Print deze pagina

NWO-I en de wet AVG

Centrale Privacy Coördinator Cora Arts: “Er blijft werk aan de winkel, met AVG ben je nooit klaar”

Stel, jouw instituut doet mee aan het Weekend van de Wetenschap. Hoe regel je dan de registratie van de deelnemers, en welke informatie heb je van ze nodig? Welke afspraken maak je op het gebied van privacy, zoals het maken van foto’s tijdens dit event? Dit zijn allemaal vragen die te maken hebben met de wet AVG die sinds 25 mei 2018 van kracht is: Algemene Verordening Gegevensbescherming. Met die wet zijn de privacy rechten van mensen versterkt en hebben organisaties meer verplichtingen gekregen als het gaat om het verwerken van persoonsgegevens. Cora Arts, Centrale Privacy Coördinator (CPC) bij NWO-I, stelt hiervoor samen met de instituten en bureau NWO-I richtlijnen op en vertelt erover.

Instituten delen kennis

“Ruim anderhalf jaar geleden ben ik gestart bij NWO-I om het bureau en de instituten verder te helpen bij de implementatie van de AVG-wetgeving”, vertelt Cora die werkt bij de Privacy Company en door NWO-I is ingehuurd.  “Elk instituut heeft een eigen privacy team met één of meer privacy coördinatoren. Tijdens het maandelijks functioneel overleg met de privacy coördinatoren delen we met elkaar waar we mee bezig zijn en bespreken we onderwerpen als hoe we omgaan met bijvoorbeeld de beelden van de bewakingscamera’s, personeelsdossiers, privacy verklaringen, datalekken en het betrekken van medewerkers bij de AVG. We stellen gezamenlijk processen op en kijken hoe we de AVG praktisch kunnen inrichten. Ik coördineer het overleg, verbind de mensen bij de instituten onderling en adviseer het team privacy coördinatoren. Veel privacy coördinatoren komen ook uit de hoek van ICT en informatiebeveiliging, zoals Wim Pool (hoofd ICT NIOZ), Cees van der Ven (hoofd ICT AMOLF), Miranda Breugem (security specialist DIFFER), Ronald Sarink manager ICT (Nikhef) en Hans Bloemen (hoofd ICT SRON). De afgelopen tijd hebben we met alle instituten mooie documenten gecreëerd en veel consensus gevonden.”

“Het vervolgens uitvoering geven aan de AVG in de vorm van beveiligen, gegevens verwijderen en processen inrichten is grotendeels gelijk voor alle organisaties, maar elk instituut werkt met andere systemen. Daarom is het goed dat we samenwerken en dat we niet allemaal het wiel opnieuw uitvinden. Er gezamenlijk aan werken en het creëren van uniformiteit: daar leent de AVG-wetgeving zich uitstekend voor. De negen NWO-instituten en bureau NWO-I hebben ieder hun eigen uitdaging binnen de AVG. Zo werkt NSCR met strafrechtelijke onderzoeksgegevens, die zeer privacy gevoelig zijn. Dat vereist een heel andere benadering dan ze bij het wiskundige instituut CWI hebben”, aldus Cora.

Awareness campagne

“Nu veel processen eenmaal zijn ingericht, is de volgende stap om de AVG-werkwijze(n) onder de aandacht te brengen bij de medewerkers van NWO-I. En vooral dat het gaat leven, en dat mensen de processen kennen. Anders blijft een document een stuk papier. Momenteel zijn we bezig met het opzetten van een awareness campagne voor medewerkers: waarom en hoe veilig om te gaan met persoonsgegevens en het bewaren van documenten. We willen de AVG op een leuke en interessante manier op de agenda zetten en awareness creëren. Daarnaast zal AVG regelmatig terugkomen bij de afdelingsoverleggen.”

Hack

In februari van dit jaar was NWO slachtoffer van een hack. Een groep van cybercriminelen onder de naam DoppelPaymer verschafte zich met ransomware toegang tot het netwerk en personeelsgegevens van NWO. Dit had ook zijn impact op Cora en alle privacy coördinatoren. “Hoe erg de hack ook was, het heeft wel als neveneffect gehad dat medewerkers zich extra bewust werden van hun eigen privacy en dat dit toch niet zo’n ver-van-hun-bed-show is. Vanuit bureau NWO-I hebben we direct een Datalek Respons Team opgericht, waar ik in deelnam, hoofd Communicatie NWO-I Arian Visser, hoofd P&O Liz Schilt, jurist Laurens Abbink Spaink en instituutsmanagers Angeniet Gillissen (NSCR) en Marjan Fretz (ARCNL). We zijn heel druk geweest om alles in goede banen te leiden, (oud-)medewerkers te informeren en te briefen wat ze moesten doen. Natuurlijk kan elke organisatie te maken krijgen met zo’n ransomware attack. Maar we hebben geleerd dat we nog kritischer moeten kijken naar processen. En we willen er als NWO en NWO-I naar streven dat er gewoon veel minder informatie te vinden is, dat de informatie beter beschermd is tegen zo’n aanval en dat medewerkers bewuster zijn.”  

De AVG is nooit klaar

“Tot het einde van het jaar ben ik zeker nog voor NWO-I aan het werk. In de tussentijd gaat de organisatie kijken naar een vaste invulling van mijn rol”, vertelt Cora die alvast een beetje vooruitkijkt naar de toekomst. “We hebben echt mooie stappen gemaakt, maar er is nog werk aan de winkel. De AVG is nooit klaar. Je bent nooit 100% compliant, want er zijn altijd nieuwe projecten en processen die aandacht vragen om AVG-conform te blijven. Zo moet AVG steevast onderdeel worden van nieuwe projecten die in de organisatie worden opgestart, zoals een Centraal Personeelssysteem voor heel NWO-I. Vanaf de start van het project zullen de AVG-richtlijnen meegenomen worden, ook wel privacy by design genoemd. Je kunt op een gegeven moment wél zeggen dat je als organisatie in control bent en dat je kunt aantonen wat je hebt geregeld en op orde hebt. Daarin zijn we al veel verder dan toen ik bij NWO-I startte. De eerste AVG-audit (een check om te testen hoe NWO-I ervoor staat op AVG-vlak) die er volgend jaar aan komt zal voor ons een mooi meetmoment zijn.”

Tekst: Melissa Vianen
Nieuwsbrief Inside NWO-I, september 2021

Confidental Infomation