Mag ik nog een beterschapskaartje sturen?

... en andere vragen over de AVG

Rita Hoving

Door de invoering van de Algemene Verordening Gegevensbescherming (AVG) zijn er nieuwe regels voor de omgang met persoonsgegevens. WUR heeft de afgelopen tijd Local Privacy Officers aangesteld, die medewerkers helpen bij al hun privacyvragen. Een aantal van hen over hun beweegredenen.

“Als ik over mijn nieuwe taak vertel, is de reactie vaak: ‘Moet de verjaardagskalender nu van de afdeling?’” vertelt Rita Hoving, sinds 1 april de nieuwe Local Privacy Officer (LPO’er) van de Animal Sciences Group. Ze is hèt aanspreekpunt voor dieronderzoekers bij vragen over de Algemene Verordening Gegevensbescherming (AVG). Naast haar nieuwe deeltijdfunctie blijft ze projectleider bij de afdeling Fokkerij en Genomica van Wageningen Livestock Research.

De meeste privacygerelateerde vragen die Rita tot nu toe kreeg gingen niet over het onderzoek naar dieren, maar over de omgang met collega’s. “Dan vragen ze: ‘ik wilde laatst een beterschapskaart sturen naar een zieke collega, maar het secretariaat mag het adres niet geven. Waarom niet?’”

Logische afspraken

Volgens Rita wordt het vaak ingewikkelder gemaakt dan nodig is. “Een verjaardagskalender of een bestand met adressen en telefoonnummers van collega’s op de gedeelde netwerkschijf mag wel. Wat daar wel bij hoort is dat iedereen op de afdeling moet weten dat zo’n bestand er is, dat het bestand bijgewerkt wordt en dat iemand die er niet op wil die mogelijkheid moet krijgen. En je moet het bestand natuurlijk niet doorsturen naar mensen buiten de afdeling. Lijken me allemaal vrij logische afspraken.”

Denk bij de voorbereiding alvast na over wat voor soort data je wil verzamelen

Alle Local Privacy Officers en juridische medewerkers hebben in juni een training gekregen over de AVG.

Privacy wordt vaak ingewikkelder gemaakt dan nodig is

Wat Rita het leukste vindt aan haar nieuwe taak? “Dat ik dwars door de organisatie heen veel mensen spreek die allemaal maatwerkvragen hebben. Bijvoorbeeld over wie de verwerker van persoonsgegevens is bij monstername door NVWA en monsterverwerking door WBVR. Het is heel waardevol om in gesprek met onderzoekers met een slimme aanpak te komen. Als ik een tip mag geven: denk bij de voorbereiding van een projectaanvraag alvast na over wat voor soort data je wilt gaan verzamelen en wat je daarvoor moet organiseren.”

“De twee belangrijkste punten die ik inmiddels heb geleerd: verzamel zo min mogelijk persoonsgegevens. Als je het wel doet, informeer de betrokken personen dan over de reden. Ook over de wettelijke grondslag voor verwerking. Hoe lang je ze gaat bewaren, hoe je ze beveiligt, en welke mogelijkheden personen hebben om hun gegevens aan te passen. Daarnaast heb ik geleerd dat we niet te snel moeten kiezen voor ‘toestemming van betrokkene’ als grondslag voor gegevensverwerking. Die grondslag is erg onhandig, want een eenmaal gegeven toestemming kan ingetrokken worden.”

Soms nogal complex

Hoewel de bescherming van de persoonlijke levenssfeer in de grondwet staat en de AVG duidelijke regels bevat voor het verwerken van persoonsgegevens, blijkt de uitvoering van de privacyverordening soms nogal complex omdat de wet nogal wat ruimte biedt. Rita: “Er zijn bijvoorbeeld verschillende bewaartermijnen voor verschillende doelen. De wettelijke administratieplicht voor financiële data is zeven jaar en WUR kiest er voor onderzoeksdata tien jaar valideerbaar te houden en diploma’s en cijfers van studenten vijftig jaar te bewaren.”

“De AVG-regels zijn dus niet absoluut: er moet steeds een belangenafweging worden gemaakt. Zo wordt over het gebruik van beeldmateriaal door de Autoriteit Persoonsgegevens inmiddels wat genuanceerder gedacht. In principe mag je foto’s en filmpjes niet zomaar publiceren, want zodra mensen herkenbaar in beeld komen, zijn het persoonsgegevens. Als foto’s en filmpjes in huiselijke kring worden gedeeld, dan geldt de privacywet niet en kan het dus wel. Organisaties hebben een wettelijke grondslag nodig om beeldmateriaal te mogen delen van werknemers of evenementenbezoekers en die is er vaak wel. Je moet het alleen even vooraf melden dat je het gaat doen.”

“Vanuit mijn functie wil ik onze organisatie graag helpen met een zorgvuldige en nuchtere aanpak op gebied van de regels van de AVG. Als projectleider had ik zelf behoefte aan concrete handvatten over hoe ik de vragenlijsten van SmartPia moet invullen. Wij als organisatie hebben een documentatieplicht, daarvoor is SmartPia het register waarin we bijhouden in welk project met welk doel persoonsgegevens verwerkt worden. Als je slechts enkele keren per jaar een nieuw project hebt, dan zijn die vragenlijsten niet simpel in te vullen. Dus vandaar dat ik graag wil helpen met tips en uitleg. Heb je vragen over waar je aan moet voldoen in het kader van het WUR-privacybeleid? Aarzel dan niet om contact met me op te nemen.”

Een privacyvraag? Bij deze LPO’ers kun je terecht

‘AVG is soms wat fuzzy’

Stan van den Assem

Beleidsmedewerker FB-IT

‘Persoonsgegevens zijn de nieuwe munteenheid’

Jarima Kook

Local Privacy Officer voor Social Sciences Group en Environmental Sciences Group

‘Collega’s willen weten wat ze wel en niet mogen’

Thomas Dotinga

Online marketeer

Werk jij al privacy-proof?

‘Ik denk graag mee en gelukkig is er veel mogelijk’

Tim van Loon

Local Privacy Officer bij Education & Student Affairs (ESA)

‘De leukste vraag? Een fotowand voor een jubileum, mag dat?’

Tosca Groeneveld

Local Privacy Officer bij Agrotechnology & Food Sciences Group

‘Ik haal veel plezier uit de vragen waar ik zelf ook goed over moet nadenken’

Peter Ras

Corporate Privacy Officer

Top 5 vaak gestelde vragen

1

“Moet de verjaardagskalender van de afdeling?”

2

“Mag ik een zieke collega een kaartje sturen?”

3

“Er werkt iets niet goed, kun je me helpen?”

4

“Mag ik deze mensen mailen?”

5

“Welke gegevens mogen, in het kader van privacy worden verwerkt?”


- én een opmerkelijke

“Als ik nu gewoon doe alsof ik toestemming heb, mag ik ze dan wel aanbiedingen sturen?”

Deel dit artikel