Vergeleken met de huidige privacywetgeving biedt GDPR de burger extra controle over zijn gegevens. Zo komen er meer maatregelen tegen datalekken en kan er klacht neergelegd worden waarbij de toezichthoudende overheid hoge boetes kan opleggen. Een andere verplichting die de nieuwe maatregelen met zich meebrengen in grote organisaties zoals de VUB, is de aanstelling van een Data Protection Officer. En die DPO is Audrey Van Scharen. Zij is als jurist 50% verbonden aan de Legal & Ethics Office van de dienst R&D en tekent voor de overige 50% het GDPR-beleid van de VUB uit.

Je zal moeten nagaan of mensen wel degelijk toestemming gaven om bijvoorbeeld een nieuwsbrief te ontvangen.



Wijziging in e-mailcultuur
“Medewerkers zullen zich vaker de bedenking moeten maken of ze al dan niet bezig zijn met persoonsgegevens. En hoe ze daarmee moeten omgaan. Vooral in de e-mailcultuur die er vandaag nog altijd heerst, wringt vaak het schoentje. Stuur geen grote Excel bestanden door via mail maar zet die op SharePoint. En zet, wanneer je mails uitstuurt, niet iedereen in cc maar verberg de overige adressen. Je moet sowieso toestemming, of een andere rechtmatige verwerkingsgrond, hebben van de bestemmeling wanneer je bulkmails of nieuwsbrieven uitstuurt. Je zal dus moeten nagaan of de persoonsgegevens die je bezit daar wel mogen zijn en of de mensen wel degelijk toestemming gaven om bijvoorbeeld een nieuwsbrief te ontvangen.”
 



Het aanmaken van één gemeenschappelijke database met voldoende toegangen voor de mensen die er mee moeten werken is de oplossing.



Sharing is caring
“We gaan liever weg van het individuele Excel bestand op een computer van een individuele medewerker. Want dat maakt de uitoefening van de rechten van de betrokkene quasi onmogelijk. Als bijvoorbeeld iemand vergeten wil worden kan je moeilijk die gegevens in elk individueel bestand wissen. Het aanmaken van één gemeenschappelijke database met voldoende toegangen voor de mensen die er mee moeten werken is de oplossing. Maar die ligt niet zo voor de hand, daarom onderzoeken we op dit ogenblik alle mogelijke opties op dat vlak.”
 



In een register lijst je op welke gegevens je hebt, over wie het gaat, waar je je ze bewaart, hoe lang en welke gegevens vernietigd of gemonitord moeten worden.



Nieuw in de wet is ook het aanleggen van een register voor de verwerkingsactiviteiten van de data. “In dat register lijst je op welke gegevens je hebt, over wie het gaat, waar je je ze bewaart, hoe lang en welke gegevens vernietigd of gemonitord moeten worden. Verreweg de meeste gegevens moeten anoniem zijn. Dat lijkt vaak wel zo maar is het niet altijd. Als je bijvoorbeeld een databestand hebt van scholieren met daarin enkel hun leeftijd, school en postcode dan is een combinatie van die drie gegevens toch niet anoniem. Ook IP-adressen zijn persoonsgebonden gegevens.”
 



Goed om te weten is dat elke dienst en onderzoeker binnen de VUB zelf ook de verantwoordelijkheid draagt voor het correct behandelen van persoonsgegevens.



Iedereen draagt verantwoordelijkheid
“Een van mijn belangrijkste taken is het bewustmaken van de cultuurverandering die deze wetgeving deels met zich meebrengt. Veel diensten maken gebruik van persoonsgegevens, onderzoekers ook. Met name die laatste groep heeft begrijpelijk het liefst zoveel mogelijk data. Goed om te weten is dat elke dienst en onderzoeker binnen de VUB zelf ook de verantwoordelijkheid draagt voor het correct behandelen van persoonsgegevens. Voor 25 mei ga ik bij alle diensten persoonlijk langs om advies te geven. Dan overlopen we samen het register om te bepalen wat erin moet worden opgenomen en wat niet.”
 
Lees verder onder de foto
 


Team work
Die datum van 25 mei lijkt snel dichtbij te komen. Gelukkig staat een DPO er niet alleen voor.
 
“Een belangrijke rol is weggelegd voor onze veiligheidsconsulent Jan Paredis. Hij geeft concreet advies over de beveiliging van de persoonsgegevens, machtigingsaanvragen voor inzage in persoonsgegevens bij de privacycommissie en voor meldingen in het kader van datalekken. Verder is er een interdisciplinaire werkgroep met andere universiteiten en heb ik intern heel veel gehad aan het voorbereidend werk van Ward Vansteenkiste van het Centrum voor Academische en Vrijzinnige Archieven van de VUB. Voor het Algemeen Strategisch Plan 2 (ASP2) project Duurzaam Digitaal hadden ze in 2016 al een heel grote inventaris gemaakt, daar werken we nu samen op verder voor de opmaak van het register. Ook in het Algemeen Strategisch Plan 2030, de opvolger van ASP2, is een belangrijk project rond data governance voorzien met het KennisDataPlatform onder leiding van Walter Ysebeart. Dit gaat natuurlijk over meer dan enkel persoonsgebonden data. Maar in elk geval ligt er een mooie toekomst voor de VUB data in het verschiet.”
 
Meer weten over GDPR?
Contacteer Audrey Van Scharen via dpo[at]vub.be.