De UU wil af van rondslingerende cijferlijsten
De Universiteit Utrecht verzamelt allerlei persoonsgegevens van medewerkers en studenten. Die data moeten als gevolg van nieuwe wetgeving beter beschermd worden.
Een lijst kentekennummers van autobezitters die een abonnement hebben op de P+R De Uithof. Een Word-bestandje met verjaardagen van collega's op de afdeling. Een Excel-bestand met tentamenresultaten van studenten. En ga zo maar door. Er gaan talloze bestanden met persoonsgegevens rond binnen de universiteit.
Een projectgroep inventariseert momenteel in opdracht van het College van Bestuur wat er allemaal binnen de Universiteit Utrecht beschikbaar is aan informatie over personen. Waar worden de data opgeslagen en wie verzorgt het beheer? Inmiddels is er een lijst aangelegd met tientallen databases (bekijk die hier).
De inventarisatie wordt gemaakt met het oog op de verscherping van de privacywetgeving. De Europese Unie bereidt momenteel wetgeving voor die de gedateerde privacyrichtlijn uit 1995 moet vervangen. De nieuwe verordening stelt bedrijven en organisaties - ook universiteiten - onder meer verplicht een functionaris gegevensbescherming aan te stellen. Ook worden organisaties gedwongen om op een verantwoorde manier met persoonsgegevens om te gaan. Wanneer dat niet gebeurt, kunnen er stevige boetes uitgedeeld worden.
De EU-wetgeving wordt op zijn vroegst in 2017 van kracht. Vooruitlopend op de EU-verordening heeft de Nederlandse regering een meldplicht datalekken ingevoerd, die al op 1 januari 2016 ingaat. Bedrijven en organisaties zijn vanaf die datum verplicht om inbreuken op de beveiliging die leiden tot bijvoorbeeld diefstal, verlies of misbruik van persoonsgegevens te melden. Doen ze dat niet, dan dreigt een boete die kan oplopen tot 810.000 euro.
"Er verandert echt wat", zegt Artan Jacquet, leider van het privacyproject binnen de Universiteit Utrecht. "Dit is niet voor de bühne. We moeten meer aandacht aan privacy gaan besteden."
Hoe gaat de universiteit nu om met persoonsgegevens?
"Momenteel inventariseren we waar allemaal met persoonsgegevens wordt gewerkt. Het wemelt van de losse bestanden met daarin persoonsgegevens. Zo worden er lijsten bijgehouden met eetvoorkeuren van studenten. Wie eten halal en koosjer? Wie is allergisch voor nootjes? Dat zijn zeer gevoelige persoonsgegevens. Dus het is belangrijk om te weten waar die data worden opgeslagen en wie ze beheert. Door een overzicht van databases te maken zijn we op zoek naar hiaten in onze verwerking van persoonsgegevens, zodat we die in een vervolgstadium kunnen voorkomen in onze systemen en processen."
Ik beheer voor mijn werk talloze documenten met daarin contactgegevens en andere persoonsgegevens van mensen die ik zo nu en dan bel of mail. Moet ik dat nu allemaal opgeven?
"In principe is elk gegeven over een persoon, dus informatie die ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is, een persoonsgegeven. Dus het antwoord is ja. Ik snap dat mensen het lastig vinden om precies na te gaan wat ze allemaal aan persoonsgegevens verwerken. Maar draai het eens om. Stel dat het om jou gaat, om jouw gegevens. Dan wil je graag weten wat er met jouw gegevens gebeurt. "
De universiteit is een grote organisatie waarin veel data rondgaan. Hoe krijg je daar grip op?
"Dat is ingewikkeld. De universiteit wordt relatief decentraal bestuurd en wetenschappers hebben een grote eigen verantwoordelijkheid. Dat is goed, maar bij iets nieuws als de omgang met privacy moeten we denk ik toch een handje helpen. Er zijn nu eenmaal enorm veel data in de universiteit: data van studenten, medewerkers, respondenten, patiënten en van de vele bezoekers die op de campus komen en bijvoorbeeld geregistreerd worden door bewakingscamera's. Het is onze dure plicht om die gegevens goed te beschermen."
Mogen UU'ers straks minder met persoonsgegevens?
"Het gaat in eerste instantie niet om verbieden, maar op awareness creëren. Veel dingen gaan nu suboptimaal: niet alleen op privacygebied, maar ook op het gebied van efficiency. Docenten berekenen bijvoorbeeld eerst hun cijfers in Excel en zetten ze daarna pas in Osiris om ze te publiceren. Daardoor loop je het risico dat je die cijfers ooit kwijtraakt, bijvoorbeeld omdat je een usb-stick in de trein laat liggen. Je kunt ook denken: laten we de interface van Osiris beter maken zodat docenten hun cijfers daar kunnen berekenen. Dat is veiliger en het scheelt werk: je hoeft namelijk niet een extra stap met Excel te maken. En je voorkomt dat er kopietjes ontstaan met verouderde informatie."
Hoe zorg je ervoor dat UU'ers veilig omgaan met data?
"Er moet echt een cultuurverandering komen. Ik merk een asymmetrie als het gaat om gevoelige data. Als het gaat om de data van mensen zelf, bijvoorbeeld in het geval van de universitaire loonstrookjes die nu online opvraagbaar zijn, dan reageren mensen heel defensief. Gaat het om data van anderen dan ervaren ze regels als extra bureaucratie. We willen niet dat mensen privacy als een paarse krokodil gaan zien, daarom benadrukken we ook dat er veel te winnen is op het gebied van efficiency."
Wie gaat het privacybeleid handhaven?
"Er wordt een functionaris gegevensbescherming aangesteld, waarschijnlijk eind 2016. Dat is een verplichting in de aankomende EU-wetgeving. Zo'n functionaris dient onder andere als een interne toezichthouder op de verwerking van persoonsgegevens en zal bij nieuw beleid en bij het ontwerp van universitaire software een privacy impact assessment maken. Vergelijk het met een milieueffectrapportage. Het is beter om in een vroeg stadium te weten dat je rekening moet houden met een kikkerpopulatie bij de aanleg van weg, dan dat je halverwege het werk gedwongen wordt de plannen op te schorten."