Zeven zaken die je als UU'er merkt van de privacywet

Hebben we al die informatie wel nodig? Dat moet volgens Artan Jacquet, de functionaris gegevensbescherming van de UU, in het vervolg de denkwijze zijn als het gaat om het gebruik van persoonsgegevens. De Europese Unie heeft een wet uitgevaardigd die mensen wil beschermen tegen het onnodig verspreiden van persoonlijke informatie. Vooral bedrijven en organisaties zullen op de vingers gekeken worden of ze dit goed geregeld hebben. Daar komt veel bij kijken. Grote zaken, kleine zaken. “Maar de basis is een nieuwe manier van denken”, zegt Jacquet.

“We willen voorkomen dat persoonlijke informatie zomaar bij iedereen terechtkomt. Dat vergt een cultuuromslag. Bij alles wat je doet, moet je denken ‘is dit wel nodig’. “ Een klein voorbeeld: een verjaarskalender mag alleen in de pantry hangen als iedereen die erop staat daarmee instemt. “Dit is zeker geen thema  waar nu actie op ondernomen zal worden, maar het geeft wel de manier van denken aan. Je weet namelijk niet of iedereen wel blij is hun geboortedag met iedereen te delen.”

Om het concreet te maken zetten we vijf onderwerpen op een rij waar studenten en medewerkers van de UU mee te maken krijgen.

Cijfers zijn niet voor iedereen
Wie twintig jaar geleden studeerde, moest naar een prikbord om te kijken welk cijfer je voor een tentamen had gehaald. Het was dringen. En natuurlijk keek je niet alleen naar je eigen cijfers, maar ook hoe de rest van de groep het gedaan had. Wie deed het goed, en wie scoorde een dikke onvoldoende. Nog altijd zijn er docenten die de cijfers willen delen met de groep. Dat kan namelijk stimulerend werken. Maar dat mag niet meer. Wil je als student wel als voorbeeld gesteld worden met die 3 van jou? Het betekent ook dat een docent cijferlijsten niet overal mag laten slingeren en zelf in het systeem moet zetten.  Overigens kun je nog best een vergelijking maken. Dan laat je geanonimiseerd zien welke cijfers de groep heeft gehaald.

Ongewenste mail
Als faculteit of opleiding mag je best je studenten en medewerkers informeren via een nieuwsbrief. Het is een deel van de opleiding. Maar je mag die groepslijsten met alle mailadressen niet delen met derden. Dat zou ertoe kunnen leiden dat de studenten of medewerkers ook heel andere mail krijgen , waar ze niet op zitten te wachten.
Ook met het sturen van een mail aan een grote groep moet je voorzichtig zijn. Sommige mensen zetten alle geadresseerden in de cc waardoor iedereen een prachtig overzicht heeft van de groep. Dat is meestal niet nodig. Volgens de regels moet je de namen dan in de bcc zetten. Die is voor de anderen onzichtbaar. Als je echt veilig wil mailen, kan dat ook via de speciale filesender van Surf.  

Profiel zonder werkrooster of promovendi
Het is natuurlijk heel handig om te zien wie er bij de UU werkt, in welke kamer en wanneer die persoon aanwezig is. Toch is dat ook iets wat onder de privacywet valt. Als de gegevens niet nodig zijn voor buiten de UU, moeten we ze niet publiceren. Die informatie kan ook risico’s met zich meedragen. Denk aan de medewerkers van het Gemeenschappelijk Dierenlaboratorium die in het verleden wel eens bedreigd zijn door dierenactivisten. Je kunt ook denken aan een ex met losse handjes dat heel makkelijk via internet kan vinden waar zijn ex werkt en wanneer die aanwezig is. Overigens mag de UU medewerkers wel verplichten die informatie intern te verspreiden via intranet.

Wetenschappers moeten wel een profiel maken vanwege de transparantie van het onderzoek. Er is nog wel discussie wat je wel of niet op het profiel mag zeggen. Zo kwam bij de faculteit Bèta de vraag naar voren of hoogleraren nog wel mogen vermelden welke promovendi ze hebben begeleid als die promovendi daar niet expliciet toestemming voor hebben gegeven. Volgens Jacquet gaat het hier om publieke informatie en is het voor de transparantie goed om het te melden.

Bij sollicitatie verboden te googlen
Je hebt een vacature voor een functie of voor een commissie en hebt daarbij een eerste selectie gedaan. Het is heel verleidelijk om die persoon dan even te googlen. En passant vind je op Facebook bij welk feest de kandidaat zich flink heeft laten gaan en welke vreemde hobby’s deze persoon heeft. Mag niet. In beginsel moet je toestemming hebben van de kandidaat om de sollicitant te googlen. Of het moet voor de functie relevant zijn, bijvoorbeeld of een beoogd manager duurzaamheid in zijn vrije tijd voorzitter is van de plaatselijke autoclub. Maar ook dan moet de kandidaat weten dat je de kandidaat googlet en moet je de persoon de kans geven weerwoord te bieden.

Geen adressen eerstejaars voor studieverenigingen
In het verleden speelde de universiteit aan een studievereniging zonder problemen alle namen door van de studenten die zich voor die opleiding hebben aangemeld. Dat mag niet meer zonder de toestemming van de eerstejaars. Dat is wel vervelend voor de verenigingen, maar de redenering is dat de studievereniging niet formeel deel uitmaakt van de UU en je er niet automatisch vanuit mag gaan dat alle eerstejaars lid willen worden. Nu mailt de opleiding de studenten zelf om ze te wijzen op het bestaan van deze belangrijke verenigingen.

Privacyhandtekening bij onderzoeksaanvragen
Ook bij de opzet van het onderzoek zal een wetenschapper rekening moeten houden met het gebruik van persoonsgegevens. Voor zo’n onderzoek mag dat wel, maar moet je kunnen onderbouwen waarom die gegevens nodig zijn. Ook hier geldt dat je gebruik moet minimaliseren en dat ook bij de opslag van data voldoende gekeken is naar de beveiliging. Het vergt een andere manier van het bedenken van een onderzoeksopzet. En om dat te controleren moet bij elke onderzoeksaanvraag voor een Europese onderzoeksbeurs (ERC) een handtekening komen van de functionaris gegevensbescherming die moet kijken of bij de opzet van het onderzoek wel voldoende rekening is gehouden met een minimaal gebruik van persoonsgegevens. Steeds meer onderzoeksorganisaties nemen deze eis over.     

Ook de gegevens van paarden pseudoniem 
Dat het ziekenhuis voorzichtig moet zijn met het laten slingeren van patiëntendossiers of het gebruik van patiëntgegevens in het onderwijs, is wel logisch. De faculteit Diergeneeskunde heeft dieren als patiënten en daarvoor gelden de privacyregels niet. Maar soms wel voor de eigenaren. Tot voor kort stond in de stal de naam van het paard, de eigenaar en zijn adres. De faculteit heeft nu alleen de naam van het paard en van de eigenaar staan. Bij de faculteitsraad vroeg iemand of niet ook de namen van de paarden afgedekt moeten worden of alleen het dossiernummer kunnen krijgen. Het zou immers zo maar bekend kunnen worden dat een paard me een hoge straatwaarde bij de dokter op stal staat en dat is niet de bedoeling.