Dordrecht Academy doet zijn uiterste best om de informatie op deze site zo actueel en volledig mogelijk te houden. Daarvoor gebruiken we cookies en hebben we soms persoonsgegevens nodig. Daarnaast gebruiken we fotografie en ander copyrighthoudend materiaal.
Dordrecht Academy hecht veel waarde aan de bescherming van persoonsgegevens, en is verantwoordelijk voor een rechtmatige, zorgvuldige en behoorlijke verwerking van jouw persoonsgegevens.
In dit Privacy Statement kun je lezen welke persoonsgegevens we verzamelen en hoe we die verwerken. Ook kun je in dit statement terugvinden welke rechten je hebt en hoe je deze verwezenlijkt. Wij dienen ons hierbij te houden aan de toepasselijke wet- en regelgeving, waaronder de Algemene Verordening Gegevensbescherming (AVG). Bij het verwerken van persoonsgegevens is ons beleid om transparant te zijn over waarom en hoe we persoonsgegevens verwerken.
Wil je meer weten over onze specifieke verwerkingsactiviteiten, ga dan naar de relevante secties van dit Privacy Statement. Dit statement is van toepassing op alle verwerkingen van persoonsgegevens door Dordrecht Academy.
In dit Privacy Statement komen de begrippen ‘persoonsgegevens’, ‘verwerken’ en ‘betrokkene(n)’ vaak voor. Wij zullen deze begrippen kort voor je toelichten. Uit de AVG volgt dat een persoonsgegeven alle informatie betreft over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Denk hierbij aan een naam, woonadres, ip-adres, maar ook een studentnummer. Gegevens over organisaties zijn geen persoonsgegevens volgens de AVG.
Het verwerken van persoonsgegevens betreft alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen. Betrokkenen zijn degenen van wie persoonsgegevens worden verwerkt. Voor de hogeschool zijn dit veelal studenten, maar ook medewerkers, alumni en relaties.
Om gegevens te beveiligen nemen wij passende fysieke, technische en organisatorische maatregelen. We hebben beleidsregels, procedures en trainingen rond gegevensbescherming, vertrouwelijkheid en security. Ook evalueren wij regelmatig de maatregelen die we hebben getroffen om de gegevens die we bewaren te beveiligen. Het werken in veilige systemen is een van onze belangrijkste uitgangspunten om de veiligheid van alle persoonsgegevens te borgen. Als wij gebruik maken van derde partijen bij de verwerking van persoonsgegevens, dan controleren wij of die partijen beschikken over een adequaat beveiligingsniveau.
Ondanks alle getroffen maatregelen kunnen zich incidenten voordoen waardoor de veilige verwerking van persoonsgegevens tijdelijk niet gegarandeerd is. Zo’n incident kan resulteren in een datalek. Een datalek is een incident met persoonsgegevens, waarbij het gaat om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie.
Voorbeelden van mogelijke datalekken zijn een gestolen werktelefoon of laptop, een verkeerd geadresseerde e-mail, maar ook het foutief autoriseren van medewerkers in systemen kan resulteren in een datalek.
Datalekken die leiden tot een risico voor de rechten en vrijheden van betrokkenen melden wij bij de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens is de onafhankelijke Nederlandse gegevensbeschermingsautoriteit die toezicht houdt op de verwerking van persoonsgegevens.
Mocht je een vermoeden hebben dat er sprake is van een datalek bij onze organisatie, neem dan direct contact op via: info@hogeronderwijsdrechtsteden.nl
Persoonsgegevens kunnen voor verschillende doeleinden worden verwerkt. Een van onze belangrijkste doelen is het verzorgen van onderwijs, waarvoor wij veel persoonsgegevens van studenten en medewerkers dienen te verwerken.
Er zijn ook situaties waarin wij persoonsgegevens verwerken vanwege een wettelijke verplichting. Voorbeelden hiervan zijn het verstrekken van gegevens aan Dienst Uitvoering Onderwijs (DUO) voor in- en uitschrijvingen en diplomagegevens van studenten, maar ook het verstrekken van salarisgegevens van medewerkers aan de Belastingdienst.
Onder het kopje ‘welke persoonsgegevens verwerken wij en van wie’ kun je meer informatie vinden over welke persoonsgegevens wij verwerken en van wie. Daarnaast is beschreven met welke doeleinden de persoonsgegevens verwerkt worden.
Dordrecht Academy mag enkel persoonsgegevens verwerken als zij een ‘reden’ heeft die in de AVG staat. Zo’n reden heet een wettelijke grondslag. Artikel 6 van de AVG biedt ons zes mogelijke grondslagen om een verwerking op te baseren.
De eerste grondslag uit de AVG is toestemming. Toestemming kan gegeven worden door een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting. Dit kan onder andere bestaan uit het aanvinken van een check box of het indienen van een webformulier. De toestemming moet uitdrukkelijk zijn en gericht op het verwerkingsdoel van Dordrecht Academy. Stilzwijgende toestemming is niet voldoende.
