Privacyverordening: do’s and don’ts

De universiteit is nog niet klaar voor de Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 de huidige Wet bescherming persoonsgegevens (Wbp) vervangt. Wel is de universiteit ‘redelijk op streek’, aldus directeur Legal Services Saskia Voortman. Als de AVG definitief van kracht is, dan moet de universiteit onder meer:

1. Kunnen laten zien wat er waar aan persoonsgegevens staat geregistreerd, zowel centraal als in faculteiten. De meeste gegevens zijn ingevuld in een register. Vooral decentraal is het meer werk, aldus Voortman.
2. Een functionaris voor de gegevensbescherming hebben, die toezicht houdt op naleving van de AVG. Dat is Erik van Leeuwen.
3. Verwerkersovereenkomsten hebben wanneer verwerking van persoonsgegevens wordt uitbesteed aan een externe partij. De TU Delft werkt daarin samen met Surf, de ict-samenwerkingsorganisatie van het onderwijs en onderzoek in Nederland. Voor het nieuwe R&O-systeem is een contract gemaakt.
4. Vaker uitdrukkelijk toestemming vragen om persoonsgegevens te mogen verwerken.
5. Te allen tijde transparant zijn over welke persoonsgegevens ze verzamelt, gebruikt, en raadpleegt, en in hoeverre ze dit op wettelijke basis doet.
6. Actief beleid voeren om de AVG na te leven. De vingerscan bij Sport & Cultuur wordt mede om die reden eind april afgeschaft, aldus directeur Raymond Browne. Datalekken bijvoorbeeld moet de universiteit binnen 72 uur melden.
7. Personen het recht geven om ‘vergeten’ te worden en dus uit databases te verwijderen, tenzij wettelijke vereisten dat niet mogelijk maken. Daarnaast hebben mensen het recht op inzage, correctie en hergebruik van hun gegevens voor een andere organisatie.

Hoe daar nu mee om te gaan? Legal Services komt met deze do’s and don’ts.

Do’s

• Verzamel en gebruik alleen persoonsgegevens die je echt nodig hebt.
• Zorg er voor dat je zo min mogelijk persoonsgegevens op zo min mogelijk plekken opslaat, achterlaat en toegankelijk maakt voor anderen.
• Wees extra voorzichtig en terughoudend met het gebruik van gevoelige persoonsgegevens zoals burgerservicenummer, gegevens over iemands gezondheid en financiële gegevens.
• Lock je computer, tablet of telefoon als je er niet mee bezig bent, zowel op als buiten de campus (Windowstoets + L).

• Bij nieuwe projecten: controleer of ze voldoen aan de AVG. 
• Bij aanschaf van nieuwe grootschalige systemen: check of een Data Protection Impact Assessment nodig is. Dat is een instrument om vooraf de privacyrisico’s in kaart te brengen.
• Overleg of het verzamelen van persoonsgegevens in een project is toegestaan.
• Verwijder of vernietig documenten met persoonsgegevens wanneer ze niet meer nodig zijn, ook mails.
• Meld het wanneer je een datalek vermoedt.

Don’ts

• Deel persoonsgegevens niet zomaar met anderen, zeker niet voordat je weet waarom diegene ze nodig heeft.
• Verstrek niet zomaar persoonsgegevens aan derde partijen buiten de universiteit.
• Gebruik persoonsgegevens uit het ene project niet zomaar voor een ander project.
• Laat geen papierwerk met persoonsgegevens slingeren, ook niet bij de printer.
• Bewaar persoonsgegevens niet in onbeveiligde bestanden.
• Bewaar persoonsgegevens van de TU Delft niet in cloud applicaties zoals Google Drive en Dropbox. Surfdrive is wel toegestaan.

De directie Legal Services komt binnenkort nog met extra informatie en een filmpje over de AVG. Ook houdt ze nog gesprekken met groepen zoals docenten over de veranderingen. Wie vragen heeft, kan mailen naar privacy-tud@tudelft.nl. Er komt een website met antwoorden op de veelgestelde vragen.