Uitgesproken door de voorzitter van de Wetenschapsfractie Guido Visman tijdens de 334de Universiteitsraad. | Speech by the Science Faction chairman Guido Visman during the 334th University Council meeting.

=== English below ===

Voorzitter, geachte leden van het College van Bestuur,

Aan de orde is instemming met het ‘Beleidsdocument Cameratoezicht’ en het ‘DPIA-rapport Cameratoezicht’. Dit zijn belangrijke documenten, onder andere in het licht van de situaties vorig jaar op het plein voor het Academiegebouw en in het Rölinggebouw. Het DPIA-rapport is opgesteld door een team onder leiding van Timo Pot, P&S coördinator bij Campus & Community. Een voorbeeldig staaltje werk, waarvoor hulde en dank!

Omdat er tijdens de bespreking van beide documenten in de commissievergadering helaas wat commotie was over het vaststellingsproces wil ik graag, ter geruststelling van betrokkenen, een Zeer Kort College oftewel ZKC geven over het instrument Data Protection Impact Assessment of Gegevensbeschermingseffectbeoordeling (kortweg: GEB) zoals de 37-letterige Scrabble-vertaling officieel luidt. Want let wel, dit instrument ziet volgens de wet op “(…) een beoordeling van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens.” Een DPIA is specifiek gericht op het in kaart brengen en beoordelen van de risico’s van de voorgenomen verwerking en gaat daarmee minder ver dan bijvoorbeeld een Privacy Impact Assessment (PIA) die beoogt alle privacyaspecten van betrokkenen te beoordelen, zoals het sociaalmaatschappelijke en/of ethische vraagstuk over de (on)wenselijkheid van een verwerking.

Voorzitter, de reden waarom ik hierop wijs heeft te maken met de verdere wettelijke bepalingen over de DPIA. De beoordeling van verwerkingsrisico’s moet namelijk regelmatig herhaald worden, bijvoorbeeld bij de introductie van nieuwe technologieën (zoals gecombineerde video- en geluidsopname) of bij stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten (zoals de genoemde situatie voor het Academiegebouw). Om die reden beveelt de Autoriteit Persoonsgegevens aan om een DPIA sowieso eens in de drie jaar te herhalen.

Een DPIA behoort daarmee dus onderdeel uit te maken van een continu proces van organisatorische alertheid en verbetering, oftewel een PDCA-cyclus, en onder andere inzicht te geven of, en zo ja hoe, geconstateerde risico’s kunnen worden gemitigeerd met technische en/of organisatorische maatregelen. Een van die maatregelen is het bijvoorbeeld het opstellen, implementeren, communiceren en handhaven van beleid zoals vastgelegd in bijgaand Beleidsdocument Cameratoezicht. En met de wetenschap over het continu terugkerende karakter van de beoordelingsplicht moge het duidelijk zijn dat ook dat document regelmatig zal moeten worden herzien en bijgewerkt.

Voorzitter, tot zover dit ZKC.

Ondanks mogelijke ongemakkelijke gevoelens bij andere fracties in de Raad pleit de Wetenschapsfractie nadrukkelijk voor instemming met beide documenten. Uitvoering en handhaving van het camerabeleid van de RUG wordt hiermee significant verbeterd en kan altijd weer worden herzien, ook op verzoek van onze Raad zelf. Tot die tijd weten medewerkers, studenten en bezoekers van onze universiteit waar ze aan toe zijn en dat lijkt de Wetenschapsfractie nu belangrijker dan het minutieus volgen van de juiste procedure.

Ik dank u voor uw aandacht.

Guido Visman,

Voorzitter Wetenschapsfractie

=== English ===

Chair, esteemed members of the Executive Board,

The agenda includes approval of the ‘Camera Surveillance Policy Document’ and the ‘DPIA

Report on Camera Surveillance’. These are important documents, particularly in light of last year's incidents on the square in front of the Academy Building and in the Röling Building. The DPIA report was drawn up by a team led by Timo Pot, P&S coordinator at Campus & Community. This is an exemplary piece of work, for which we offer our compliments and thanks!

As there was unfortunately some commotion during the discussion of both documents in the committee meeting regarding the adoption process, I would like to give a Very Short Lecture (VSL) on the instrument Data Protection Impact Assessment or Data Protection Impact Assessment (short: DPIA), as the 37-letter Scrabble translation officially reads. Because, mind you, according to the law, this instrument is intended to provide ‘an assessment of the impact of the intended processing activities on the protection of personal data’. A DPIA is specifically aimed at identifying and assessing the risks of the intended processing and therefore goes less far than, for example, a Privacy Impact Assessment (PIA), which aims to assess all privacy aspects of those involved, such as the social and/or ethical issues surrounding the (un)desirability of processing.

Chair, the reason I am pointing this out has to do with the further legal provisions on the DPIA. The assessment of processing risks must be repeated regularly, for example when new technologies are introduced (such as combined video and audio recording) or in the case of systematic and large-scale monitoring of publicly accessible spaces (such as the situation mentioned for the Academy Building). For this reason, the Data Protection Authority recommends repeating a DPIA every three years in any case.

A DPIA should therefore be part of a continuous process of organisational alertness and improvement, i.e. a PDCA cycle, and provide insight into, among other things, whether, and if so how, identified risks can be mitigated with technical and/or organisational measures. One such measure is, for example, the drafting, implementation, communication and enforcement of policies as set out in the attached Camera Surveillance Policy Document. And with the knowledge about the continuous nature of the assessment obligation, it may be clear that that document too will have to be reviewed and updated regularly.

Chair, that concludes this VSL.

Despite possible discomfort among other factions in the Council, the Science Group Science Group strongly advocates approval of both documents. This will significantly improve the implementation and enforcement of the University of Groningen's camera policy and allow for review at any time, including at the request of our Council itself. Until then, staff, students and visitors to our university will know where they and that seems more important to the Science Group at this moment than meticulously following the correct procedure. 

Thank you for your attention.