Vragen over verwerking van persoonsgegevens (algemeen)
Als de HvA bepaalde gegevens over studenten, medewerkers of andere betrokkenen verzamelt, betekent dit niet dat de HvA ook in juridische zin ‘eigenaar’ is van de persoonsgegevens van betrokkenen. Uitgangspunt in de AVG is dat degene die de persoonsgegevens verzamelt, verantwoordelijk is voor veilig en juist gebruik daarvan.
De bewaartermijn voor persoonsgegevens is mede afhankelijk van het doel waarvoor zij zijn verzameld. Hoofdregel is ‘dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk is voor het bereiken van het doel waarvoor zij werden verzameld.’ Onder bepaalde voorwaarden mogen persoonsgegevens langer bewaard worden, bijvoorbeeld voor archivering, wetenschappelijk of historisch onderzoek of statische doeleinden. Dit is alleen toegestaan mits de rechten en vrijheden van de betrokkenen gewaarborgd zijn.
De HvA hanteert de selectielijst van de Vereniging Hogescholen als uitgangspunt voor het vaststellen van bewaartermijnen.
Meer informatie over de bewaartermijnen vind je bij Archief > Wat doet Documentaire Informatievoorziening (DIV)
Persoonsgegevens worden rechtmatig verwerkt als ten minste voldaan wordt aan één van de volgende voorwaarden:
- De betrokkene heeft voor de verwerking ondubbelzinnige toestemming gegeven.
- De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is.
- De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting. Onder andere op grond van fiscale- en onderwijswetgeving is HvA bevoegd bepaalde persoonsgegevens te verwerken.
- De verwerking is noodzakelijk op grond van een gerechtvaardigd belang van de HvA. Van een gerechtvaardigd belang kan sprake zijn als de verwerking noodzakelijk is om de reguliere bedrijfsactiviteiten te kunnen verrichten.
- De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijk persoon te beschermen. Van vitaal belang is sprake als bij voorbeeld door een ongeval betrokkene buiten bewustzijn is en medische hulp noodzakelijk is. De bescherming van de persoonlijke levenssfeer wijkt in dat geval voor een hoger belang.
- De verwerking is noodzakelijk voor een goede vervulling van een overheidstaak.
Toestemming van een betrokkene vormt één van de zogenoemde rechtsgronden voor het verwerken van persoonsgegevens. Afhankelijk van het doel van verwerken kan ook een andere rechtsgrond gelden. Zo is bijvoorbeeld geen toestemming vereist als de verwerking is gebaseerd op een wettelijke verplichting of contractuele overeenkomst. Dit is het geval als een student zich inschrijft bij de HvA of als een medewerker in dienst treedt. In beide gevallen worden persoonsgegevens zonder uitdrukkelijke toestemming verwerkt. Over studentgegevens wordt DUO geïnformeerd en over de salarisbetalingen van de medewerkers de fiscus.
Het vragen van toestemming om persoonsgegevens te mogen verwerken is – onder bepaalde voorwaarden – ook niet nodig als het belang van de HvA zwaarder weegt dan dat van betrokkene of als het niet vragen van toestemming noodzakelijk is voor het beschermen van een vitaal belang van betrokkene (gerechtvaardigd belang).
Om haar taken uit te oefenen is het de HvA toegestaan om een kopie van een identiteitsbewijs te maken. Dit mag op grond van fiscale regelgeving en op grond van de Wet op het hoger onderwijs en wetenschappelijk onderzoek (WHW). Ook mag de HvA vragen je te identificeren als je bijvoorbeeld een verzoek tot inzage van persoonsgegevens doet. De HvA moet controleren of niet een ander dan degene waar de persoonsgegevens betrekking op hebben, om inzage vraagt. Niet altijd kan met het overleggen van een kopie van het identiteitsbewijs worden volstaan. Bijvoorbeeld als het gaat om inschrijving als student kan de HvA betrokkene verzoeken het originele identiteitsbewijs te tonen.
Het HvA e-mailadres en studentnummer zijn een persoonsgegeven. Het geeft toegang tot andere persoonsgegevens zoals geboortedatum, adres, studieresultaten etc. Het studentnummer wordt in sommige gevallen gedeeld met andere verwerkingsverantwoordelijken, bijvoorbeeld met DUO of een andere onderwijsinstelling bij uitwisselingen en minors. Daarnaast kunnen de studentnummers ook met een andere verwerkingsverantwoordelijke gedeeld worden als betrokkene daar uitdrukkelijk toestemming voor heeft gegeven. Of als de HvA de verwerking heeft uitbesteed aan een verwerker. Hier ligt een verwerkingsovereenkomst aan ten grondslag om de verwerking te borgen.
De e-mailadressen worden verstrekt om als onderwijsinstelling/werkgever met betrokkenen te kunnen communiceren en betrokkenen de mogelijkheid te geven – in een professionele context – met elkaar te kunnen communiceren. De e-mailadressen worden – bijvoorbeeld voor commerciële doeleinden - door de HvA niet aan derden verstrekt, omdat zij bedoeld zijn om de communicatie tussen HvA, studenten en medewerkers te faciliteren en niet om derden met studenten en medewerkers van HvA te laten communiceren.
Als studenten met persoonsgegevens werken wel. Zie het stappenplan onderzoek.
Persoonsgegevens worden in SIS verwerkt op basis van een wettelijke plicht, niet op basis van toestemming van de student. We moeten wel kunnen verantwoorden wat we met die gegevens doen, het hangt sterk af van het gebruik.
Docenten gebruiken gegevens uit SIS op basis van de wet. Onderzoekers moeten toestemming vragen aan de betreffende student(en).
Het IP-adres is een persoonsgegeven. De AVG is dus van toepassing. Je zult hier dus toestemming voor moeten vragen.
Dit is niet nodig. Dit valt onder het onderwijsproces.