Artikel geschreven door: Elmer Mackor – consultant bij CY2

Sinds de Algemene Verordening Gegevensbescherming (AVG) van kracht is, zien we bij de instellingen dat dit een belangrijk onderwerp van gesprek is. De focus ligt nu wellicht met name op de bedrijfsprocessen en het vaststellen hoe je sinds mei 2018 als instelling moet voldoen aan deze nieuwe privacywet, maar uiteindelijk zal er ook een (functionele) oplossing in de applicatie moeten worden ingericht. Om de instellingen hierbij te helpen zijn wij aan de slag gegaan om te onderzoeken welke standaard privacy functionaliteit Campus Solutions biedt met als uitgangspunt versie 9.2.004.

• Veld maskering
Deze functionaliteit maakt het mogelijk om het BSN nummer en/of geboortedatum te maskeren in zoekresultaten en op de pagina ‘persoon toevoegen/bijwerken’. Op dit moment is het niet mogelijk ook andere velden in de zoekresultaten te maskeren zonder maatwerk aanpassingen.

• ID verwijderen
Staan er personen in de applicatie die niet door het aanmeldproces zijn gekomen, dan is het mogelijk om via deze functie één of meerdere personen compleet uit het systeem te verwijderen. Let op: het is niet eenvoudig om aanmelders en/of studenten op deze manier te verwijderen omdat er een controle is ingebouwd die de verwijdering blokkeert. Denk als controle aan bijv. een periode activering of matriculatie. Het is wel mogelijk deze controles zelf uit te breiden. Een laatste kanttekening is dat het verwijderen van personen alleen gebeurt uit de standaard schermen waar persoonsgegevens zijn opgeslagen. Eigen maatwerk schermen of functionaliteiten blijven onaangeraakt. Helaas is het nu nog niet mogelijk om dit uit te breiden zonder maatwerk op de ID verwijder functionaliteit te maken.

• Pagina & veld configurator
Vanaf versie 9.2.008 (PT 8.55.15) is er een nieuwe tool beschikbaar die het mogelijk maakt om allerlei aspecten van een pagina aan te passen via de voorkant van de applicatie zoals: velden verbergen, labels aanpassen, standaard veldwaarden definiëren en/of velden wel of niet verplicht stellen. Dit is op basis van rollen en permissielijsten te configureren. Deze functionaliteit maakt het mogelijk om aan verschillende personen binnen de organisatie dezelfde pagina op een andere manier te laten zien. Denk aan de pagina ‘persoon toevoegen/bijwerken’, door deze zodanig te configureren dat persoon X alle persoonsgegevens kan inzien en persoon Y alleen studentnummer en/of naam. Je hoeft dus geen maatwerk pagina te ontwikkelen om het beperken van informatie voor bepaalde gebruikersgroepen te realiseren. Een aantal andere praktisch voorbeeld is om het gebruiksgemak te verbeteren door niet gebruikte onderdelen op een pagina te verbergen voor de eindgebruiker of de standaard vertalingen van de velden aan te passen.

• FERPA en overeenkomstpagina’s
Met de FERPA functionaliteit is het mogelijk dat studenten (maar ook andere gebruikers) via self-service aangeven hoe bepaalde (persoons)gegevens gebruikt mogen worden binnen de instelling. Denk hierbij bijv. aan het gebruik van het e-mail adres voor interne verspreiding of het gebruik van informatie rondom een studiebeperking. Via de administratieve kant is dit inzichtelijk en het is ook mogelijk om een koppeling te maken met externe systemen en/of rapportages zodat de keuze van de student daarin automatisch verwerkt is. Via de overeenkomstpagina’s in self-service kan de (aankomende) student de privacy overeenkomst van de instelling bekijken en deze vervolgens digitaal ondertekenen. Deze ondertekening is achteraf inzichtelijk (en rapporteerbaar) voor zowel de administratie als de student. Deze pagina’s zijn gekoppeld aan een activiteitengids waarin de student een aantal stappen voor bijv. definitieve registratie moet doorlopen. Daarbij is te configureren dat de overeenkomst pagina’s een verplicht onderdeel zijn en dat de student niet verder kan met de vervolgstappen voordat er ondertekend is.

• Data rapport genereren
Een van de rechten die een persoon heeft binnen de AVG is het inzicht in welke gegevens een organisatie van hem of haar heeft. Door een menu optie in de (Fluid) self-service of administratieve dashboard op te nemen die direct verwijst naar een eigen BI-publisher rapportage kan de student of medewerker direct een rapport genereren (in PDF of CSV) waarin al deze gegevens staan. Omdat het een interne rapportage betreft, kan de instelling zelf bepalen welke gegevens erin staan en op welke manier dit gepresenteerd wordt.

• De toekomst Oracle heeft al aangegeven dat er in toekomstige updates een aantal functionaliteiten waarschijnlijk worden toegevoegd en/of uitgebreid:
– de ID verwijder functionaliteit wordt uitgebreid waardoor het mogelijk wordt om de verplichte controles te negeren;
– de scope van de verwijdering uit te breiden en uitzonderingen vast te stellen;
– en nieuwe Data Privacy Framework waarmee je als instellingen eenvoudig kan opzoeken waar persoonlijke gegevens gebruikt worden en deze gemakkelijk te verbergen of te maskeren.

Helaas is er op dit moment nog geen informatie beschikbaar wanneer deze updates van Oracle beschikbaar zijn. Voor het nieuwe Data Privacy Framework zullen we hoogstwaarschijnlijk moeten wachten tot 2019. Daarnaast wordt er vanuit CY2 een functionaliteit ontwikkeld om persoonlijke gegevens van alle ID’s eenvoudig te updaten, te verwijderen of te anonimiseren via de voorkant van de applicatie. Deze functionaliteit is uiteraard generiek en flexibel in opzet, waardoor deze bij diverse instellingen en bedrijfsprocessen ingezet kan worden. Voor meer informatie en voorbeeld configuratie, zie het uitgebreide artikel (in het Engels) op onze website. Advies of extra ondersteuning nodig? Bekijk gerust onze diensten die specifiek zijn gericht op de AvG.