Column


Column Han van Veldhuizen

Een lastige spagaat

De sportzomer ligt inmiddels achter ons en we genieten nog na van de successen van de Nederlandse sporters in Rio. Langzaamaan gaan we weer naar de koude realiteit van alledag, zoals daar is de nasleep van de invoering van de meldplicht datalekken en de toekomstige invoering van haar Europese zusje.

Goede zaak 
Net als alle andere organisaties zijn wij bij Deltares afgelopen jaar heel druk bezig geweest om ervoor te zorgen dat we het risico op het lekken van privacygevoelige informatie minimaliseren. Daartoe hebben we ‘passende’ technische en organisatorische maatregelen genomen. Op zichzelf is dat alleen al een goede zaak. 

Daarnaast hebben we ook het databeschermingsbeleid gereviseerd, een functionaris gegevensbescherming benoemd, een risico-inventarisatie gedaan en een herboordelingscyclus daarvoor opgesteld, de bestaande bewerkersovereenkomsten met dienstverleners onder de loep genomen en een programma opgestart om het beveiligingsbewustzijn bij de medewerkers te vergroten. Kortom een hoop werk, maar allemaal voor de goede zaak. Want ook ik wil niet dat mijn persoonsgegevens op straat komen te liggen. 

Hoofdbrekens 
Tijdens een van de awareness-sessies werden wij geconfronteerd met een gangbare praktijk die ons voor veel hoofdbrekens plaatst. Als kennisinstituut doen wij veel fundamenteel onderzoek voor de Nederlandse overheid en de Europese Unie. Met name de EU koppelt de tarieven van onze mensen steeds vaker aan het daadwerkelijk genoten salaris. Zij vragen ons dan ook salarisbrieven van de ingezette medewerkers mee te sturen bij de urenverantwoording. 

Volgens het richtsnoer van de Autoriteit Persoonsgegevens hebben we het hier dan zomaar over persoonsgegevens die uitsluitend voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden mogen worden opgeslagen en gebruikt. Misschien kwantitatief niet heel veel gegevens, maar kwalitatief wel heel privacygevoelige informatie. Maar wie garandeert ons dat de EU zorgvuldig met deze data omgaat? Wat zijn de gevolgen als zij worden gehackt of deze data op een usb-stick in de trein laten liggen? Moeten we wellicht met de EU een bewerkersovereenkomst sluiten, net zoals we dat doen met de verwerker van onze salarisgegevens?

Pragmatische aanpak 
Vooralsnog pakken we het pragmatisch aan en kijken we hoeveel persoonsgegevens we kunnen ‘weglakken’ op het salarisformulier zodat we enerzijds voldoen aan de voorwaarden voor betaling door de EU en anderzijds voldoen aan de privacyverordening van diezelfde EU. En zo zitten we in een spagaat waar Sanne Wevers jaloers op zou zijn. Ik troost me maar met de gedachten dat het haar inmiddels, na heel veel oefenen, zeer soepeltjes afgaat en uiteindelijk heeft geleid tot een mooie gouden medaille.


Lees meer over