Print:

Zo maakt de Hogeschool van Amsterdam van dataprotectie een enabler

De implementatie van de Algemene verordening gegevensbescherming (AVG) is een doorlopend proces waarin organisaties te maken krijgen met de nodige uitdagingen. Martijn de Hamer, Functionaris voor de Gegevensbescherming (FG) bij de Hogeschool van Amsterdam (HvA), vertelt hoe dataprotectie steeds meer functioneert als enabler.

Martijn de Hamer | IIR“Met ruim 4.000 medewerkers en meer dan 45.000 studenten is de HvA een grote en diverse organisatie. Dan is het een flinke uitdaging om in beeld te krijgen wat er allemaal met persoonsgegevens gebeurt”, zegt Martijn de Hamer, FG bij de HvA en spreker tijdens het Dataprotectie en Privacy Congres.

“Het fundament voor AVG-compliance is inmiddels stevig gelegd”, vertelt De Hamer, die eerder onder meer werkte als consultant bij Capgemini en als securityspecialist bij het Nationaal Cyber Security Centrum (NCSC). “De registers van verwerkingsactiviteiten en de verwerkersovereenkomsten zijn opgesteld, de informatiemanagers van de zeven faculteiten zijn aangesteld als contactpersonen voor privacy, en er worden data protection impact assessments (DPIA’s) uitgevoerd voor nieuwe verwerkingen. Nu is het tijd om structureel invulling te geven aan de privacygovernance.” Een kwartiermaker ontwikkelt voorstellen om structuur aan te brengen in de verschillende rollen en verantwoordelijkheden die er zijn, en inventariseert de capaciteit die daarvoor nodig is.

Continue awareness

Een belangrijke doorlopende activiteit voor de HvA is het awarenessprogramma dat rond de komst van de AVG van start ging. “We hebben de verwerkingen van persoonsgegevens in beeld gebracht, maar om het register actueel te houden moeten we ook de nieuwe verwerkingen in het oog houden. Dan is continue bewustwording op de werkvloer natuurlijk onmisbaar.”

Het awarenessprogramma van de HvA combineert een aantal algemene activiteiten, zoals het verspreiden van informatiefolders over het instellen van beveiligingsmaatregelen op laptops, met andere doelgroepgerichte communicatie. De Hamer en zijn collega’s sluiten daarvoor zo veel mogelijk aan bij decentrale zaken. “We werkten bijvoorbeeld mee aan een congres over het StudentenInformatieSysteem, een applicatie waarin gegevens van onze studenten worden verwerkt. We wisselden met tientallen medewerkers van gedachten over hoe zij persoonsgegevens verwerken en waar zij op het vlak van dataprotectie tegenaan lopen. Er bleek een wonderbaarlijk hoge betrokkenheid bij de principes van de AVG, en we konden onze adviezen direct linken aan de dagelijkse werkpraktijk.”

Privacywaarden

Naast de uitdagingen om de awareness en compliance binnen een grote en diverse organisatie op peil te houden, ziet De Hamer ook de positieve effecten van de AVG. “Tijdens het implementatietraject hebben we een set privacywaarden opgesteld en online gepubliceerd. Deze beschrijven waarom we dataprotectie belangrijk vinden. Je kunt wel zeggen dat we bepaalde zaken moeten doen vanwege een wettelijke verplichting, maar dan sta je niet altijd even sterk.”

“Het chilling effect is op de werkvloer en tijdens de studie heel snel aanwezig”, vult De Hamer aan. “Wij hebben daarom expliciet aangegeven: we werken aan dataprotectie om onze medewerkers en studenten alle vrijheid te geven om de werkzaamheden op hun eigen manier te laten uitvoeren, zonder dat ze het gevoel hebben hierbij bespied te worden. Op die manier spreek je mensen positiever aan en raken ze eerder intrinsiek gemotiveerd om rekening te houden met dataprotectie.”

