Docenten wor stelen met privacy

De nieuwe privacy-verordening heeft gevolgen voor het dagelijks werk op de TU Delft. In deze Week van de Veiligheid organiseerde de universiteit daarom informatiesessies voor studenten, docenten en andere medewerkers. Docenten bleken nogal te worstelen met de Algemene Verordening Gegevensbescherming (AVG). Vier problemen die uit hun informatiesessie naar voren kwamen:

• Zijn aanwezigheidslijsten met collegenummers van studenten rechtmatig?
  
  Deze vraag kwam voort uit een wiskundeproject, waarbij de universiteit wilde weten of er een relatie was tussen aanwezigheid en cijfer.

Volgens privacy consultant Marlou Veloo van de TU Delft moeten docenten zich steeds afvragen of die registratie ook anoniem kan en of het gaat om onderzoek op groeps- of persoonsniveau. Is het op persoonsniveau, dan moeten docenten eerst checken of de TU dat goed vindt en of er beleid voor is. Bovengenoemd onderzoek zou volgens Veloo gerechtvaardigd belang kunnen zijn om onderwijs te verbeteren of zaalbezetting te meten. Docenten moeten er dan wel open over zijn naar studenten.

Als de data op groepsniveau bestaan uit kale cijfers en geen gegevens van persoonlijke aard (bijvoorbeeld: zeven van de twintig studenten hadden een 8.5) hoef je niets te doen om AVG-proof te zijn. 

• Mag je een eigen administratie bijhouden met cijfers van studenten?

Tijdens de bijeenkomst vertelde een docent een eigen Excelsheet te gebruiken om eerder behaalde cijfers van studenten terug te zoeken. In Osiris kan hij dit niet. Daarom houdt hij een eigen administratie bij.

Volgens het privacy team mag het bijhouden van eigen lijstjes niet van de AVG. “Dat het ‘handig’ is, is geen goede reden om het te doen”, zei Veloo. Kies voor ‘pseudonimiseren’, raadde ze aan. Dat kan door herleidbare gegevens om te zetten in een nummer, waarvan de docent de code bewaart. Kiest hij of zij voor anonimiseren, dan wordt code weggegooid.  Bij het pseudonimiseren moeten docenten niet vergeten een bewaartermijn vast te stellen. Voor zover bewaartermijnen niet bij wet zijn bepaald, moeten afdelingen ze in overleg afspreken. Veloo: “Wees hier duidelijk over naar studenten.”

• Mag je de resultaten van tussentoetsen in een pdf met studentnummers in Brightspace zetten?

Dat mag niet van de AVG, stelde Veloo. De cijfers kunnen wel worden gezet in het als gebruikersonvriendelijk ervaren ‘gradebook’ van Brightspace, dat hiervoor is aangewezen. De TU werkt eraan om de gebruikersvriendelijkheid te vergroten, aldus Veloo.

• Volgen er gerechtelijke maatregelen als iemand op de campus de regels niet naleeft?

Het privacy team controleert de naleving van de AVG op de campus, maar deelt zelf geen boetes uit. De Autoriteit Persoonsgegevens zou dit wel kunnen doen, als blijkt dat de universiteit niet voldoet aan de AVG. Medewerkers en studenten hebben daar een verantwoordelijkheid in. Op dit moment is de TU volgens security consultant Sjoerd Dijkstra niet honderd procent AVG-proof, maar de universiteit ‘zit er wel bovenop’. In 2019 komt er een interne check onder studenten en medewerkers. 

Zo werk je zelf AVG-proof

• Verzamel en gebruik alleen persoonsgegevens die je echt nodig hebt.
• Zorg ervoor dat je persoonsgegevens op zo min mogelijk plekken opslaat, achterlaat en toegankelijk maakt voor anderen.
• Wees extra voorzichtig met het gebruik van gevoelige persoonsgegevens zoals burgerservicenummer, gezondheid of financiële informatie.
• Vergrendel je computer, tablet of telefoon als je er niet mee bezig bent, zowel op als buiten de campus.
• Neem bij twjfel of vragen contact op met het privacy team via privacy-tud@tudelft.nl.

[Aanvulling: 16 oktober 2018]

 In dit verslag zijn wat aanpassingen aangebracht. Zo stond in de oorspronkelijke versie na de eerste vraag: ‘Zijn aanwezigheidslijsten met collegenummers van studenten rechtmatig?’, dat docenten volgens het privacy team bij onderzoek op groepsniveau studenten zouden moeten ‘pseudonimiseren’. Uit voortschrijdend inzicht van het privacy team blijkt echter dat dit niet nodig is. Deze zinsnede met uitleg over ‘pseudonimiseren’ is daarom vervangen.

Ook is nadrukkelijker vermeld dat het bijhouden van eigen lijstjes ‘niet mag’ en dat de TU weliswaar niet 100 procent AVG-proof is, maar ‘er bovenop zit’.