Erasmus Universiteit Rotterdam (hierna: EUR) behoort tot de top van Europa dankzij hoogwaardig academisch onderwijs en de impact van haar wetenschappelijk onderzoek. De EUR is één van de grootste universiteiten van Nederland en telt meer dan 30.000 studenten en ruim 3.000 medewerkers. Het onderwijs en onderzoek vindt plaats bij zeven faculteiten, twee bijzondere instituten en één university college, en deze worden ondersteund door meer dan 150 afdelingen.
De komst van de Algemene Verordening Gegevensbescherming (hierna: AVG) zorgde ervoor dat de EUR diende aan te tonen dat zij voldoet aan alle privacyregels in het kader van de verantwoordingsplicht. Een belangrijke stap om dit te bewerkstelligen was het verkrijgen van inzicht in de huidige situatie. Dus met andere woorden:
- Welke persoonsgegevens worden er verwerkt;
- Wie (binnen en buiten de EUR) verwerken er persoonsgegevens;
- De legitimiteit van deze verwerkingen (doel en grondslag);
- Hoe verwerken we deze persoonsgegevens (hoe verloopt het proces en welke applicaties worden daarbij gebruikt);
- Hoe lang bewaren we de persoonsgegevens.
VKA heeft de EUR ondersteund bij de inventarisatie van de verwerkingen van persoonsgegevens en het ontsluiten van deze data in een BI / reporting tool. Voor het in kaart brengen van de huidige situatie is er gekozen om dit onder architectuur te doen. Architectuur is veelal een verbindende factor tussen mens, proces, applicatie, data (waaronder persoonsgegevens) en infrastructuur. Architectuur is hierdoor uitermate geschikt voor het in control komen op de AVG.
De data in de BI / reporting tool is verrijkt met data uit de service management software en privacy software. Hierdoor is er informatie aanwezig over zowel de verwerkingen van persoonsgegevens, maar ook privacy gerelateerde meldingen en verzoeken. In deze tool is vervolgens een dashboard gebouwd. Het dashboard geeft de EUR de volgende resultaten:
- Mogelijkheid voor monitoring en sturing op privacy risico’s op basis van beoordelingskader die is afgeleid van de AVG verplichtingen en vereisten;
- Inzicht in de status van de AVG-implementatie;
- Inzicht in welke afdelingen, processen en applicaties persoonsgegevens worden verwerkt;
- Inzicht in privacy gerelateerde meldingen en verzoeken, en wat daarvan de status is.
Al met al was juist de combinatie van expertise uit het privacydomein, gecombineerd met architectuur en BI van grote meerwaarde voor de EUR in de ondersteuning van haar ambities ten aanzien van de AVG wetgeving.