Privacy support in de praktijk

Uiteindelijk is het voldoen aan de AVG niet meer en minder dan je zo proactief mogelijk bewegen in een krachtenveld en kiezen wat je wel en niet doet | Tom Paffen

In deze paragraaf laten we als inspirerend voorbeeld zien hoe de Vrije Universitiet Amsterdam privacy support vormgeeft met hun concept van privacy champions. We sluiten af met een tweetal voorbeelden van kansen voor privacy support

Privacy champions bij de VU

Interview, juni 2019

Sinds de invoering van de AVG in mei 2018 zijn instellingen druk in de weer om de benodigde support te regelen. Om inspiratie op te doen over manieren om privacy support vorm te geven, ging RDNL op onderzoek uit bij de Vrije Universiteit van Amsterdam. Hier wordt gewerkt met zogeheten privacy champions. Wat zijn het en hoe ziet dat er in de praktijk uit?


Privacy champions zijn onze ogen en oren in de faculteiten. Zij weten wat er op de werkvloer gebeurt met persoonsgegevens en zijn het eerste gezicht voor de werknemers | Tom Paffen


Alhoewel er feitelijk helemaal niet zoveel veranderd is in wat er wel en niet mag, heeft de AVG wel veel meer bewustwording gebracht. Dus dat is goed nieuws. De AVG brengt wel meer administratieve verplichtingen met zich”, aldus Tom Paffen, privacyjurist bij de VU in Amsterdam.  

Om aan de toenemende vraag aan support te voldoen en tegelijkertijd aan compliance te werken, zette Tom samen met twee collega juristen een netwerk van privacy champions op. “Privacy champions zijn onze ogen en oren in de faculteiten. Zij weten wat er op de werkvloer gebeurt met persoonsgegevens en zijn het eerste gezicht voor de werknemers”, aldus Tom.

Maatwerk  

De privacy champions werden binnen de huidige werknemers geworven door de faculteitsdirecteuren. Zij zijn minimaal een halve dag in de week bezig met privacy-gerelateerde vragen. Om ervoor te zorgen dat de privacy championsvoldoende beslagen ten ijs zouden komen, ontwikkelden Tom en collega’s een training van 8 dagdelen over de juridische kant van privacy. Wat staat er nu eigenlijk in de AVG en hoe moet je de regels toepassen? “Het lastige van de AVG is dat deze open normen bevat. Het antwoord op een vraag hangt dus bijna altijd af van de omstandigheden”, legt Tom uit. Naast de training richtten Tom en collega’s een speciale intranetpagina in waar de privacy championsmodelovereenkomsten kunnen vinden en waar ze vragen kunnen stellen.

Inmiddels lopen er zo’n 35 privacy champions rond binnen de VU. Steef Löwik, hoofd van het onderzoeksbureau sociale wetenschappen, is een van hen. Binnen zijn faculteit zijn vier privacy champions benoemd: twee voor onderzoek en twee voor onderwijs. Steef is privacy champion voor onderzoek. “Het is een vrij diverse taak en vergt relatief veel maat- en uitzoekwerk per vraag, omdat elke casus net even anders is”, vertelt Steef. “Je kunt vanuit privacy perspectief te maken krijgen met vragen over het beveiligen, opslaan en delen van persoonsgegevens, wat nauw raakt aan datamanagement, ethiek en IT-beveiligingsaspecten.

De toekomst

Hoe zien Tom en Steef de toekomst? Op dit moment sturen Tom en collega’s het netwerk nog organisch bij en bewegen ze stapsgewijs naar het volgende level. Op dat volgende level zou Tom graag een fulltime privacy champion zien voor elk van de drie domeinen onderzoek, onderwijs en bedrijfsvoering. “De vragen zijn echt anders binnen de domeinen”, weet Tom. 

Steef hoopt dat de taken wat structureler belegd zullen gaan worden. “Binnen de VU wordt het concept van “champions” nu ook voor datamanagement en IT uitgerold en verder ingekleed door verschillende collega’s. Dat werkt niet efficiënt. Privacy, IT, datamanagement en ethische toetsing moeten idealiter meer bij elkaar komen”, denkt Steef.

