A-Z Studenten Bedrijfskunde

Handleiding Persoonsgegevens

Iedereen bij de HvA die werkt met persoonsgegevens houdt rekening met de volgende principes.


Handleiding persoonsgegevens

Alle verwerkingen van persoonsgegevens moeten voldoen aan de privacywet, de Algemene Verordening Gegevensbescherming (AVG). Wat houden die eisen in? In dit document staat een overzicht van de belangrijkste eisen. Als je hier vragen over hebt, of hulp bij nodig hebt, neem dan contact op met de privacy officer van jouw faculteit of dienst.

1. Doel

De HvA mag persoonsgegevens alleen gebruiken als daarvoor een voorafgaand vastgesteld doel aanwezig is. Dit houdt in dat je voorafgaand aan een nieuwe verwerking moet bedenken wat het doel is van dat project/die tooling of het onderzoek. Persoonsgegevens verzamelen, omdat die wellicht in de toekomst handig kunnen zijn is dus niet AVG-proof. En als je de gegevens voor een ander (nieuw) doel wilt gebruiken gelden opnieuw onderstaande regels.

2. Grondslag

In de AVG staan 6 zogenaamde ‘grondslagen’. Iedere verwerking heeft een grondslag nodig om legitiem te kunnen worden uitgevoerd. Voor de HvA zijn 4 van deze grondslagen het meest relevant. Dat is namelijk wanneer de persoonsgegevens noodzakelijk zijn om:
a. Een overeenkomst met een persoon uit te voeren (bijvoorbeeld de onderwijsovereenkomst met de student, of het medewerkerscontract);
b. Een wettelijke taak of verplichting uit te voeren (bijvoorbeeld een onderwijsverplichting in het kader van de WHW);
c. Een gerechtvaardigd belang van de HvA te realiseren (bijvoorbeeld de beveiliging van de panden van de HvA), of:
d. Met toestemming van degene van wie de persoonsgegevens afkomstig zijn, of de ouders/verzorgers bij minderjarigen (tot en met 16 jaar).


De AVG is gestoeld op het principe van dataminimalisatie: verwerk alleen die persoonsgegevens die strikt noodzakelijk zijn.

3. Alleen de noodzakelijke gegevens

Zodra je het doel en een grondslag hebt geformuleerd, kun je nagaan welke gegevens echt noodzakelijk zijn om de verwerking uit te voeren. Ga dus na welke categorieën van gegevens nodig zijn om het doel te bereiken. Vraag eventueel na bij een collega of een samenwerkingspartij waarom sommige gegevens nodig zijn. De AVG is gestoeld op het principe van dataminimalisatie: verwerk alleen die persoonsgegevens die strikt noodzakelijk zijn.


4. Geen bijzondere persoonsgegevens, tenzij

De AVG verbiedt dat zogenaamde ‘bijzondere’ persoonsgegevens worden verwerkt, tenzij er een uitzondering is, voor de HvA meestal dat er specifiek toestemming is gegeven of dit uit een wet voortvloeit. Dit zijn gegevens over ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Twijfel je hierover? Neem dan contact op met de privacy officer van jouw faculteit of dienst.

5. Transparant en rechten van betrokkenen

De HvA is transparant over de manier waarop zij persoonsgegevens verwerkt. Dit doen we allereerst via het algemene privacy statement van de HvA. Spreek jij een andere doelgroep aan dat in het algemene HvA privacy statement, of lijkt jouw verwerking niet onder het algemene statement te vallen? Dan kun je een specifiek statement opstellen. Het model voor een specifiek privacy statement vind je hier.

Iedereen heeft verschillende privacyrechten. De AVG noemt dit ‘rechten van betrokkenen’. Denk hierbij aan het recht op inzage, verwijdering of het recht van bezwaar. Voordat je een nieuwe verwerking start (bijvoorbeeld een onderzoek of een nieuwe applicatie) moet je je afvragen of die rechten allemaal uitgevoerd kunnen worden binnen die nieuwe verwerking. Lees hier meer over de verschillende rechten en de procedure daaromtrent bij de HvA.

6. Bewaartermijn

De HvA mag persoonsgegevens bewaren zolang dat noodzakelijk is voor het doel van de verwerking. In sommige gevallen is in de wet bepaald hoe lang gegevens moeten worden bewaard. Personeelsgegevens die fiscaal relevant zijn mogen bijvoorbeeld tot 7 jaar na uitdiensttreding worden bewaard. Van andere gegevens staat in de Selectielijst Hoger Onderwijs, hoe lang de gegevens worden bewaard. En van weer andere gegevens is geen termijn vastgelegd. In dit laatste geval moet je nagaan wanneer het doel eindigt en in hoeverre het noodzakelijk is dat de gegevens daarna nog een bepaalde periode bewaard blijven. Twijfel je over deze termijn? Neem dan contact op met de afdeling Dienst Informatie Voorziening (DIV).

7. Uitwisseling van gegevens met andere partijen

Soms is het nodig om persoonsgegevens aan een andere partij te verstrekken. Bijvoorbeeld omdat we samenwerken met een andere hogeschool, of omdat we een leverancier van een applicatie inschakelen. Het is altijd nodig om een overeenkomst te sluiten met die andere partij. Hier lees je welke overeenkomst je in welke situatie nodig hebt. Ook de HvA modelovereenkomsten zijn op de A-Z lijst te vinden.

8. Register van verwerkingen

Om aantoonbaar te maken dat de HvA aan de verplichtingen uit de AVG voldoet, is de HvA verplicht een register bij te houden van de verwerkingsactiviteiten waarvoor de HvA verwerkingsverantwoordelijke voor is. Het register van verwerkingsactiviteiten is een opsomming van de belangrijkste informatie over de verwerkingen van persoonsgegevens. De privacy officers houden het register van verwerkingen bij. Lees hier meer over het register van de HvA, of vraag je privacy officer om hulp.

9. Passende beveiliging

Alle persoonsgegevens moeten passend beveiligd zijn. Dit houdt in, een goede technische beveiliging en ook organisatorisch. Denk hierbij aan encryptie, pseudonimisering, autorisaties etc. Een goede beveiliging en een risico analyse van de privacy en beveiliging kunnen het beste in kaart worden gebracht door het starten van een Informatie Beveiliging en Privacy risicoinventarisatie (IB&P). Hier vind je het model IB&P van de HvA inclusief stappenplan.

Gepubliceerd door  Afdeling Communicatie privacy 24 oktober 2022