5 jaar AVG: geen privacypaniek meer (maar we zijn er nog niet)
25 mei 2018 was een belangrijke deadline voor veel instellingen. Vanaf dat moment werd de Algemene Verordening Gegevensbescherming (AVG) gehandhaafd. Inmiddels is het stof neergedaald. Wat is er in de afgelopen vijf jaar gebeurd en welke uitdagingen staan onze sector nog te wachten?
In sneltreinvaart
Hoewel we in Nederland de Wet bescherming persoonsgegevens (Wbp) als voorganger hadden, had de overgang naar de AVG een grote impact. “Kunnen groepsfoto’s van studenten nog wel gedeeld worden? En hoe communiceer je over studieresultaten zonder de privacy van een student te schaden?” Bij SURF kwamen veel bezorgde vragen binnen.
Onder tijdsdruk voor de invoering werd in sneltreinvaart ingezet op het ontwikkelen en vullen van het verwerkingsregister, awareness-bijeenkomsten en trainingen. In de eerste periode waren processen zoals het melden van een datalek of uitvoeren van Data Protection Impact Assessment (DPIA) nog niet uitgekristalliseerd. Er werd vaak een beroep gedaan op de privacy officer en functionaris gegevensbescherming (FG) omdat medewerkers nog niet wisten wat een verwerkersovereenkomst was en wanneer of door wie die opgesteld en ondertekend moest worden.
Zichtbaar zijn in de organisatie is dan ook belangrijk voor privacy-professionals: “De onderzoeksprojecten die persoonsgegevens verwerkten, kwamen bij mij langs. Dat kostte veel tijd en energie, maar als zij de eerste keer goed geholpen worden, kunnen ze het later zelf. Het is belangrijk dat je als privacy-ondersteuner een gezicht hebt en mensen je weten te vinden”, vertelt Joan Schrijvers, corporate privacy officer en jurist bij Wageningen Universiteit.
De belangrijkste barrières
De wetgeving voor privacy was niet nieuw: de Wbp stelde dezelfde eisen, alleen was die wet minder bekend. Bovendien ervoeren een aantal onderwijsinstellingen de AVG als een wet die bedoeld was om de grote tech-giganten zoals Facebook en TikTok aan banden te leggen. Het overtuigen van het bestuur van het belang van de AVG was daarom bij veel instellingen een moeizaam proces. Bij instellingen waar wél budget en capaciteit was, is privacy veel meer een onderdeel van de organisatie geworden. Door privacy vanaf het begin te betrekken bij projecten en processen verander je de manier waarop medewerkers, docenten en onderzoekers denken over het verzamelen van gegevens.
Het is moeilijk om grip te hebben op digitale data. De digitalisering gaat steeds sneller, dus zijn er steeds meer persoonsgegevens, data en systemen. Bovendien wordt er vaker gebruik gemaakt van leveranciers, die op hun beurt ook gebruik maken van leveranciers. Zo wordt het verwerken van gegevens snel complex en daarmee ook moeilijker om te beschrijven en er verantwoording over af te leggen. En als je geen zicht hebt op processen, systemen en verwerkingen, is het onmogelijk om er transparant over te zijn.
Onderwijs- en onderzoeksinstellingen hebben van oorsprong een cultuur waarin onderzoekers en docenten een grote vrijheid ervaren om hun vak uit te oefenen. Deze academische vrijheid is een groot goed, maar betekent ook dat medewerkers niet gewend zijn om processen vanuit een compliance-perspectief te beschrijven. Tot slot wordt de positionering en rol van de privacy officer en FG heel verschillend ingevuld. Wanneer de governance en positionering van privacyprofessionals niet op orde is, kunnen zij hun rol niet goed invullen.
Trots op draagvlak voor privacy
Er is veel bereikt in de afgelopen vijf jaar. Inmiddels is de maatschappij, en dus ook besturen en medewerkers van instellingen, doordrongen van het belang van privacy. Niels Huijbregts, FG bij SURF: “Onder de Wbp was privacy een academisch gespreksonderwerp voor liefhebbers. Nu is het bij grote groepen mensen een heel belangrijk onderwerp. Je hoort het ook in privégesprekken voorbij komen.”
