Campus

Nog veel vragen over privacyverordening

De TU kreeg een paar honderd vragen over de nieuwe privacyverordening die op 25 mei is ingegaan.

Connie van Uffelen

De Algemene Verordening Gegevensbescherming (AVG) vervangt met ingang van vrijdag 25 mei de Wet bescherming persoonsgegevens (Wbp). Dat heeft vooral gevolgen voor de manier waarop de universiteit met persoonsgegevens omgaat.


Op de intranetpagina privacy.tudelft.nl geeft de universiteit informatie, tips en antwoorden op veelgestelde vragen.Toch zijn er volgens functionaris voor de gegevensbescherming Erik van Leeuwen  enkele honderden vragen binnengekomen.


Vragen gingen onder meer over verwerkersovereenkomsten, die nodig zijn als verwerking van persoonsgegevens worden uitbesteed aan een externe partij, en over applicaties waarvan de datacentres binnen de Verenigde Staten staan, zoals Google Docs en MailChimp. Er komen algemene vragen binnen over wat de privacyverordening inhoudt en studie- en studentenverenigingen willen weten wat ze moeten doen om aan de AVG te kunnen voldoen.


Die laatste vraag is volgens Van Leeuwen ‘lastig te beantwoorden’ omdat vaak niet bekend is hoe ver verenigingen al zijn. “Ze hebben ledenlijsten en vragen zich af of ze daarvoor toestemming moeten vragen en hoe ze om moeten gaan met pasfoto’s”, aldus Van Leeuwen.


Wat hij ze antwoordt is dat als mensen lid worden van een vereniging ze een overeenkomst hebben  die moet worden uitgevoerd. “Het ligt complexer als je pasfoto’s krijgt en daar vervolgens wat mee doet. Op internet zetten is niet altijd de bedoeling.”


We schreven er al eerder over, maar nog even op een rijtje wat er met ingang van 25 mei is veranderd. De universiteit moet onder meer:


  1. Kunnen laten zien wat er waar aan persoonsgegevens staat geregistreerd, zowel centraal als in faculteiten. De meeste gegevens zijn ingevuld in een register. Vooral decentraal is het meer werk, aldus Voortman.

  2. Een functionaris voor de gegevensbescherming hebben, die toezicht houdt op naleving van de AVG. Dat is Erik van Leeuwen.

  3. Verwerkersovereenkomsten hebben wanneer verwerking van persoonsgegevens wordt uitbesteed aan een externe partij. De TU Delft werkt daarin samen met Surf, de ict-samenwerkingsorganisatie van het onderwijs en onderzoek in Nederland. Voor het nieuwe R&O-systeem is een contract gemaakt.

  4. Vaker uitdrukkelijk toestemming vragen om persoonsgegevens te mogen verwerken.

  5. Te allen tijde transparant zijn over welke persoonsgegevens ze verzamelt, gebruikt, en raadpleegt, en in hoeverre ze dit op wettelijke basis doet.

  6. Actief beleid voeren om de AVG na te leven. De vingerscan bij Sport & Cultuur wordt mede om die reden eind april afgeschaft, aldus directeur Raymond Browne. Datalekken bijvoorbeeld moet de universiteit binnen 72 uur melden.

  7. Personen het recht geven om ‘vergeten’ te worden en dus uit databases te verwijderen, tenzij wettelijke vereisten dat niet mogelijk maken. Daarnaast hebben mensen het recht op inzage, correctie en hergebruik van hun gegevens voor een andere organisatie.


Hoe daar nu mee om te gaan? Legal Services komt met deze do’s and don’ts.


Do’s


  • Verzamel en gebruik alleen persoonsgegevens die je echt nodig hebt.

  • Zorg er voor dat je zo min mogelijk persoonsgegevens op zo min mogelijk plekken opslaat, achterlaat en toegankelijk maakt voor anderen.

  • Wees extra voorzichtig en terughoudend met het gebruik van gevoelige persoonsgegevens zoals burgerservicenummer, gegevens over iemands gezondheid en financiële gegevens.

  • Lock je computer, tablet of telefoon als je er niet mee bezig bent, zowel op als buiten de campus (Windowstoets + L).

  • Bij nieuwe projecten: controleer of ze voldoen aan de AVG. 

  • Bij aanschaf van nieuwe grootschalige systemen: check of een Data Protection Impact Assessment nodig is. Dat is een instrument om vooraf de privacyrisico’s in kaart te brengen.

  • Overleg of het verzamelen van persoonsgegevens in een project is toegestaan.

  • Verwijder of vernietig documenten met persoonsgegevens wanneer ze niet meer nodig zijn, ook mails.

  • Meld wanneer je een datalek vermoedt.


Don’ts


  • Deel persoonsgegevens niet zomaar met anderen, zeker niet voordat je weet waarom diegene ze nodig heeft.

  • Verstrek niet zomaar persoonsgegevens aan derde partijen buiten de universiteit.

  • Gebruik persoonsgegevens uit het ene project niet zomaar voor een ander project.

  • Laat geen papierwerk met persoonsgegevens slingeren, ook niet bij de printer.

  • Bewaar persoonsgegevens niet in onbeveiligde bestanden.

  • Bewaar persoonsgegevens van de TU Delft niet in cloud applicaties zoals Google Drive en Dropbox. Surfdrive is wel toegestaan.

Nieuwsredacteur Connie van Uffelen

Heb je een vraag of opmerking over dit artikel?

c.j.c.vanuffelen@tudelft.nl

Gerelateerd

Comments are closed.