‘Niet weten is geen optie meer’

Iedere organisatie in Europa moet vanaf 25 mei persoonsgegevens van contacten beter beschermen. Dat geldt voor Facebook, maar ook voor Fontys. Dat lijkt makkelijker dan het is, maar biedt ook kansen, vertelt Ad Paulissen, functionaris voor gegevensbescherming van Fontys.

_{door Petra Merkx}
Je staat er niet bij stil van hoeveel mensen Fontys de persoonsgegevens in bezit heeft. Van studenten, oriënterende scholieren, alumni, stagebegeleiders bij bedrijven, personeel, toeleveranciers, samenwerkingspartners ... Het gaat om honderdduizenden gegevens. Daarbij: ze zitten ook op tientallen plekken in minstens zoveel systemen. Centraal en decentraal (Fontys bestaat uit 27 hogescholen). Denk aan studievolgsystemen, aanmeldgegevens, arbeidsovereenkomsten, het excelbestand van een docent.

“Onlangs kregen we een verzoek van een oud-student die wilde weten in welke systemen van Fontys hij nog stond. Dat was het begin van een zoektocht. Hij stond ingeschreven bij de mediatheek, had een Fontys-pas, enzovoort, enzovoort. We kwamen erop uit dat deze student, die toch al een tijdje weg was, nog in 28 systemen stond.”

Helderheid
Als eind mei de nieuwe Algemene verordening gegevensbescherming (AVG) van toepassing is, geldt ook voor Fontys de verplichting om dit alles goed in beeld te hebben. “Dat is de belangrijkste verandering. Het moet helder zijn welke gegevens we op welke plek en op welke manier bewaren. Niet weten is geen optie meer”, vertelt Ad Paulissen. Aan de instituten en diensten de taak om te achterhalen welke systemen er allemaal draaien bij Fontys en waar actie nodig is. Daarvoor is onder meer bij elk onderdeel van Fontys een Informatie Manager (IM’er) aangesteld, die professionele ondersteuning krijgt.

Er moeten bijvoorbeeld zogenaamde verwerkersovereenkomsten worden gesloten met derde partijen die voor Fontys werk uitvoeren waarbij persoonsgegevens betrokken zijn. Dat zijn er 400. Fontys besteedt onder meer de studenten- en personeelsadministratie uit. Zij moeten zich uiteraard ook aan de AVG houden en dat moet duidelijk op papier staan.

Bewaartermijnen
Fontys moet daarnaast ook voor zichzelf veel strenger zijn in het nakomen van bewaartermijnen. “Te vaak worden gegevens niet op tijd weggegooid”, zegt Paulissen. “Het is soms lastig omdat regelgeving daarbij wel eens kan botsen. De AVG prevaleert, maar dat moet wel duidelijk worden uitgezocht en nagekomen.”

Alles op orde en netjes geregeld, is belangrijk. Maar daarbij is nog een ander aspect van belang: efficiëncy. Iedereen heeft straks het recht om op te vragen hoe en welke gegevens een organisatie van hem bewaart. Fontys moet dit dan binnen een redelijke termijn en correct kunnen ophoesten. En daardoor heeft de nieuwe AVG, onverwacht, ook een efficiency-kans opgeleverd. “We moeten systemen veel meer standaardiseren en vereenvoudigen”, aldus Paulissen.

Boete
Er staat wat op het spel. Wie zich niet houdt aan de nieuwe regelgeving kan een flinke boete krijgen. Europese privacytoezichthouders hebben de bevoegdheid om boetes tot 20 miljoen euro op te leggen. Volgens Paulissen is het ook niet zo gek dat de bescherming van persoonsgegevens steeds meer aandacht krijgt. “Door de digitalisering is het belang toegenomen. Persoonsgegevens die in verkeerde handen terechtkomen, kunnen gebruikt worden voor bijvoorbeeld ID-fraude."

Medewerkers van Fontys hebben volgens hem ook een eigen individuele verantwoordelijkheid. “Gebruik de systemen die worden aangeboden en sla privacygevoelige informatie niet op je laptop op, maar in de Fontys-cloud. Want als je laptop wordt gestolen, kan iedereen aan de haal gaan met de gegevens die erop staan.”