Kahoot! Je hebt met deze tool vast wel eens een quizje gespeeld op je telefoon. Bijvoorbeeld tijdens een les over een onderwerp dat de docent op een speelse manier wil behandelen. Ideaal, want het enige wat de deelnemers hoeven te doen is een nickname aanmaken, en spelen maar.
Op het gebied van privacy is zo’n spelletje echter een stuk ingewikkelder dan je zou denken. Welke gegevens van de telefoon slaat het op? Waar worden die opgeslagen? Op een Amerikaanse server? Voldoet die server aan de Europese regels? Hoe lang worden ze opgeslagen? Et cetera. De antwoorden op die vragen moeten worden beoordeeld, geregistreerd en bewaard, volledig volgens de regels van de Algemene verordening gegevensbescherming (AVG). Het is een van de belangrijke taken van privacy-adviseurs Dominique Booms en Jan Landsaat, die sinds een paar maanden als duo optrekken om het vraagstuk ‘privacy’ in goede banen te leiden.
Voordat jullie privacy-adviseur werden, waren jullie al werkzaam bij de hogeschool. In welke functie?
Jan: “Ik was IT-manager bij Willem de Kooning Academie.”
Dominique: “Tijdens mijn rechtenstudie was ik al werkzaam binnen Hogeschool Rotterdam als student-assistent. Verder liep ik hier stage bij de juridische afdeling en kreeg ik uiteindelijk een baan aangeboden als jurist. Privacy was altijd al een belangrijk aspect van mijn werkzaamheden en uiteindelijk is dat een fulltime baan geworden.”
Wat maakt privacy zo interessant voor jullie?
Dominique: “Het is een heel actueel thema. Door de komst van de AVG wordt er van grote organisaties heel veel gevraagd. Ik vind het leuk om deel uit te maken van een nieuwe beweging binnen de hogeschool. Zo hebben we onlangs een nieuwe verwerkingsregister aangeschaft, dat is een systeem waarmee we de afspraken met bepaalde partijen goed kunnen vastleggen. Bijvoorbeeld een bedrijf dat een tool levert voor de afname van digitale toetsen. Daarbij worden persoonsgegevens opgeslagen. Wat is de bewaartermijn? Bij wie ligt de aansprakelijkheid? Dat soort dingen worden vastgelegd in een verwerkingsovereenkomst en wij als hogeschool moeten volgens de wet een register bijhouden waarin dit wordt vastgelegd. Daarin staan ook afspraken over hoe we bijvoorbeeld omgaan met medische dossiers aan de hand van ziekmeldingen. Straks kunnen we met één druk op de knop zien waar de gegevens van studenten en medewerkers zijn opgeslagen en of dat op de juiste manier is gebeurd. Ik vind het mooi om met dat soort nieuwe dingen aan de slag te gaan.”
Jan: “Vanuit mijn functie van IT-manager ben ik al anderhalf jaar betrokken bij de werkgroep Privacy van de hogeschool, Dominique trouwens ook. Ik heb web security altijd al een interessant onderwerp gevonden in het tijdperk van sociale media en big data. Gegevens moeten keurig bewaard worden én verwijderd worden wanneer ze niet meer gebruikt hoeven te worden. Dat moet niet alleen volgens de wet, maar ik vind het ook een goed recht van ieder mens dat er zorgvuldig met zijn of haar gegevens wordt omgesprongen. Ik noem mezelf geen activist op dit gebied, maar ik vind het wel super belangrijk dat iedereen zich daar bewust van is. Ik vind dat we als hogeschool het goede voorbeeld moeten geven aan medewerkers en studenten. We moeten uitstralen dat privacy héél erg belangrijk is.”
Hoe is het met dat bewustzijn binnen de hogeschool?
Dominique: “Het gaat de goede kant op. Voorheen was het maar iets vaags voor mensen, maar de nieuwe tendens is dat steeds meer mensen zich erin verdiepen. Mede omdat het zo’n actueel onderwerp is, ook binnen de hogeschool. Denk alleen al aan online proctoring, een digitale manier van toetsen afnemen.”
Jan: “Of het gebruik van Zoom voor videogesprekken met meerdere mensen. Wij hadden vrij snel in de gaten dat dit geen veilige tool was om binnen de hogeschool te gebruiken. Toen we dat kenbaar maakten, ontstond er wat discussie omdat medewekers het gebruik van Zoom als prettiger ervaren dan met bijvoorbeeld Teams. Gelukkig bleek later dat Zoom inderdaad ook in de media aangepakt werd en konden wij met de juiste afspraken Zoom toch implementeren, maar wel met gebruiksrichtlijnen voor onze medewerkers. Desondanks zijn er nog steeds mensen binnen de hogeschool die Zoom gebruik voor doeleinden waarvan wij vinden dat ze er beter andere tools voor kunnen gebruiken. Er is dus nog genoeg ruimte voor verbetering op het gebied van bewustwording.”
