25 mei gaat de nieuwe Europese privacywet in. Of de universiteit daar ook klaar voor is? ‘Dit is een cultuuromslag in het gedrag van mensen. Die heb je niet met één druk op de knop omgezet.’

‘Een kwestie van jaren.’ Zolang noemt privacy-expert Ronald Sarelse het totdat de Radboud Universiteit helemaal aan de nieuwe privacy-eisen van de overheid voldoet. En dat is te lang: 25 mei gaat de Algemene Verordening Gegevensbescherming (AVG) al in. Die wet moet er in heel Europa voor zorgen dat instellingen en bedrijven hun gegevens goed beschermen én verantwoorden wat er precies met die gegevens gebeurt. Wie daar dan niet aan voldoet, riskeert boetes van honderdduizenden euro’s. Ook de universiteit, dus.

Sarelse is de functionaris voor gegevensbescherming, die de universiteit vanwege deze wet heeft aangesteld. Samen met zijn projectgroepgenoten zorgt hij er al twee jaar voor dat de universiteit ‘AVG-proof’ wordt gemaakt. Zo is er bijvoorbeeld een procedure ontwikkeld om datalekken te melden. Ook zijn er volop campagnes geweest om de medewerkers bewust te maken van hun eigen privacygedrag. Presentaties, memoblokjes, pakken kaarten, posters en banners moeten er onder andere voor zorgen dat iedereen zijn of haar gegevens versleutelt. ‘Treat your password like a toothbrush’, prijkt het al maanden op de campus.

Persoonsgegevens

Maar dan de lastige zaken: er moet een register komen waarin precies geregistreerd staat welke persoonsgegevens worden verwerkt, wie daarbij kunnen, welke systemen daarvoor gebruikt worden en waarom die gegevens eigenlijk bewaard blijven. ‘Daar is de universiteit nog niet uit,’ stelt Sarelse. Ook moeten alle systemen AVG-proof gemaakt worden, moeten er verwerkersovereenkomsten worden gesloten met leveranciers als Google en Osiris en alle risico’s moeten heel precies in kaart worden gebracht. Dat kost veel tijd.

‘Ik wil een wet die me vertelt wat ik moet doen. Niet één waarmee ik voor verrassingen kom te staan.’

Bovendien zijn er onmogelijkheden en vaagheden, volgens Sarelse. ‘In de wet staat bijvoorbeeld dat we als universiteit “passende maatregelen” moeten nemen. Maar wat zijn dat? Ik wil een wet die me vertelt wat ik moet doen. Niet één waarmee ik straks voor verrassingen kom te staan.’ Een ander punt: iedereen mag straks aanvragen om gegevens te laten aanpassen en verwijderen in het systeem, als ze daar goede redenen voor hebben. Maar de universiteit kan niet zomaar gegevens verwijderen. Soms moeten die juist bewaard blijven, voor bijvoorbeeld de belastingdienst.

Cultuuromslag

Voordat de universiteit écht helemaal AVG-proof is, zijn we wel een paar jaar verder volgens Sarelse. ‘Kijk, mensen zijn jarenlang blij geweest met alle technologische vooruitgang en nieuwe apps. Nu moeten ze ineens gaan denken: heb ik het echt nodig? Hoe doe ik dit veilig? Dat is een cultuuromslag in het gedrag van mensen. We kunnen nog zo alle systemen aanpassen — dat gedrag heb je niet met een druk op de knop omgezet.’