Algemene vragen

1. Hoe houdt de HvA rekening met de AVG?

Organisaties zoals de HvA die persoonsgegevens verwerken moeten in het kader van de AVG kunnen verantwoorden hoe ze in onderwijs-, onderzoeks- en bedrijfsvoeringsprocessen omgaan met de basisprincipes van de AVG. Lees alles over de basisprincipes.

Daarnaast houdt de HvA rekening met de AVG door rekening te houden met Privacy by Design en Privacy by Default. Privacy by Design betekent dat er al in de fase van ontwikkeling van activiteiten aandacht moet zijn voor de bescherming van de privacy van betrokkenen. Concreet betekent dit, dat als de HvA bijvoorbeeld voor een bepaalde activiteit een computerprogramma wil aanschaffen, de HvA niet alleen mag kijken naar de functionaliteiten, maar ook moet kijken naar de impact op privacy. We spreken van Privacy by Default als de instellingen van een programma, app, website of dienst zodanig zijn dat maximale privacy wordt betracht. Het gaat daarbij niet alleen om opties die kunnen worden ingesteld, ook zaken als algemene voorwaarden moeten privacy vriendelijk zijn.

Het is onder de AVG verplicht voor de HvA om een Functionaris Gegevensbescherming (FG) aan te stellen.

In het privacybeleid van de HvA wordt verder uitgewerkt hoe de HvA omgaat met jouw persoonsgegevens, welke maatregelen de HvA heeft getroffen om jouw privacy te beschermen en welke regels er gelden voor de HvA.

Lees hier het privacybeleid van de HvA.

2. Welke rechten heb ik als student en medewerker met de AVG?

De AVG verstevigt de rechten van betrokkenen waarvan persoonsgegevens verwerkt worden. Dat betekent dat je als student of medewerker van de HvA verschillende rechten hebt waarvan je gebruik kan maken. Denk aan het recht op inzage van je gegevens, of het recht op vergetelheid. Lees alles over je rechten en hoe je die kunt uitoefenen. Daar vind je ook een overzicht van de belangrijkste systemen die jouw gegevens verwerken en de instanties waarmee jouw gegevens gedeeld worden.

3. Moet de HvA aan al mijn verzoeken gehoor geven?

De HvA is verplicht om gehoor te geven aan jouw verzoeken tenzij deze ongegrond of buitensporig zijn, bijvoorbeeld als je heel vaak achter elkaar hetzelfde vraagt. Binnen een maand moet je een reactie ontvangen van de HvA, ook als de HvA besluit om geen gehoor te geven aan jouw verzoek. De HvA moet een eventuele weigering beargumenteren. Als je het niet eens bent met de weigering dan heb je het recht om een klacht in te dienen bij Juridische Zaken.

In specifieke situaties stelt de AVG dat de HvA geen gehoor hoeft te geven aan de rechten van de betrokkenen. Deze situaties doen zich voor wanneer bijvoorbeeld het beperken van de rechten van de betrokkenen noodzakelijk is voor de waarborging van bijvoorbeeld de nationale veiligheid, strafrechtelijke onderzoeken, bescherming van de betrokkenen en bescherming van rechterlijke procedures. Naast deze uitzonderingsgronden kan de HvA het recht van verwijdering beperken als:

De verwerking noodzakelijk is om de vrijheid van meningsuiting en informatie uit te oefenen;
HvA wettelijk verplicht is de gegevens te verwerken;
De gegevens in het kader van algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden gearchiveerd;
De gegevens noodzakelijk zijn voor een rechtsvordering.

Ook geldt het recht van informatie niet als:

De betrokkene zelf over de informatie beschikt;
De informatieverstrekking aan de betrokkene onmogelijk blijkt, of een onevenredige inspanning vergt;
De verwerking bij wet is voorgeschreven en in die wet de belangen van de betrokkene zijn gewaarborgd;
De gegevens vertrouwelijk moeten blijven in verband met een beroepsgeheim.

4. Wat moet ik doen als ik een verzoek krijg van een student?

Als een student gebruik wil maken van zijn rechten dan kan je de student voor meer informatie doorverwijzen naar de A-Z lijst van zijn of haar opleiding waar ook een lemma Privacy is opgenomen. Onder Wat zijn mijn rechten? staat precies uitgelegd wanneer en hoe een verzoek kan worden ingediend. Ook kan je de student wijzen op het privacy statement waarin staat uitgelegd hoe de HvA met de privacy en de persoonsgegevens omgaat.

Lees ook het Voorlopig protocol vragen over rechten.

Juridische Zaken is belast met het behandelen, beoordelen en registreren van deze verzoeken. Het is mogelijk dat je van Juridische Zaken een verzoek krijgt om persoonsgegevens aan te leveren van een student naar aanleiding van een verzoek van een student.

Gaat het niet om een verzoek maar om een klacht, omdat de student vindt dat er niet op een goede manier met zijn persoonsgegevens wordt omgegaan, dan kan de student een klacht indienen bij de functionaris gegevensbescherming (FG).

5. Geldt de AVG ook voor persoonsgegevens die in het verleden zijn verzameld?

Ja.

6. Is WeTransfer veilig? Wat kan ik het beste gebruiken om audiobestanden naar een verwerker te sturen?

De HvA heeft geen verwerkersoveenkomst met WeTransfer. Je mag dit programma dus ook niet gebruiken voor het versturen van persoonsgegevens. Alternatief is Surffile transfer (zie: https://www.surffilesender.nl/).

7. Hoe gaan we om met gegevens die in de publieke 'cloud' staan. Denk aan programma's en applicaties als: dropbox, google docs, gmail, whatsapp en wetransfer.

Persoonsgegevens en vertrouwelijke data moeten worden opgeslagen op HvA-goedgekeurde systemen: zie de lemma ICT-beveiliging.

8. Wat is het verschil tussen pseudonimisering en anonimisering?

Pseudonimisering

Bij pseudonimisering worden identificerende gegevens gescheiden van niet-identificerende gegevens en vervangen door kunstmatige identificatoren.

Voorbeeld

Een voorbeeld van pseudonimisering is het vervangen van de gegevens van een respondent in een onderzoek door een uniek respondentennummer. De medische gegevens worden dan gekoppeld aan dit respondentennummer in plaats van aan NAW-gegevens. Hierdoor is voor buitenstaanders niet zichtbaar wie de persoon is waaraan de medische gegevens toebehoren. Alleen degene die de koppeling kan maken tussen respondentennummer (bijv. onderzoeker) is in staat om de medische gegevens te koppelen.

Er dienen dan wel voldoende (organisatorische en technische) maatregelen genomen te worden zodat onbevoegden deze bestanden niet kunnen koppelen.

In geval van pseudonimisering is de AVG en daarmee deze richtlijn wel van toepassing.

Anonimisering

Voor Anonieme gegevens is de AVG niet langer van toepassing. Houdt wel rekening met het feit dat bij anonieme gegevens er geen enkele mogelijkheid meer is voor identificatie of herleiden tot personen. Het anonimiseren is een verwerkingshandeling en valt wel nog onder de AVG. Indien gegevens toch nog te herleiden zijn tot een persoon is er geen sprake van anonimisering.

Gepubliceerd door Afdeling Communicatie 24 oktober 2022