Eric van Hoof, privacy officer bij de Universiteit Leiden, is trots dat zijn universiteit bewustzijn heeft gecreëerd voor het belang van privacy. “Het verwerkingsregister is serieus aangepakt door daar geld voor vrij te maken. De FG is bij ons echt een onafhankelijke positie die toezicht kan houden en advies kan geven.”
“In het begin heb ik veel energie gestoken in dingen die niet bij de privacy officer horen te liggen”, vult René Zaal aan. Hij is functionaris gegevensbescherming bij het Novacollege. “Het beoordelen van een verwerkingsovereenkomst, het opstellen van een verwerkingsregister, een awareness-campagne, datalekken helemaal zelf afhandelen. Nu zijn deze activiteiten onderdeel van de organisatie: ik neem kennis van een datalek, check of er actie wordt ondernomen, maar andere mensen volgen het proces dat we hebben ingericht.”
Eigenlijk zijn we als sector onderwijs en onderzoek heel goed uitgerust om het juiste te doen, vindt Artan Jacquet, voormalig functionaris gegevensbescherming van de Universiteit Utrecht. “We weten heel goed hoe we met data om moeten gaan in algemene zin. We zijn heel creatief - dat is voor wetenschappers core business. En we zijn maatschappelijk georiënteerde organisaties die het graag goed willen doen. Dat gaat ook om het beschermen van grondrechten. Goede omgang met persoonsgegevens past daarin.”
Eigenaarschap en corvee
Er gaat dus al veel goed, maar er zijn ook dingen die meer tijd kosten dan verwacht. “Het lijkt of we een duidelijker eigenaarschap op brandblussers hebben dan op de data in onze systemen”, zegt René Zaal van het Novacollege. “Terwijl de kans dat je gehackt wordt vele malen groter is dan een brand. Docenten en medewerkers zijn minder bekend met hun verantwoordelijkheid voor de door hen verzamelde en bewerkte data. De gedachte is vaak: het systeem is van de IT-afdeling, dus zij zijn eigenaar van de gegevens.”
Esther van der Ent, corporate privacy officer bij de HAN, vult aan: “We hebben zoveel gedaan in een korte periode. Binnen deze instelling is hiertoe alle kans en gelegenheid. Men wil het graag goed doen en is bereidwillig mee te werken, maar gebrek aan kennis van het onderwerp leidt soms tot weerstand en onbegrip. Dit staat haaks op elkaar en levert soms wat discussie en verkeerde prioriteitstellingen op.”
De bureaucratische kant van privacy loopt langzamer, merkt ook Niels Huijbregts van SURF. “Het documenteren en registreren van belangenafwegingen vinden mensen het minst leuk. Het is absoluut niet het belangrijkste onderdeel van de AVG, maar om aantoonbaar in control te zijn moet je laten zien waar je iets hebt opgeschreven. Dat kost veel moeite en mensen ervaren het als corvee.”
We zijn er dus nog niet. Zo is het nog altijd zoeken naar goede tooling voor het verwerkingsregister en het afhandelen van AVG-verzoeken, aldus Bart van den Heuvel, CISO en voormalig FG bij de Universiteit Maastricht. “Maar ook ‘privacy-by-design’ zit nog niet goed tussen de oren. Bijvoorbeeld bij de overstap naar clouddiensten wordt dat nog te weinig in praktijk gebracht.”
Bij meerdere instellingen is er inmiddels sprake van een klein maar krachtig privacyteam, en een vorm van privacynetwerk in de organisatie met behulp van datastewards of privacycoördinatoren. Toch wordt een gebrek aan capaciteit ook genoemd als struikelblok. Er zijn instellingen waar slechts één persoon verantwoordelijk is voor alle privacytaken. Ook is de positionering van de FG of de privacy officer niet altijd helder, wat onrealistische verwachtingen schept.
Uitdaging voor de komende vijf jaar: jezelf overbodig maken
De geïnterviewden die we spraken voor dit artikel, willen de komende vijf jaar een hoger volwassenheidsniveau behalen met hun instelling. “Maar dat betekent dat we veel moeten formaliseren en vooral moeten handelen naar de opgestelde kaders op het gebied van privacy en informatiebeveiliging”, benadrukt Esther van der Ent van de HAN. “Het is geen feestje van de centrale privacyafdeling maar iets van de gehele organisatie. Privacy is van ons allemaal! Als we dit kunnen bereiken, is voor mij een belangrijk doel behaald.”