VU breed wordt op dit moment het Privacy Perfect programma ingevoerd. Via dit programma worden gegevensverwerkingen van de VU geregistreerd en kunnen ook gegevensbeschermingseffectbeoordelingen (DPIA’s) worden uitgevoerd. Steef verwacht dat de privacy champions hier veel vragen over zullen krijgen. Daarnaast is de functionaris gegevensbescherming bezig met een ‘privacy compliance framework’. Volop beweging dus.

“Uiteindelijk is het voldoen aan de AVG niet meer en minder dan je zo proactief mogelijk bewegen in een krachtenveld en kiezen wat je wel en niet doet ”, weet Tom.

Vier tips

Tom sluit af met vier tips voor instellingen die er ook aan denken een netwerk van privacy champions in te zetten:


1. Zorg ervoor dat bij iedereen op het netvlies staat dat privacy belangrijk is en waarom

Benadruk bijvoorbeeld dat maatregelen nodig zijn om onderzoekersdeelnemers te laten zien dat hun gegevens overeenkomstig de AVG worden verwerkt en dat dat ook een voorwaarde is om subsidie te krijgen.

2. Zorg ervoor dat privacy champions worden benoemd

Bij de VU hebben de privacy officers en de functionaris gegevensbescherming het samen met het CvB opgepakt. Zij waren het er snel over eens dat het benoemen van privacy champions nodig was.

3. Zorg ervoor dat de privacy champions er niet alleen voor staan

De privacy champions moeten kunnen terugvallen op tweedelijns hulp van juristen.

4. Zorg ervoor dat de privacy champions goed worden opgeleid

Zorg ervoor dat de privacy champions goed worden opgeleid, juridisch maar ook in communicatievaardigheden. Privacy champions zijn soms de brenger van het nieuws dat iets anders moet. Dat betekent dat je niet bang moet zijn voor een discussie en niet snel rode wangetjes moet krijgen. Het is soms lastig om tegen onderzoekers te moeten zeggen dat ze dingen anders moeten doen dan ze altijd deden.


In de spotlight


Kansen voor privacy support: deel 1

In een bijeenkomst bij de TU Delft kwamen 40 data supporters tot de volgende shortlist van prioriteiten bij privacy support (Andrews e.a. 2018): 

  1. Create a list of trusted archives for researchers where they can deposit personal data;
  2. Publish an informed consent template for your researchers;
  3. Publish a list of FAQs concerning personal data;
  4. Provide access to a trusted Data Anonymisation Service;
  5. Create categories to define different types of personal data at your institution.

De focus van dit soort lijsten verschuift mettertijd maar het gaat natuurlijk om het onderliggende principe: benoem samen hiaten en mogelijkheden en .... Just Do It.  

Kansen voor privacy support: deel 2

Privacy officers, collega data stewards, de medisch ethische toetsingscommissie, de functionaris gegevensbescherming, juristen, beleidsmedewerkers, informatiebeveiligingsexperts, etc. Juist omdat er bij privacy support zoveel spelers betrokken zijn, biedt dit kansen om als data supporter op zoek te gaan naar synergie in het verlenen van ondersteuning.

In de illustratie die zich opent als je hier klikt, zie je bijvoorbeeld een aantal instrumenten waar onderzoekers die persoonsgegevens verzamelen mee te maken kunnen krijgen, zoals het opstellen van een datamanagementplan, uitvoeren van een Data Protection Impact Assessment (DPIA) en het gereedmaken van spullen voor een ethische review. Dit soort instrumenten overlapt gedeeltelijk in de gestelde vragen. Al met al een mooi gebied om samen met collega data supporters en onderzoekers te verkennen hoe dat makkelijker kan. En dat is precies wat LCRDM (2019) heeft gedaan. 


Bronnen 

Klik om te openen/sluiten

Autoriteit persoonsgegevens (n.d.) Data Protection Impact Assessment (DPIA). https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/data-protection-impact-assessment-dpia 

Andrews, H. et al. (2018). GDPR in research - what does it mean for research institutions?. Zenodo. https://doi.org/10.5281/zenodo.1408108 

LCRDM (2019). Ethische toetsing, AVG en Research Data Management in de sociale wetenschappen [Blog]. https://www.edugroepen.nl/sites/RDM_platform/RDM_Blog/Lists/Posts/Post.aspx?ID=38

Privacy Perfect (n.d.) https://www.privacyperfect.com/home