De paniek voorbij

Terugkijkend op de eerste anderhalf jaar van de AVG valt De Hamer een tweetal ontwikkelingen op. “Het belangrijkste vind ik dat de nationale paniek flink is afgenomen. Rond 25 mei 2018 leek het wel alsof er opeens allerlei dingen niet meer mochten. Denk aan de verhalen over schoolfoto’s waarop de gezichten van kinderen onherkenbaar werden gemaakt. De schrikkerige houding overheerste: mensen hadden het idee dat ze van alles anders moesten doen maar niet precies wisten wat en hoe dan. Nu zien we duidelijk dat mensen bewust zijn van de regels en het onderwerp structureel ingebed in de organisatie raakt.”

De Hamer ziet ook dat er steeds meer ruimte komt om de groeien in privacyvolwassenheid. “Nu de basis op orde is, kunnen we onder andere werk maken van de governance, lessen leren uit het gebruik van de registers van verwerkingsactiviteiten, en het proces van DPIA’s verder stroomlijnen.”

SURF, de organisatie die onderwijs- en onderzoeksinstellingen ondersteunt bij de ICT, heeft een normenkader ontwikkeld om de volwassenheid van informatiebeveiliging en privacy te auditen. “We gaan hier bewust mee aan de slag om kritisch te kijken hoe we scoren – en om uiteindelijk te groeien in privacyvolwassenheid.”

Ethische commissie

De HvA start binnenkort een ethische commissie die zich vooral richt op onderzoeken. De commissie past hiervoor een ethisch kader toe waarin ook privacy wordt meegenomen. “Werken met persoonsgegevens is in feite voor een groot deel een ethisch vraagstuk, zeker als je kijkt naar de data waarmee we aan de HvA werken. Het gaat bijvoorbeeld over de gezondheid, financiële status of juridische problemen van mensen. Met de ethische commissie borgen we dat we netjes met dit soort gevoelige gegevens omgaan.” Als het gaat om projecten waarin gezondheidsgegevens worden verwerkt, werkt de HvA ook samen met de medisch-ethische toetsingscommissie van het Amsterdams Medisch Centrum (AMC).

Van klusje naar kans

Dataprotectie wordt steeds meer gezien als een enabler in plaats van een lastige verplichting, merkt De Hamer. “Er is vaak in eerste instantie weerstand of angst omdat mensen het gevoel hebben dat allerlei dingen vanwege de AVG niet meer mogen. Maar door duidelijk te maken waarom we privacy belangrijk vinden en hoe we ermee omgaan, gaan mensen dataprotectie ook steeds meer zien als een hygiënefactor, of zelfs als een onderscheidende factor.” Zo beschrijven een aantal onderzoekers in een voorstel voor een omvangrijk nieuw project uitvoerig hoe er rekening wordt gehouden met de zorgvuldige omgang van persoonsgegevens. Dit vanuit de verwachting dat de zorg voor medewerkers en studenten een onderscheidende factor kan zijn.

De Hamer noemt ook het voorbeeld van de meldingen van datalekken. “Datalekken hebben ons meer inzicht gegeven in processen waarin iets niet lekker loopt. Een aantal processen zijn daarna ingrijpend aangepast en lopen nu veel beter. Door niet ad hoc wijzigingen door te voeren maar echt de root cause aan te pakken, levert de AVG dus uiteindelijke betere werkprocessen op.”

Vrienden maken De Hamer wisselt in een paneldiscussie tijdens het Dataprotectie & Privacy Congres van gedachten met andere dpo’s over de impact van de AVG op de organisatie. Zijn boodschap aan vakgenoten: make friends before you need them. “Onderhoud je eigen netwerk met mede-FG’s. Ga om tafel met mensen die voor vergelijkbare uitdagingen staan. Collegiale intervisie is zó belangrijk. Niet alleen vanwege de inhoudelijke kennisuitwisseling. Het is ook prettig om te merken dat je niet de enige bent met het uitgebreide takenpakket en de uitdagende mix van activiteiten. Door buiten de grenzen van je eigen organisatie en sector te kijken, leer je hoe je het beste het verschil kunt maken voor dataprotectie.”

Martijn de Hamer is een van de vele sprekers van het Dataprotectie & Privacy Congres dat op 14 en 15 november plaatsvindt in Utrecht. Bekijk het gehele programma en boek tickets via de website van IIR.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten