Vragen over verwerking van persoonsgegevens (algemeen)

1. Wie is eigenaar van de persoonsgegevens?

Als de HvA bepaalde gegevens over studenten, medewerkers of andere betrokkenen verzamelt, betekent dit niet dat de HvA ook in juridische zin ‘eigenaar’ is van de persoonsgegevens van betrokkenen. Uitgangspunt in de AVG is dat degene die de persoonsgegevens verzamelt, verantwoordelijk is voor veilig en juist gebruik daarvan.

2. Hoelang mogen persoonsgegevens bewaard blijven?

De bewaartermijn voor persoonsgegevens is mede afhankelijk van het doel waarvoor zij zijn verzameld. Hoofdregel is ‘dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk is voor het bereiken van het doel waarvoor zij werden verzameld.’ Onder bepaalde voorwaarden mogen persoonsgegevens langer bewaard worden, bijvoorbeeld voor archivering, wetenschappelijk of historisch onderzoek of statische doeleinden. Dit is alleen toegestaan mits de rechten en vrijheden van de betrokkenen gewaarborgd zijn.
De HvA hanteert de selectielijst van de Vereniging Hogescholen als uitgangspunt voor het vaststellen van bewaartermijnen.

Meer informatie over de bewaartermijnen vind je bij Archief > Wat doet Documentaire Informatievoorziening (DIV)

3. Wanneer is er sprake van een rechtmatige verwerking van persoonsgegevens?

Persoonsgegevens worden rechtmatig verwerkt als ten minste voldaan wordt aan één van de volgende voorwaarden:

De betrokkene heeft voor de verwerking ondubbelzinnige toestemming gegeven.
De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is.
De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting. Onder andere op grond van fiscale- en onderwijswetgeving is HvA bevoegd bepaalde persoonsgegevens te verwerken.
De verwerking is noodzakelijk op grond van een gerechtvaardigd belang van de HvA. Van een gerechtvaardigd belang kan sprake zijn als de verwerking noodzakelijk is om de reguliere bedrijfsactiviteiten te kunnen verrichten.
De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijk persoon te beschermen. Van vitaal belang is sprake als bij voorbeeld door een ongeval betrokkene buiten bewustzijn is en medische hulp noodzakelijk is. De bescherming van de persoonlijke levenssfeer wijkt in dat geval voor een hoger belang.
De verwerking is noodzakelijk voor een goede vervulling van een overheidstaak.

4. Moet de HvA toestemming hebben van mij om mijn persoonsgegevens te verwerken?

Toestemming van een betrokkene vormt één van de zogenoemde rechtsgronden voor het verwerken van persoonsgegevens. Afhankelijk van het doel van verwerken kan ook een andere rechtsgrond gelden. Zo is bijvoorbeeld geen toestemming vereist als de verwerking is gebaseerd op een wettelijke verplichting of contractuele overeenkomst. Dit is het geval als een student zich inschrijft bij de HvA of als een medewerker in dienst treedt. In beide gevallen worden persoonsgegevens zonder uitdrukkelijke toestemming verwerkt. Over studentgegevens wordt DUO geïnformeerd en over de salarisbetalingen van de medewerkers de fiscus.

Het vragen van toestemming om persoonsgegevens te mogen verwerken is – onder bepaalde voorwaarden – ook niet nodig als het belang van de HvA zwaarder weegt dan dat van betrokkene of als het niet vragen van toestemming noodzakelijk is voor het beschermen van een vitaal belang van betrokkene (gerechtvaardigd belang).

5. Wie mag bij de HvA - welke - persoonsgegevens verwerken?

Wie binnen de HvA welke persoonsgegevens op welke manier mag verwerken, is afhankelijk van de aard van de functie en de werkzaamheden waar een medewerker mee wordt belast. Zo zullen sommige medewerkers uit hoofde van hun functie de bevoegdheid hebben om persoonsgegevens te mogen inzien terwijl andere medewerkers persoonsgegevens niet alleen mogen inzien maar die ook mogen aanpassen.

Een medewerker kan niet naar eigen inzicht persoonsgegevens verwerken; richtinggevend voor elke vorm van verwerking is het wettelijk kader en – zo nodig – de nadere uitwerking daarvan in HvA-regels en richtlijnen.

6. Is het de HvA toegestaan een kopie van een identiteitsbewijs te maken?

Om haar taken uit te oefenen is het de HvA toegestaan om een kopie van een identiteitsbewijs te maken. Dit mag op grond van fiscale regelgeving en op grond van de Wet op het hoger onderwijs en wetenschappelijk onderzoek (WHW). Ook mag de HvA vragen je te identificeren als je bijvoorbeeld een verzoek tot inzage van persoonsgegevens doet. De HvA moet controleren of niet een ander dan degene waar de persoonsgegevens betrekking op hebben, om inzage vraagt. Niet altijd kan met het overleggen van een kopie van het identiteitsbewijs worden volstaan. Bijvoorbeeld als het gaat om inschrijving als student kan de HvA betrokkene verzoeken het originele identiteitsbewijs te tonen.