De wens van Joan Schrijvers van Wageningen University? “Mezelf overbodig maken. Het liefste heb ik dat medewerkers privacy meteen meenemen als tweede natuur. Het hoort erbij, net als uren schrijven. We blijven dus inzetten op tools en awareness.”
“Een goede overdracht naar iemand anders, want ik ga over drie jaar met pensioen”, is het doel van Wim Triepels, senior adviseur Bedrijfsvoering en FG bij ROC Gilde. Bij de invoering van de AVG werd nadrukkelijk gezegd dat de posities van FG en privacy officer erg geschikt waren voor ervaren collega’s die de processen van de organisatie door en door kenden. Daardoor gaan de komende jaren veel privacyprofessionals met pensioen. Die kennis moet worden overgedragen en geborgd, om de voortgang die de afgelopen jaren is gemaakt, niet te verliezen.
Tot slot: welk advies zou je meegeven aan andere instellingen?
“Mensen vinden informatiebeveiliging en privacy vaak heel moeilijk. Probeer privacy op een laagdrempelige en oplossingsgerichte manier aan te bieden. Er kan nog steeds heel veel binnen de grenzen van de AVG; het is een kwestie van uitleggen en praten over de mogelijkheden. Zo krijg je veel meer begrip. ”
Esther van der Ent, HAN
“Er is meer aandacht nodig voor privacy-awareness. Neem bijvoorbeeld artificial intelligence (AI): een ontwikkeling waaraan best wat haken en ogen zitten. Het gebruik ervan is niet te beheersen. Daar is maar één oplossing voor: uitgebreid informeren hoe AI werkt en wat de risico’s zijn. Niet alleen op de korte termijn maar juist op de lange termijn.”
Eric van Hoof, Universiteit Leiden
“Er worden vaak valse tegenstellingen geschetst, alsof de privacyafdeling tegenover de onderzoekers staat. Maar de sleutel ligt bij leidinggevenden die keuzes maken - en een pluim uitdelen als compliance goed geregeld is. Discussies voeren we vaak ad hoc, in alle hectiek. Door elkaar op rustiger momenten te spreken, kunnen we de angel eruit halen en begrip opbouwen.”
Artan Jacquet, Universiteit Utrecht
“Zorg dat je je privacy-governance goed inricht: maak tijd, capaciteit en geld vrij om mensen zichtbaar te maken in de organisatie. Intensiveer contact tussen privacy, security en datastewardschap. Als mensen begrijpen wat ze moeten doen en waarom het belangrijk is, dan gaan zij ook privacybewuster werken. En werk met een privacy-jaarplan om te laten zien wat je wilt realiseren. Het zorgt voor teambinding en trots op de behaalde resultaten.”
Joan Schrijvers, Wageningen University
“Het verwerkingsregister en alle andere activiteiten zijn belangrijk, maar dat is niet het uiteindelijke doel. Blijf kijken naar het grote geheel: privacy is een voorwaarde voor een autonoom leven. Mensen hebben het recht om hun leven te leiden zonder beïnvloeding van onzichtbare processen waar ze niet de vinger op kunnen leggen. Daar doen we het uiteindelijk voor.”
Niels Huijbregts, SURF
“Spreek eens af met andere FG’s en privacy officers, deel ervaringen en leer van elkaar. Ga in een werkgroep zitten, neem deel aan bijeenkomsten, bijvoorbeeld van MBO digitaal, SURF of Kennisnet. Je leert er veel, stimuleert mensen en ontdekt wat je eigen expertise is. Een resultaat daarvan is bijvoorbeeld het template voor verwerkingsovereenkomsten, waardoor je als instelling sterk staat en niet steeds opnieuw het wiel hoeft uit te vinden. Het is de enige manier waarop je je als kleine instelling kunt verweren tegen grote partijen. Bovendien is het inspirerend om te laten zien waar je in je instelling aan bijgedragen hebt.”
René Zaal, Novacollege