Privacy-vragen over deelname UU aan Culturele Barometer
De Universiteit Utrecht mag niet bijhouden of een werknemer een migratieachtergrond heeft. Toch wil de universiteit in het kader van het diversiteitsbeleid graag weten hoe divers haar personeelsbestand is. Door meer te weten over de culturele achtergrond van de werknemers met de Nederlandse nationaliteit, is er beter beleid op te maken, stelt de universiteit. Om die reden heeft de UU samen met enkele andere universiteiten besloten mee te doen aan het project Culturele Barometer. Daarbij worden gegevens van UU-medewerkers naar het CBS gestuurd en vervolgens gekoppeld aan andere bestanden die het bureau heeft. Eerder was in de Tweede Kamer een kritisch debat over de wenselijkheid van dit project.
De UU zegt de persoonlijke gegevens volgens een strikt beveiligde methode naar het CBS te sturen met de volgende informatie: geboortedatum, geslacht, functie, schaal, vast/tijdelijk contract en faculteit voor het peilmoment 31 december 2020. De gegevens waarmee het CBS deze informatie kan koppelen aan haar bestanden zijn postcode, huisnummer en huisnummertoevoeging, die het CBS dus ook krijgt van de UU. Na deze koppeling wordt de betreffende koppeldata direct verwijderd door het CBS zodat verdere verwerking gepseudonimiseerd plaatsvindt en de resultaten niet herleidbaar zijn naar individuele medewerkers.
De UU heeft ervoor gekozen om geen toestemming te vragen aan de medewerkers, maar de medewerkers in de gelegenheid te stellen bezwaar te maken. Reden is omdat het publieke belang van gelijke kansen op de arbeidsmarkt zwaarder weegt dan privacybelang van individuele medewerkers.
Toch bleken er na de eerste brief op 17 maart dat er veel vragen bestonden over deze werkwijze. In de eerste brief stond niet duidelijk hoe de gegevens gekoppeld zouden worden en in hoeverre dit herleidbaar is. Ook is er angst dat de gegevens via hacking in handen komen van vreemden. In de tweede mail van 30 maart is de uitleg uitgebreid en de termijn om bezwaar te maken verlengd van 1 tot 9 april.
Artan Jacquet, de UU-functionaris voor gegevensbescherming, is de persoon die op het proces moet toezien. Hij zegt dat de wet Algemene Verordening Gegevensbescherming (AVG) inderdaad de mogelijkheid biedt om de gegevens op deze manier door te spelen. Er zijn wel bepaalde voorwaarden waaraan de UU zich bij deze verwerking aan moet houden. Zo zou er een risico verkennend onderzoek gedaan moeten worden. Waar kan het fout gaan? En hoe kan je dat voorkomen? Te denken valt aan de mogelijkheid dat de gegevens bij het overdragen in verkeerde handen komen of aan een analyse van het minimum aan gegevens dat nodig is om het gewenste effect te bereiken. Zo’n onderzoek is volgens Jacquet niet geheel volgens de wettelijke regels gedaan.
Ook moet je het personeel goed informeren over de gegevens die worden verstrekt en waarom. Die informatie kwam pas na kritiek op de eerste e-mail.
Jacquet denkt ook dat het beter was geweest wanneer dit verzoek tot het overdragen van persoonlijke gegevens, besproken zou zijn geweest met de medezeggenschap en was afgestemd met de Functionaris voor Gegevensbescherming en zijn team. “Als het met ons besproken was geweest, hadden we wettelijke verplichtingen kunnen aangeven om op correcte wijze mee te werken aan dit project. Nu stond in de brief dat mensen met klachten over privacy bij ons terechtkonden, terwijl wij zelf al kritische opmerkingen hadden. Dat is vreemd.”
In een reactie zegt Janneke Plantenga, die als Dean Diversity verantwoordelijk is voor dit project, dat er wel degelijk een risicoanalyse heeft plaatsgevonden. Daarbij is gekeken of de gegevens voldoende veilig doorgegeven konden worden. Zo is volgens haar zeker dat uit de cijfers geen gevoelige informatie is te herleiden tot een persoon. Er zal bij de verwerking gewerkt worden in clusters van minimaal 250 personen. Daarnaast is er ook gekozen om de BSN-nummers niet mee te sturen. "De informatie die we nu gaan doorgeven is wat echt nodig is om dit doel te dienen", aldus Plantenga.
De UU werkt in dit project samen met de andere universiteiten die deelnemen. Dat zijn Leiden, de Vrije Universiteit, Erasmus en de Universiteit van Amsterdam. De procedure is goedgekeurd door de Functionarissen van Gegevensbeheer van al die universiteiten. Plantenga: "Het is alleen jammer dat er iets is misgegaan in de afstemming met de Utrechtse functionaris en zijn team over de vragen die ze zouden kunnen krijgen."
In de communicatie was in eerste instantie gekozen om niet teveel detailinformatie te geven. Meer informatie was beschikbaar op intranet. Naar aanleiding van vragen van medewerkers, is ervoor gekozen om alsnog een tweede mail te sturen op 30 maart.