7. Is mijn studentnummer of personeelsnummer en HvA e-mailadres een persoonsgegeven dat door HvA aan derden mag worden verstrekt?

Het HvA e-mailadres en studentnummer zijn een persoonsgegeven. Het geeft toegang tot andere persoonsgegevens zoals geboortedatum, adres, studieresultaten etc. Het studentnummer wordt in sommige gevallen gedeeld met andere verwerkingsverantwoordelijken, bijvoorbeeld met DUO of een andere onderwijsinstelling bij uitwisselingen en minors. Daarnaast kunnen de studentnummers ook met een andere verwerkingsverantwoordelijke gedeeld worden als betrokkene daar uitdrukkelijk toestemming voor heeft gegeven. Of als de HvA de verwerking heeft uitbesteed aan een verwerker. Hier ligt een verwerkingsovereenkomst aan ten grondslag om de verwerking te borgen.

De e-mailadressen worden verstrekt om als onderwijsinstelling/werkgever met betrokkenen te kunnen communiceren en betrokkenen de mogelijkheid te geven – in een professionele context – met elkaar te kunnen communiceren. De e-mailadressen worden – bijvoorbeeld voor commerciële doeleinden - door de HvA niet aan derden verstrekt, omdat zij bedoeld zijn om de communicatie tussen HvA, studenten en medewerkers te faciliteren en niet om derden met studenten en medewerkers van HvA te laten communiceren.

8. Moet er expliciet toestemming gevraagd worden voor nieuwsbrieven en mailings naar interne en externe betrokkenen? Ook als ze zichzelf in het verleden hebben aangemeld?

Voor interne betrokkenen (medewerkers, studenten) geldt dat je niet om toestemming hoeft te vragen om hen nieuwsbrieven of mailings te versturen.

Voor externe betrokkenen ligt dat anders. Als je kunt aantonen dat iemand in het verleden toestemming heeft gegeven (dat moet tot de betreffende person herleidbaar zijn), hoef je niet opnieuw toestemming te vragen. Kun je niet aantonen wie zichzelf actief heeft aangemeld, dan moet je opnieuw om toestemming vragen én de toestemming archiveren .

Toepassing indien eerdere toestemming niet kan worden aangetoond:

Voorafgaande aan de eerstvolgende nieuwsbrief/ mailing vraag je toestemming om externe betrokkenen te blijven benaderen voor het doel van die nieuwsbrief/mailings, bv. via een reply op de mail.
Deze toestemming vervolgens registreren.
Als geen toestemming wordt gegeven, verwijder dan alle gegevens m.b.t. betrokkene uit je administratie.
Standaard een opt-out optie geven in elke nieuwsbrief/mailing (bv een afmeldknop of link onderaan de nieuwsbrief/mailing). Dit was overigens al verplicht.

Let op: ook voor nieuwsbrieven en mailings waar eerder toestemming is gegeven, is de opt-out optie verplicht! Dus check je bestaande mailings en nieuwsbrieven of die opt-out optie er nu standaard in zit.

9. Moeten studenten die onderzoek uitvoeren ook volgens de regels van de AVG werken?

Als studenten met persoonsgegevens werken wel. Zie het stappenplan onderzoek.

10. Is toestemming nodig als degene waar je de persoonsgegevens van verwerkt minderjarig is?

Ja, je hebt dan toestemming nodig van één van de wettelijke vertegenwoordigers (ouders of voogd).

11. Geven studenten automatisch toestemming om persoonsgegevens uit SIS te gebruiken?

Persoonsgegevens worden in SIS verwerkt op basis van een wettelijke plicht, niet op basis van toestemming van de student. We moeten wel kunnen verantwoorden wat we met die gegevens doen, het hangt sterk af van het gebruik.

12. Waar ligt de grens tussen docent en onderzoeker m.b.t. gebruik van SIS-data? Is daar op HvA-niveau duidelijkheid over?

Docenten gebruiken gegevens uit SIS op basis van de wet. Onderzoekers moeten toestemming vragen aan de betreffende student(en).

13. Mag op IP-adres het kijkgedrag worden gevolgd van webcollegekijkers? Zo nee, onder welke voorwaarden mag dat wel?

Het IP-adres is een persoonsgegeven. De AVG is dus van toepassing. Je zult hier dus toestemming voor moeten vragen.

14. Moet je toestemming vragen als studenten werkstukken inleveren. Daar staan immers ook de persoonsgegevens van de student in?

Dit is niet nodig. Dit valt onder het onderwijsproces.

Gepubliceerd door Afdeling Communicatie 24 oktober 2022

A-Z Studenten Master Urban Management