Volgens werkgevers beschikken net afgestudeerde data scientists vaak niet over afdoende kennis over de GDPR (in Nederland: AVG), die op 25 mei van kracht wordt. Hiermee vormen net afgestudeerden een risico voor de compliance van die bedrijven. En dat terwijl de gevolgen van non-compliance voor een bedrijf enorm kunnen zijn. Niet alleen in de vorm van van fikse geldboetes, maar ook in termen van reputatieschade.
Bovenstaande werpt de vraag op waar de verantwoordelijkheid van werkgevers begint en die van universiteiten ophoudt. Met andere woorden: in hoeverre mag een werkgever verwachten dat scholen en universiteiten hun studenten klaarstomen voor het werkende leven? En meer specifiek: in hoeverre ze hen de juridische kennis bijbrengen van het werkveld waarin ze terechtkomen? Dit is een vraag die niet zomaar is te beantwoorden, zeker niet voor onderwijsinstellingen die veel internationale studenten hebben. En is het überhaupt wel mogelijk om de geldende wet- en regelgeving te bespreken in een internationale context?
Grensoverstijgende regelgeving
De discussie is momenteel actueel, omdat de nieuwe Europese General Data Protection Regulation (GDPR, in Nederland AVG) binnenkort van kracht wordt. Deze wetgeving heeft betrekking op de verwerking van persoonsgegevens van alle Europeanen en geldt voor elk bedrijf dat persoonsgegevens over een Europese burger verwerkt, ongeacht waar ter wereld dit bedrijf is gevestigd. Tevens heeft de Britse regering bevestigd dat de wetgeving, de Brexit ten spijt, ook van toepassing is als een bedrijf gegevens van Britten verwerkt.
Naar mijn mening zouden Europese wetenschappelijke onderwijsinstellingen hun data science-studenten moeten onderwijzen in de GDPR. Maar de vraag reikt verder dan het lesgeven in een traditionele onderwijssetting. Steeds meer opleidingen en overkoepelende programma’s zoals het Qualitative Techniques for Economics and Management Masters Network, hebben namelijk ook praktijkstages en -projecten in hun lesprogramma opgenomen. Zo heeft een nieuw door SAS ondersteund Master-programma in Data Science for Business aan de Universiteit van Stirling als verplicht onderdeel een adviesopdracht bij een externe organisatie. Deze studenten werken dus met of voor een organisatie die zich gehouden weet aan de GDPR.
Wanneer studenten onvoldoende kennis hebben van wat de GDPR inhoudt en welke implicaties dit heeft, dan kan dit echt een probleem vormen voor zo’n organisatie. Kunnen bedrijven die studenten een stageplek aanbieden er op vertrouwen dat de universiteit het probleem al heeft opgelost, of doen ze er beter aan zelf verantwoordelijkheid te nemen voor hun data en de studenten zelf de benodigde kennis bij te brengen?
De juiste balans vinden
Het antwoord ligt wat mij betreft in het midden. Je kunt redelijkerwijs niet van universiteiten verwachten dat zij hun studenten onderwijzen in ieder detail of elke nuance van de bestaande en op handen zijnde wet- en regelgeving. Dat is al haast ondoenlijk als het gaat om nationale wetgeving, laat staan als het internationale regelgeving betreft. Daarbij komt dat de kennis heel snel weer verouderd raakt. Universiteiten zouden hun studenten daarom bewust kunnen en moeten maken van het feit dat deze regelgeving bestaat, en hen de vaardigheden bijbrengen zodat ze de juiste vragen kunnen stellen aan hun toekomstige werkgevers.
Veel organisaties hebben bijvoorbeeld eigen regelgevende kaders en/of gedragscodes. Kaders die verder gaan dan hoe om te gaan met persoonlijke data. Voordat ze met het echte werk starten, moeten studenten – en uiteraard ook medewerkers – vragen wat de relevante richtlijnen zijn waar ze zich aan dienen te houden.
Best practices leren
Daarnaast moeten studenten ook best practices begrijpen en kunnen toepassen. Hierin is een rol weggelegd voor de universiteiten. Zo vereist de GDPR dat bedrijven in staat zijn om elke beslissing over klanten uit te leggen, iets wat moeilijk is met zelflerende algoritmes. Dit is overigens geen nieuw issue. Het auditen van algoritmes, wat neerkomt op testen of het model werkt zoals verwacht en niet ongerechtvaardigde resultaten oplevert, is al onderdeel van elk modelontwikkelingsproces. Goede auditing zorgt voor GDPR-compliance.
Anonimisering en pseudonimisering zijn andere technieken die standaard in overweging moeten worden genomen op het moment dat het kennen van persoonlijke identiteiten niet essentieel is. Gewoon omdat deze technieken goed werken. Vaak kan met best practices worden voldaan aan de geldende regelgeving.
Als studenten kennis hebben van best practices en het belang onderkennen om deze standaard mee te nemen bij de uitvoering van projecten, dan zullen de bedenkingen van werkgevers om studenten in dienst te nemen grotendeels worden weggenomen. Tegelijkertijd helpen best practices studenten ook om problemen verderop in het proces te voorkomen. Ik vind het niet meer dan logisch dat universiteiten hun studenten onderwijzen in best practices, en hen leren hoe best practices kunnen helpen bij het voldoen aan de geldende wet- en regelgeving.
Maar hoe dan ook, het is voor werkgevers van het grootste belang dat hun medewerkers, of dit nu tijdelijke of vaste krachten zijn, de issues rondom wet- en regelgeving begrijpen. En dit is een gezamenlijke verantwoordelijkheid van universiteiten en werkgevers.
In het project Responsible Data Science werken een aantal Nederlandse Universiteiten op dit onderwerp samen. zie http://www.responsibledatascience.org/index.php/the-team/