Het gemak waarmee we privacygevoelige gegevens delen moet eruit, luidt het credo van de nieuwe Algemene Verordening Gegevensbescherming. De implementatie van de AVG aan de Radboud Universiteit is voor het overgrote deel rond, maar de aandacht voor privacy mag nooit meer weg.

Even recapituleren. De AVG verving op 25 mei de vroegere Wet Bescherming Persoonsgegevens. De verordening, die voor de hele Europese Unie geldt, verhoogt de druk op instellingen om zorgvuldig met privacygegevens om te springen.

‘Eigenlijk bereiden we deze verordening al jaren voor,’ zegt Anselm van Elk, directeur informatie management aan de Radboud Universiteit. ‘De uitdaging was niet min. Centrale organisaties zoals ING hebben één customer relationship management-systeem. Aan de Radboud Universiteit hebben Radboud in’to Languages, onderwijsmarketing, alumnirelaties, faculteiten en onderzoeksinstellingen allemaal hun eigen structuur.’

De inventarisatie van de plekken waar persoonsgegevens verwerkt worden nam volgens Van Elk de meeste tijd in beslag. ‘Daarna hebben we een actieplan opgesteld. In totaal hebben we honderd acties ondernomen. Denk aan het bewustmaken van mensen van de nieuwe privacyregels, het aanstellen van functionarissen voor gegevensverwerking en het vragen van toestemming voor bepaalde processen.’

‘De aandacht voor privacy en bewustwording moet structureel blijven’

Volgens Van Elk loopt de Radboud Universiteit met haar aanpak in vergelijking met andere Nederlandse universiteiten mee in de voorhoede. ‘We zijn altijd heel eerlijk geweest in onze communicatie over de AVG. Met onze acties zijn we voor het overgrote deel klaar. Die aandacht voor privacy en voor bewustwording moet structureel blijven. Het is een groot goed, dat toonde Arjen Lubach onlangs nog mooi aan in zijn item over Facebook.’

Stok achter de deur

Als er één afdeling aan de universiteit over veel persoonsgegevens beschikt, dan is het wel de dienst Marketing en Communicatie (DMC). ‘In de voorbereiding op de AVG hebben we samen met alle andere Nederlandse universiteiten een gedragscode opgesteld over hoe we als marketingdienst omgaan met privacy’, zegt Jeroen Buijs, hoofd online strategie. ‘Die code zal worden voorgelegd aan de Autoriteit Persoonsgegevens.’

Inmiddels is DMC niet stil blijven zitten. Aan iedereen die ooit interesse heeft getoond in een studie is vanuit onderwijsmarketing opnieuw de vraag gesteld of de Radboud Universiteit berichten mag blijven sturen. ‘Wie niet reageerde, krijgt geen mails meer. We hielden nog tussen de 10 en de 15 procent van onze e-mailadressen over.’

Dat verlies van een groot deel van het adressenbestand noemt Buijs niet per se nadelig. ‘Het heeft geen zin om zomaar in het rond te schieten zonder dat je weet of de mensen die je benadert, daadwerkelijk ook benaderd willen worden. De AVG is een extra stok achter de deur om te zeggen: dat moeten we anders gaan doen.’

De Nederlandse universiteiten werken ook aan gedragscode voor alumni. ‘De vraag daarbij luidt: is een alumnus een bestaande klantrelatie? Indien wel, hoeven ze zich niet opnieuw te registreren. Op 11 juni hakken we die knoop door. De Radboud Universiteit trekt hierin gezamenlijk op met de andere universiteiten.’

Versleutelde USB-sticks

Woensdagmiddag, Huygensgebouw. Aan een mobiele privacystand kan je je RU-laptop laten versleutelen, vragen stellen over de AVG en checken of je een versleutelde USB-stick hebt gewonnen. ‘Veel mensen zijn hun lootjes al komen inleveren’, lacht Bjorn Bellink. Hij is de decentrale privacy manager van de faculteit voor Natuurwetenschappen, Wiskunde en Informatica.

Aan de FWNI is de implementatie van de AVG in volle gang. ‘Voor 27 systemen moeten we een risicoanalyse uitvoeren en de registratie op orde krijgen. Per systeem moet je vaststellen welke persoonsgegevens je verwerkt en hoe lang en met welk doel je ze bewaart.’

‘De AVG is een mooie kans om het hele systeem op orde te krijgen’

Bellink schuimt nu de faculteit af om presentaties te geven over het nieuwe privacybeleid. ‘Deze week geven we bijvoorbeeld nog een voorlichting voor de secretariaten van de onderzoeksgroepen. De secretariaten zijn een erg interessante groep in dit kader: ze werken vaak met veel persoonsgegevens en er blijkt meer dan eens sprake te zijn van een ‘schaduwadministratie’ van personeelsgegevens. De AVG is dan gelijk een mooie kans om het hele systeem op orde te krijgen door verwerkingen te centraliseren en hiermee het risico op datalekken te verminderen.’

Permanent project

In de faculteit der Managementwetenschappen klinkt hetzelfde geluid. Privacymanager Paul Mans is druk met het opstellen van verwerkersovereenkomsten. ‘Soms zit het in een onverwachte hoek. Zo kunnen studenten via een online afsprakensysteem een afspraak met een studieadviseur boeken. Die gegevens worden bij een externe partij, de aanbieder van het afsprakensysteem, opgeslagen. Met die bedrijven moeten we nu overeenkomsten sluiten’, zegt hij. ‘Zij krijgen dezer dagen natuurlijk veel soortgelijke vragen, dus vermoedelijk zijn we er nog even mee bezig.’

De bewustmaking van de studenten en de medewerkers van de universiteit is ook hier in volle gang. ‘We herinneren hen voortdurend aan de do’s en don’ts inzake privacy. Het is natuurlijk wel de vraag in hoeverre iedereen dit oppikt. In die zin is de implementatie van de AVG een permanent project.’