in grote hoeveelheden elektronische documenten en e-mails. Het jaarlijks symposium van het lectoraat gaf dit jaar alle aandacht aan de nieuwe privacywet.
Organisaties hebben nog 23 dagen de tijd om zich voor te bereiden op de Algemene Verordening Gegevensbescherming (AVG). Deze Europese wet is per 4 mei 2016 in werking getreden, maar daadwerkelijk van toepassing vanaf 25 mei 2018. De AVG is ook bekend met de naam General Data Protection Regulation (GDPR) en realiseert een gelijke privacywetgeving in de gehele Europese unie. Door de wet hebben alle Europese toezichthouders, waaronder de autoriteit persoonsgegevens (AP) de bevoegdheid om boetes op te leggen die kunnen oplopen tot 20 miljoen euro.
Zwervende Excelsheets
De Nederlandse voorloper Wet bescherming persoonsgegevens (Wbp) is met de ingang van de AVG niet meer van toepassing. “Als ik hoor dat de Belastingdienst aangeeft nog minimaal een extra half jaar nodig te hebben voor de AVG, dan vraag ik mij niet alleen af wat zij de afgelopen twee jaar hebben gedaan. Maar vooral wat zij de afgelopen twintig jaar hebben gedaan toen de wet bescherming persoonsgegevens er was.” aldus Bart Schermer, privacy consultant bij Considerati. Volgens Schermer is de overgang met name voor organisaties die al Wbp compliant waren eigenlijk niet zo heel spannend.
Schermer, tevens gastdocent aan de Universiteit Leiden roept op om waakzaam te zijn bij het binnenhalen van advies. “Er zijn momenteel ook gelukszoekers op de markt, partijen die opeens verstand hebben van privacy en gegevensbescherming. En die u als organisatie dan zouden kunnen helpen.”
Daarnaast scherpt Schemer aan dat deze nieuwe privacywet niet alleen betrekking heeft op digitale gegevens, maar ook de ouderwetse archiefkasten vallen onder de AVG. “En dan gaat het over de persoonsgegevens, dit zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. ‘Betrekking hebben op’, dat geldt ook als ik iets over iemand opschrijf dat niet eens waar hoeft te zijn.”
Menselijk gedrag is de belangrijkste factor
Docent-onderzoeker aan de UvA en de HvA, Geert Jan van Bussel is bedrijfskundige, bestuurlijk informatiekundige en archivaris en houdt zich al negen jaar bezig met informatieverwerking en beheer in organisaties. “In die tussenliggende jaren is er heel veel, en tegelijk ook heel weinig is gebeurd. Ja er zijn heel veel systemen en ontwikkelingen bij gekomen.”
“Maar als ik kijk naar hoe een organisatie ervoor staat is er weinig gebeurd. E-discovery wordt nu met name gebruikt om achteraf weer grip te krijgen op data.” Bussel komt tot de conclusie dat het succes van de overgang naar de AVG niet hangt op systemen. “Het meest heikele punt is menselijk gedrag. Het proberen te beïnvloeden van het bewustzijn van mensen is een essentiële factor.”
Pieter Scherpenhuijsen van Indica, is dagelijks bezig om organisaties voor te bereiden op de nieuwe privacywet. Volgens Scherpenhuijsen gaat het met name om het vinden van ‘verborgen data’. “De data die is opgeslagen in de systemen is zichtbaar, maar er zijn zo veel gegevens opgeslagen in unstructured data. Een Excel sheet van alle klanten en partners met alle identificeerbare data, bijvoorbeeld.”
Het gevaar kan zijn dat we niet eens weten waar iets is opgeslagen en het daardoor niet kunnen terugvinden om te controleren of het volgens de nieuwe richtlijnen wordt gebruikt. “Iedereen maakt lijstjes en slaat dit op. Niemand gooit meer data weg”.
Onderzoeksgegevens veilig delen
Dat er voor onderzoekers en docenten ook veel gaat veranderen laat ook Surf weten. “Met de intrede van de AVG in mei 2018 zullen ook bij onderzoekers en docenten aanpassingen in hun werkwijze doorgevoerd moeten worden.” De ICT-expert voor het hoger onderwijs kan geen uitspraken doen over het aantal instellingen dat op dit moment goed is voorbereid op de AVG.
In een interview met Surfmagazine laat bestuurder Erwin Bleumink weten dat Surf sinds 2016 ondersteuning biedt doormiddel van kennisdeling en het ontwikkelen van tools. “SURF heeft samen met de leden al formulieren voor PIA’s (privacy impact assessments) en een juridisch normenkader ontwikkeld.” Alhoewel de verantwoordelijkheid uiteindelijk bij de instellingen zelf ligt.
Volgens Bleumink ligt de uitdaging met name op het domein van onderzoek. “Wetenschappers werken internationaal samen en willen graag gegevens delen. Ze verzamelen soms data zonder direct te weten waarvoor ze die data in de toekomst gaan gebruiken. Soms blijken verzamelde gegevens voor een specifiek onderzoek op een later moment relevant voor een ander onderzoek. De onderzoekspraktijk is niet makkelijk in lijn te brengen met de eisen uit de privacywetgeving.”
