‘Wees je bewust: een datalek ligt zo op de loer’

Zowel landelijke als Europese regels rondom persoonsgegevens zijn veranderd. Wat betekent dit voor wetenschappelijk onderzoek in Nederland? Het advies van twee deskundigen.

“Per 1 januari 2016 is de Wet Bescherming Persoonsgegevens (WBP) aangescherpt. Er is onder meer een meldplicht gekomen in het geval dat persoonsgegevens in verkeerde handen komen of onrechtmatig worden verwerkt. Daarnaast zijn de sanctiemogelijkheden exponentieel in breedte en hoogte gestegen,” vertelt Moswa Herregodts, functionaris gegevensbescherming aan de Tilburg University.
In mei 2016 is bovendien de Europese Algemene Verordening Gegevensbescherming in werking getreden. “Het recht op privacy is een grondrecht van iedere burger,” legt Marlon Domingus het uitgangspunt van de verordening uit. Domingus is projectmanager research data management aan de Erasmus Universiteit en samen met Esther Hoorn van de RUG voorzitter van de juridische werkgroep van het Landelijk Coördinatiepunt Research Data Management (LCRDM).

Universiteitsbrede aanpak

Onderzoeksinstellingen hebben tot mei 2018 om hun bedrijfsvoering in te richten volgens de Europese verordening. Per die datum moeten ze kunnen aantonen dat ze de nieuwe regelgeving volgen.
Tilburg University heeft een functionaris voor de gegevensbescherming aangesteld en een werkgroep voor privacy-gerelateerde vraagstukken in het leven geroepen die zich onder meer bezighoudt met datalekken. “Zo’n lek ligt snel op de loer. In het eerste half jaar hebben we al tientallen casussen onderzocht,” vertelt Herregodts. “Verder willen we dit jaar disk-encryptie universiteitsbreed implementeren bij laptops, later bij alle werkplekken. Een tweede speerpunt is bewustwording van de invloed van eigen gedrag, ook in wetenschappelijk onderzoek.”

De digitale sporen die wetenschappers achterlaten kunnen gevoelige persoonlijke informatie bevatten. ­Illustratie Rik van Schagen

Begin met beschikbare middelen

“De meldplicht datalekken houdt voor individuele onderzoekers in dat zij intern melding moeten maken van een (potentieel) datalek en volledige medewerking moeten verlenen aan het onderzoek naar het datalek,” legt Herregodts uit. “Maar belangrijker is uiteraard rechtmatige verwerking van persoonsgegevens en het voorkomen dat de data terecht komen bij onbevoegden.”
Domingus adviseert: “Bedenk al bij de opzet van je onderzoek hoe je zorgvuldig omgaat met gegevens die herleidbaar zijn tot personen. Realiseer je wie toegang tot deze gegevens moet hebben, en wie absoluut niet.”
De instelling heeft de verantwoordelijkheid om hierbij te helpen “door heldere procedures te communiceren over de omgang met data, voorzieningen te bieden voor veilige opslag, encryptie, anonimiseren van data, enzovoorts. En door onderzoeksondersteuners aan te stellen die de onderzoeker kunnen helpen bij de opzet van een onderzoek,” geeft Domingus aan.
De hoge boetes dreigen echter te leiden tot een verkramping. “We zien dat veel betrokkenen neigen naar uitstelgedrag bij het oppakken van het onderwerp ‘hoe privacy goed te borgen’. Onze boodschap, die we ook uitdragen via de Werkgroep Juridische aspecten van het Landelijk Coördinatiepunt, is: begin gewoon met de middelen die er zijn. Vergroot de bekendheid door met elkaar in gesprek te raken en te blijven – en van elkaar te leren,” moedigt Domingus aan.
autoriteitpersoonsgegevens.nl/nl/melden/meldplicht-datalekken
lcrdm.nl

Tips van Herregodts 

• Splits al tijdens het verzamelen de herleidbare gegevens (‘het communicatiebestand’) van onderzoeksdata en bewaar deze bestanden op gescheiden en veilige locaties.
• Bewaar geen gevoelige onderzoeksdata bij publieke cloud-opslagdiensten zoals Dropbox, GoogleDrive, OneDrive en Box. Gebruik hiervoor SURFdrive.
• Download niet klakkeloos een leuk tooltjevan het internet. Laat je informeren welke toepassingen veilig gebruikt kunnen worden.
• Lock altijd de pc / laptop.
• Gebruik voor opslag bij voorkeur geen draagbare digitale opslagmedia zoals een laptop, plug-in hard drive, usb-stick, cd of dvd. De netwerkschijven op de universiteit zijn 
betrouwbaarder en veiliger.
• Bewaar je gevoelige onderzoeksdata toch op je laptop, zorg dan voor disk-encryptie viaIT Support.
• Gebruik Secure FileSender voor het veilig verzenden van grote bestanden.
• Laat de pc / laptop niet onbeheerd achter, doe de deur van je kantoor op slot.