De nieuwe privacywet: wat betekent het voor jou?
Victor Grigas (cc, via Wikimedia Commons)
Je hebt net een enquête gedaan voor je scriptie en nu heb je een Excelbestand vol e-mailadressen. Gooi je ze weg of bewaar je ze? We vragen het aan Steven Djohan die studenten en medewerkers van de HvA voorbereidt op de nieuwe privacywet.
Wat betekent de nieuwe wet voor de HvA?
‘De nieuwe wet [de AVG: Algemene Verordening Persoonsgegevens, red.] gaat over het verstandig en veilig omgaan met, inderdaad: persoonsgegevens. Aan de HvA zijn veel studenten, onderzoekers en medewerkers verbonden. Van al die mensen worden studentennummers, adressen en andere informatie verzameld. Door de nieuwe wet moet de HvA aan studenten, medewerkers en aan de Autoriteit PersoonsgegevensDe Autoriteit Persoonsgegevens houdt toezicht op het gebruik van persoonsgegevens door organisaties. kunnen uitleggen hoe ze met die gegevens omgaat.’
‘Wij checken nu of de HvA goed kan verantwoorden wat ze met gegevens doet, bijvoorbeeld hoe docenten met informatie over studenten omgaan en hoe onderzoekers gegevens van respondenten gebruiken. Aan de studentendecanen hebben we bijvoorbeeld gevraagd hoe het zit met de gegevens van studenten.’
‘Helemaal anoniem studeren is natuurlijk niet mogelijk’
‘Verder werken we aan een goed protocol bij melden van bijvoorbeeld een datalek: weet iedereen wat er moet worden gedaan als er een USB-stick met gegevens op straat komt te liggen? Ook bekijken we alle afspraken over data-uitwisseling met andere partijen, bijvoorbeeld leveranciers van apps of de gemeente.’
‘Helemaal anoniem studeren is natuurlijk niet mogelijk: als student geef je sowieso toestemming voor een aantal activiteiten. Je krijgt je bewijs van inschrijving per mail toegestuurd en je moet collegegeld betalen. Maar de tijd van willekeurig informatie verzamelen is voorbij.’
De HvA meldde onlangs dat het volledig ‘AVG-proof’ maken niet lukt voor 25 mei, maar wel voor het eind van 2018. Waarom duurt het langer?
‘Het is nog onduidelijk hoe de wet precies gecontroleerd gaat worden. Iedereen snapt dat persoonsgegevens beschermd moeten worden, maar de uitleg van de wet kan op nu nog op meerdere manieren geïnterpreteerd worden. Bijvoorbeeld: moet iemand bij het geven van toestemming voor het gebruik van bepaalde gegevens een handtekening op papier zetten of is een digitale handtekening ook goed? Het gaat ook tijd kosten om ervoor te zorgen dat alle medewerkers en studenten goed op de hoogte zijn van de AVG. Op 25 mei hebben we in ieder geval de noodzakelijke stappen gezet, en weten we wat er nog moet gebeuren op de HvA.’
‘Studenten moeten begrijpen hoe ze tijdens hun stage omgaan met de gegevens van klanten’
Wat kunnen studenten en medewerkers zelf doen om te zorgen dat zij goed met hun eigen en andermans gegevens omgaan?
‘Er komt een aparte pagina op MijnHvA waar tips worden gegeven. Bij het doen van onderzoek is het bijvoorbeeld belangrijk dat de lijst met resultaten of contactgegevens wordt geanonimiseerd en goed is beveiligd, en niet zomaar ergens wordt opgeslagen. Verder is het belangrijk dat studenten begrijpen hoe ze tijdens hun stage omgaan met de gegevens van klanten en opdrachtgevers. Maar ook voor studentenorganisaties is het belangrijk dat ze goede afspraken hebben over wat ze doen met gegevens van hun leden. Medewerkers moeten zich er bewust van zijn dat ze niet onnodig gegevens opvragen en verspreiden en nadenken over hoelang je gegevens kunt bewaren.’
Als er iets niet goed geregeld is, kan de Autoriteit Persoonsgegevens organisaties een boete opleggen: van 4 procent van de omzet, tot twintig miljoen euro. Hoe groot is de kans dat de HvA zo’n boete krijgt opgelegd?
De Autoriteit heeft pas een aanleiding om dat te doen, op het moment dat er bijvoorbeeld een groot datalek is en er blijkt dat niemand daar wat aan heeft gedaan. We zijn nu juist bezig om dat te voorkomen. De Autoriteit zou zeker langs kunnen komen om te controleren, maar daar zijn we op voorbereid.’
(De tekst loopt door onder de video.)
Onlangs kwamen van veel mensen wachtwoorden op straat te liggen, waaronder die van HvA-medewerkers en studenten die gekoppeld waren aan hun LinkedIn- of Dropbox-account. Kan zoiets meespelen bij het opleggen van die boete?
‘De HvA is niet zelf gehackt, maar medewerkers en studenten hebben hun HvA-emailadres gebruikt voor andere applicaties zoals LinkedIn of Dropbox. Dat is dus niet direct een datalek, maar de HvA informeert medewerkers en studenten hier wel over.’
‘Het advies zou dan kunnen zijn dat mensen hun wachtwoord moeten aanpassen. Als de HvA niks zou doen, zou dat in theorie een boete kunnen opleveren. Maar als ik nu zie hoe er wordt gereageerd en welke stappen er worden gezet, verwacht ik niet dat de autoriteit zal zeggen dat de HvA hierin slecht heeft gehandeld; verre van zelfs.’
