Print deze pagina

Privacy officer NWO-I: "Als het niet moet, mag het niet"

Bij NSCR moeten ze er niet aan denken dat persoonsgegevens, zoals die van slachtoffers, op straat belanden. Met Aad van der Klaauw heeft het NCSR een behoedzame functionaris gegevensbescherming aan boord. Sinds kort begeleidt Van der Klaauw als privacy officer ook de instituten van NWO-I.  "Je moet systemen zo inrichten, dat de boel niet instort als een werknemer na de vakantie zijn wachtwoord is vergeten."

De interesse van Van der Klaauw voor privacy op IT-gebied dateert uit 2012, toen hij als systeem- en netwerkbeheerder bij CWI een hack meemaakte. Tijdens het onderzoek werd duidelijk dat er een veiligheidsdienst achter zat. Vervolgens werd hij thuis op zijn systeem aangevallen. "Ik beheerde privé ook apparatuur voor de Open Document Society. Al met al een interessante ervaring. Sindsdien verdiep ik me in ethische aspecten van de digitale samenleving."

Privacy by design
In 2017 benaderde het NSCR Van der Klaauw met het verzoek naar gaten in de IT van het instituut te zoeken. Daarna maakte hij de overstap van CWI naar het NSCR. Hij blikt terug: "In de aanloop naar de Algemene Verordening Gegevensbescherming in mei 2018 zijn we de NSCR-systemen opnieuw gaan opbouwen. Privacy and security by design, noemt de AVG dit. In de nieuwe omgeving betekent het dat onderzoekers op hun pc, die aan internet verbonden is, werken met gegevens die niet te herleiden zijn naar personen. We bouwden ook een Secure Analytics Lab, met een aantal systemen die niet aan internet gekoppeld zijn. In dit lab kunnen onderzoekers werken met gevoelige gegevens".
Van der Klaauw legt uit dat het delen van data, in de samenwerking met bijvoorbeeld Jeugdzorg en politie of ministeries en Slachtofferhulp Nederland zwaar gereguleerd is. Er gaat bij het NSCR niets de deur uit voordat de directeur en hij dit beoordeeld hebben. Ook wordt elk onderzoeksplan vooraf door een ethische commissie getoetst op wat meedoen voor de respondent betekent.

De AVG is niet het veelkoppige monster dat veel burgers erin zien. Van der Klaauw zegt droog dat er voor bijzondere persoonsgegevens maar weinig nodig is om AVG-compliant te zijn: "Als het niet moet, mag het niet. Je mag dus geen persoonsgegevens bewaren, als dit niet in de AVG beschreven staat. Een voorbeeld daarvan is het Burger Service Nummer. De Belastingwet schrijft voor dat een werkgever van medewerkers die uit dienst gaan het BSN een aantal jaren moet bewaren, maar daarna mag het volgens de AVG niet meer. Dit moet je inregelen. Ook moet je voor de AVG omschrijven wat je doet. Belangrijk is dat je betrokkenen vooraf goed informeert en toestemming vraagt voor wat je met persoonsgegevens doet. Iedereen heeft meer rechten dan voorheen".

Awareness
Van der Klaauw noemt het werken met de AVG ook wel 'boekhouden met persoonsgegevens'. Er zijn verschillende categorieën persoonsgegevens, met daaraan gekoppelde bindende voorwaarden. Met checklists kan afgevinkt worden of hieraan voldaan is. Na een ronde langs alle instituten en het bureau van NWO-I is zijn indruk dat medewerkers hun uiterste best doen en dat elk instituut druk bezig is de laatste stukjes archief op te schonen.
Van der Klaauw: "De Autoriteit Persoonsgegevens, die toeziet toe op de naleving van de AVG, schrijft voor dat een grote organisatie als NWO-I - 2.000 medewerkers - zaken centraal administreert. Dat gaat makkelijker als de administratie volledig digitaal is, zoals bij ARCNL en AMOLF al het geval is. Mijn taak is ervoor te zorgen dat we naar gemeenschappelijke processen toegroeien. Dat is echter een meerjarig proces. Awareness moet langzaam je bedrijfs-DNA in sijpelen, vind ik. Dat NWO-I mij, risicomanager Peter van den Brakel en auditor Francis Bouwman de ruimte geeft om ons werk te doen, maakt deel uit van awareness".

Toegangspasje
Van der Klaauw geeft zelf graag het voorbeeld van hoe je als werknemer assertief mag zijn: "In principe krijgt niemand toestemming om een foto van mij op internet te plaatsen. Daarom ontbreekt er bij dit interview een foto. NWO-I heeft op het nieuwe toegangspasje geen zichtbare gegevens staan. Ook privacy by design. Daar ben ik trots op. Privé ben ik ook terughoudend. Ik red me prima op internet zonder WhatsApp, Facebook en Twitter. Als een product gratis is, betaal je daarvoor met je privacy".

Van der Klaauw heeft ook een privacy-tip voor zijn NWO-I-collega’s. "Wees voorzichtig met je wachtwoorden, hergebruik ze niet. Onthoud je wachtwoorden of sla ze veilig op, bijvoorbeeld in een wachtwoordkluisje. Centraal wachtwoordbeleid staat nog op mijn lijstje. Organiseer de boel zo dat het menselijke aspect - zoals een vergissing - normaal gevonden wordt."

Over Aad van der Klaauw
Aad van der Klaauw werkt sinds 2017 als functionaris gegevensbescherming bij het Nationaal Studiecentrum Criminaliteit en Rechtshandhaving (NSCR) en vanaf medio 2019 is hij ook privacy officer van NWO-I. Van der Klaauw startte zijn loopbaan in de jaren '80 bij het Centrum voor Wiskunde en Informatica (CWI), waar hij naast systeem- en netwerkbeheerder de laatste jaren security officer en functionaris gegevensbescherming was.

In zijn vrije tijd verdiept Van der Klaauw zich in de blockchaintechnologie, voor hem dé doorbraak op het gebied van techniek om integer systemen te bouwen. "We gaan toe naar een heel nieuw netwerk. Er is in Nederland een aantal groepjes van soortgenoten dat zich interesseert voor hoe je met deze technologie de hele samenleving naar een hoger plan kunt tillen. Regelmatig rijd ik op mijn motor naar bijeenkomsten die in de kroeg of op een terras plaatsvinden, om hierover van gedachten te wisselen."

Nieuwsbrief Inside NWO-I, oktober 2019

Confidental Infomation