January 9, 2017

Nieuwe landelijke en Europese regels over gegevensbescherming en privacy

Door: Petra Ploeg | Categorie: data management, research data

logo_en
[English version of this blogpost]
De landelijke en Europese regels voor het omgaan met persoonsgegevens zijn veranderd. Per 1 januari 2016 is de Wet Bescherming Persoonsgegevens (WBP) aangescherpt en in mei 2016 is de Europese Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Deze Verordening legt aanvullende regels en verplichtingen op en is vanaf 24 mei 2018 volledig van kracht. Vanaf deze datum geldt er nog maar één privacywet in de hele EU. Tot mei 2018 hebben organisaties de tijd om hun bedrijfsvoering in te richten volgens de nieuwe regels. Uitgangspunt van de AVG is het grondrecht van iedere burger van de Europese Unie op bescherming van de hem betreffende persoonsgegevens.

Belangrijke veranderingen: datalekken melden en transparantie

Vooruitlopend op de AVG is er in de WBP een extra artikel opgenomen in het geval persoonsgegevens in verkeerde handen zijn gekomen, de meldplicht datalekken. Tevens zijn de sanctiemogelijkheden uitgebreid. Bij overtredingen van de WBP kan een instelling een boete worden opgelegd van (maximaal) € 820.000. Bij de AVG is dit nog meer (€ 20 miljoen of tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar indien dit cijfer hoger is).

Centraal bij de Algemene Verordening Gegevensbescherming staan transparantie van rollen en verantwoordelijkheden van personen of organisaties betrokken bij de bescherming van persoonsgegevens. Het is onder de Verordening niet voldoende dat iedereen zich aan de regels houdt, maar je moet ook kunnen aantonen dat je je eraan houdt.

Aanpak Tilburg University

Tilburg University heeft een Functionaris voor de gegevensbescherming (FG) aangesteld, dit is Moswa Herregodts. Verder buigt een speciale werkgroep zich over privacy-gerelateerde vraagstukken waaronder datalekken. Niet alleen onderzoeksdata worden onder de loep genomen, maar ook alle universitaire systemen en applicaties waarin persoonsgegevens zijn opgeslagen.

Andere onderwerpen waarmee de werkgroep zich bezighoudt, zijn het universiteitsbreed implementeren van disk-encryptie bij laptops en, in een later stadium, bij alle werkplekken. Ook bewustwording van de invloed van eigen gedrag is een speerpunt van de werkgroep.

Nieuwe werkwijze voor onderzoekers Tilburg University

Onderzoekers die persoonsgegevens in hun onderzoek verwerken gaan voortaan het ‘schema verwerking persoonsgegevens’ invullen. Dit schema helpt bij het in kaart brengen van de verwerkingen die gaan plaatsvinden ten behoeve van het onderzoek. Het schema wordt doorgestuurd naar de Functionaris gegevensbescherming (registratie en beoordeling) en de afdeling Legal Affairs (beoordeling). Aan de hand van het ingevulde schema kunnen zij de onderzoeker adviseren over de naleving van de WBP en AVG. Ook kan getoetst worden of verdere beoordeling van de beveiligingsmaatregelen door het Computer Emergency Response Team (CERT) van de universiteit gewenst is. Noot redactie 18-10-2018: de procedure is inmiddels iets gewijzigd, lees meer op de blogpost over Privacy en wetenschappelijk onderzoek.

Regeling Onderzoeksdatamanagement

In de nieuwe universitaire Regeling Onderzoeksdatamanagement is er ruim aandacht voor de nieuwe regels en wordt een toelichting gegeven op wat van onderzoekers wordt verwacht.

Do’s and don’ts

Moswa Herregodts, onze Functionaris gegevensbescherming van Tilburg University, geeft in het tijdschrift eData & Research algemene praktische tips om veilig met je onderzoeksdata om te gaan:

  • Splits al tijdens het verzamelen de herleidbare gegevens (‘het communicatiebestand’) van onderzoeksdata en bewaar deze bestanden op gescheiden en veilige locaties.
  • Bewaar geen gevoelige onderzoeksdata bij publieke cloud-opslagdiensten zoals Dropbox, GoogleDrive, OneDrive en Box. Gebruik hiervoor SURFdrive.
  • Download niet klakkeloos een leuk tooltje van het Internet. Laat je informeren welke toepassingen veilig gebruikt kunnen worden.
  • Lock altijd de pc / laptop.
  • Gebruik voor opslag bij voorkeur geen draagbare digitale opslagmedia zoals een laptop, plug-in hard drive, usb-stick, cd of dvd. De netwerkschijven op de universiteit zijn betrouwbaarder en veiliger.
  • Bewaar je gevoelige onderzoeksdata toch op je laptop, zorg dan voor disk-encryptie via IT Support.
  • Gebruik Secure FileSender (http://send.uvt.nl) voor het veilig verzenden van grote bestanden.
  • Laat de pc / laptop niet onbeheerd achter, doe de deur van je kantoor op slot.

Deze blogpost is (met toestemming) deels gebaseerd op het artikel ‘Wees je bewust: een datalek ligt zo op de loer: nieuwe landelijke en Europese regels omtrent persoonsgegevens door Marika de Bruijne (e-Data & Research, jrg. 11, nr. 1).

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Recent Posts

Categories

Archives

About

Posts on research data management, open access publishing, copyright, and access to scientific information. For Tilburg University researchers - by the Research Support department of Library and IT Services. Read More