Dominique, je liet de term al vallen: online proctoring. Is dat een van de meest complexe zaken waar jullie de afgelopen maanden mee te maken hadden en hebben?
Dominique: “Ja. Iedereen is erbij betrokken: IT’ers, onderwijskundigen, juristen, wij als privacy-adviseurs, noem maar op. We zijn nog steeds bezig met een experiment bij enkele opleidingen waarvoor zo’n twintig studenten zich hebben opgegeven om te kijken of er een manier van online proctoring is die we kunnen toepassen. Dit blijft voorlopig een belangrijk thema.”
Is zo’n complex onderwerp ook extra leuk voor jullie?
Jan: “Niet altijd. Sommige opleidingen kunnen gewoon niet verder, omdat ze geen toetsen kunnen afnemen omdat online proctoring niet is toegestaan. Dan kunnen wij wel zeggen dat we nog bezig zijn met een experiment, maar daar hebben die opleidingen weinig aan. Er kunnen daar nu geen diploma’s uitgereikt worden, omdat de laatste toetsen niet zijn afgenomen. De belangen zijn dus enorm groot.”
Zonder coronacrisis had jullie werk er heel anders uitgezien.
Jan: “We hadden het vooral iets rustiger gehad, haha. Universiteiten waren voor de crisis wel al bezig met online proctoring, wij bij de hogeschool nog niet. De coronacrisis heeft dat in een stroomversnelling gebracht, ja. En buiten procotoring krijgen we veel meer aanvragen binnen voor het gebruik van online tools. Zoom was de eerste en talloze andere tools volgden. Die nemen wij dan onder de loep om vervolgens een advies uit te brengen: wel of niet gebruiken.”
Online onderwijs blijft leidend. Zijn de privacy-risico’s daardoor groter?
Jan: “Een lek kan altijd ontstaan of het onderwijs nu online wordt aangeboden of niet. Maar doordat er meer online gebeurt en meer actoren betrokken zijn, is er meer kans op beveiligingsincidenten.”
Dominique: “Een datalek wordt vaak veroorzaakt door menselijk handelen, maar kan ook ontstaan door fouten in softwarepakketten.”
Jan: “Het komt wel eens voor dat softwarepakketten nog niet volledig op de Avg zijn aangepast. Daar moeten wij dan naar handelen.”
Waar hebben jullie de afgelopen tijd de meeste voldoening uitgehaald?
Dominique: “Onze samenwerking. Nu we ons allebei fulltime kunnen bezighouden met privacy merk ik dat we veel meer kunnen bereiken. Mijn achtergrond als jurist en Jans achtergrond als IT’er werkt heel goed als combinatie. Daarnaast hebben wij nauw contact met Luc Petersen (Privacy Officer) en Kees-Jan van Klaveren (Functionaris Gegevensbescherming) waardoor wij snel kunnen schakelen.”
Jan: “Ook de ontvangst binnen de rest van de organisatie was goed. Bijvoorbeeld bij de dienst Faciliteiten en IT (FIT) kwamen heel veel vragen binnen over privacy en die kunnen wij nu in behandeling nemen, dat vinden ze erg fijn. Dat is prettig samenwerken.”
Dominique: “Vanuit de instituten krijgen we ook steeds meer informatie over zaken die met privacy te maken hebben. Wat betreft de bewustwording is dat een goede ontwikkeling.”
Jan: “Elk instituut heeft een privacy-contactpersoon, waarmee wij contacten onderhouden. Nu is het allemaal nu vrij nieuw, maar die banden moeten steeds hechter worden.”
Dominique: “Daarom willen we iedereen binnen de hogeschool oproepen zich bij privacy-contactpersonen te melden met hun privacyvraagstukken. Vragen kunnen ook naar privacy@hr.nl gestuurd worden. Ook al denk je dat het een onzinnige vraag is: stel ‘m gewoon. Rare vragen bestaan niet. Privacy is nu eenmaal ingewikkelde materie. Voor de privacy-contactpersonen en ons is het fijn om te weten wat er speelt onder studenten en medewerkers. We staan voor iedereen klaar.”