Project omschrijving

Erasmus Universiteit & BlueDolphin

Een bijzonder groot scala aan verwerkingen

In 2017 werd het iedere Europese organisatie duidelijk vanaf mei 2018 te moeten voldoen aan de regelgeving Algemene Verordening Gegevensbescherming (AVG). Ook de Erasmus Universiteit wist dat ze zaken aantoonbaar op orde moest brengen. Wat doet de organisatie met persoonsgegevens, nadat is gerechtvaardigd dat ze specifieke gegevens mag gebruiken?

Binnen een internationaal georiënteerd onderzoeksinstituut als de Erasmus Universiteit is sprake van een bijzonder groot scala aan verwerkingen. Naast het feit de organisatie in 2017 29.790 nationale en internationale studenten en 3089 medewerkers telde, bestaat de universiteit uit 200 afdelingen en 9 onderzoeksfaculteiten die zich concentreren op gezondheid, welvaart, bestuur en cultuur. Onderzoeksprocessen, resultaten maar ook student-omgevingen bevatten veelal gevoelige data en roepen talloze vragen op. Wat wordt onderzocht en waarom? Zo stond de organisatie voor de uitdaging al die datastromen te volgen en inzicht te krijgen in welke gegevens zich waar bevinden.

Privacy borgen
In de nazomer van 2017 zet de universiteit een eerste stap door medewerkers uitgebreid te informeren over de nieuwe wetgeving met behulp van online communicatie, masterclasses en webinars. Vanuit daar stelt men, voor ieder van de negen faculteiten, een Privacy Officer aan. Het projectteam ‘Digitale vrijheid en Privacy’ wordt opgericht om de AVG binnen de organisatie te borgen. Dit team raadpleegt haar ERP-systeem SAP en besluit interviews af nemen bij alle 200 afdelingen die uit dit systeem naar boven komen; van Research tot Management, HR en Marketing; wat doet een medewerker nu eigenlijk met persoonsgegevens en waarom? Van welke verantwoordelijkheden is sprake en wat zijn de rechtsgronden? In deze fase komt de universiteit tot de conclusie dat van minimaal 945 privacygevoelige processen gegevens in kaart moeten worden gebracht. Dit aantal verwerkingen is dynamisch en groeit omdat met regelmaat nieuwe verwerkingen worden aangemeld.

“We wilden datastromen inzichtelijk maken. Binnen welke processen worden privacygevoelige gegevens verwerkt en welke applicaties zijn daaraan gekoppeld? Die informatie wilden we ergens opslaan en inzien. Het liefst direct met de mogelijkheid om deze informatie begrijpelijk te visualiseren.”

– Frank van Dijk, Innovation Manager Erasmus Universiteit

Erasmus Universiteit Rotterdam heeft dankzij BlueDolphin:

  • Inzicht in data: complex wordt begrijpelijk voor de hele organisatie;
  • De tool voor handen die communicatie tussen alle stakeholders vereenvoudigt;
  • Een koppeling tussen het AVG-verwerkingsregisterer en de HORA; de referentietaal voor het onderwijs;
  • Een gecentraliseerde AVG-organisatie met gedecentraliseerd AVG- beheer en -registratie;
  • Een gebruiksvriendelijke tool in huis waardoor afdelingsoverstijgend wordt gewerkt;
  • Het vermogen om op data- in plaats van op aanname gebaseerde keuzes te maken;