Wij zullen je dus goed moeten informeren over wat jouw toestemming inhoudt, maar ook welke rechten je hebt en hoe je die kunt uitoefenen, zoals het intrekken van de toestemming. Toestemming kan namelijk ook weer worden ingetrokken en dat moet net zo gemakkelijk zijn als het geven van de toestemming. Voorbeelden van verwerkingen die wij baseren op de wettelijke grondslag van toestemming zijn:
In bepaalde gevallen dienen wij voor de uitvoering van een overeenkomst persoonsgegevens te verwerken. De verwerking van persoonsgegevens is noodzakelijk om uitvoer te geven aan de voorwaarden van het contract. Voorbeelden hiervan zijn:
Er bestaan wettelijke verplichtingen op basis waarvan wij persoonsgegevens moeten verwerken. Deze verplichtingen kunnen uit meerdere wetten voortvloeien, en hieronder vind je enkele voorbeelden:
In zeer uitzonderlijke gevallen kunnen wij je persoonsgegevens verwerken wanneer dit noodzakelijk is om vitale belangen te beschermen. Een vitaal
belang is aan de orde als het over een belang gaat dat essentieel is voor iemands leven of gezondheid, en je die persoon niet om toestemming kunt vragen om zijn of haar gegevens te verwerken. Een voorbeeld:
Dordrecht Academy kent slechts enkele taken van algemeen belang of openbaar gezag en zal zich niet snel kunnen beroepen op deze wettelijke grondslag. Deze grondslag mag dus enkel gebruikt worden voor de uitoefening van de in de wet vastgelegde taak van de onderwijsinstelling. Een voorbeeld hiervan is:
Dordrecht Academy kan tot slotte de wettelijke grondslag van het gerechtvaardigd belang gebruiken voor de verwerking van persoonsgegevens. Het gerechtvaardigd belang is vooral een belangenafweging. De verwerking moet noodzakelijk zijn voor de gerechtvaardigde belangen van de hogeschool en zwaarder wegen dan de privacybelangen van de betrokkene.
Bij deze toets zal allereerst moeten worden gekeken naar de proportionaliteit van de verwerking. Dit houdt in of het doel van de verwerking in verhouding staat tot de inbreuk op de privacy van de betrokkenen. Daarnaast dienen wij ook te toetsen of we het doel niet op een andere manier kan worden bereikt die minder ingrijpend is voor betrokkenen. In de AVG heet dit ‘subsidiariteit.’ Voorbeelden van verwerkingen op basis van gerechtvaardigd belang zijn:
Dordrecht Academy verwerkt van meerdere categorieën betrokkenen persoonsgegevens. We verbinden ons ertoe alleen te vragen om persoonsgegevens die strikt noodzakelijk zijn voor het betreffende doel.
Hieronder treft je een niet-limitatieve opsomming van de categorieën betrokken, de persoonsgegevens die wij van hen verwerken en de doeleinden. Dit zijn slechts voorbeelden, het kan dus zo zijn dat wij van de categorieën betrokkenen meer persoonsgegevens verwerken dan in deze lijst opgesomd is.
Hieronder kan er per categorie bekeken worden welke persoonsgegevens er onder andere verwerkt worden en voor welke doeleinden.
Categorie met voorbeelden:
Identificatiegegevens: Naam, geboortedatum, geboorteplaats, studentnummer
Contactgegevens: E-mailadres, woonadres, telefoonnummer
Beeldmateriaal: Foto’s, video’s
Financiële gegevens: Bankrekeningnummer, betalingen
Studiegegevens: Opleiding, diploma’s, cijferlijsten, brieven examencommissie
Onderzoeksgegevens: Vragenlijsten, datasets
Arbeidsgegevens: Curricula vitae, motivatiebrieven, arbeidsovereenkomsten, burgerservicenummers
Digitale gegevens: Cookies, IP-adressen, account logs
Dordrecht Academy gaat zeer zorgvuldig om bij het verstrekken van persoonsgegevens aan derde partijen. Jouw persoonsgegevens worden niet verhuurd, noch verkocht aan andere partijen. Er zijn echter situaties denkbaar dat wij jouw persoonsgegevens toch met derden dienen te delen. Hierbij kun je denken aan een verbetering van onze primaire dienstverlening, het verzorgen van goed onderwijs.
Binnen Dordrecht Academy maken wij hiervoor onder andere gebruik van meerdere softwarepakketten van externe bedrijven, zoals voor ons Learning Management System. Wij dienen hiervoor noodzakelijkerwijs studentgegevens met de externe partij uit te wisselen.
Wij houden hierbij rekening met dataminimalisatie. Dataminimalisatie houdt in dat bij het verzamelen en verwerken van persoonsgegevens niet meer gegevens mogen worden gebruikt dan nodig is om het doel waarvoor ze gebruikt zullen worden te bereiken.
We wisselen in bepaalde gevallen ook persoonsgegevens uit met andere onderwijsinstellingen, zoals bij een uitwisselingsprogramma. Het kan echter ook voorkomen dat wij jouw gegevens moeten delen met instanties vanwege een wettelijke verplichting.
Voorbeelden hiervan zijn het uitwisselen van studentgegevens met DUO, maar het kan ook zo zijn dat wij een verzoek tot verstrekking van persoonsgegevens ontvangen vanuit opsporingsinstanties, of van een toezichthouder. In dergelijke gevallen gaan we wel altijd eerst na of we wettelijk verplicht zijn om aan het verzoek gehoor te geven.
Dordrecht Academy maak schriftelijke afspraken met derde partijen over de verwerking en beveiliging van persoonsgegevens. Zo sluiten wij verwerkersovereenkomsten en gegevensuitwisselingsovereenkomsten met externe partijen, waarmee we grip houden op de verwerking van persoonsgegevens.
Hierbij proberen wij de gegevens zoveel mogelijk te laten verwerken binnen de Europese Economische Ruimte. Als daarop een uitzondering gemaakt moet worden, nemen wij maatregelen om een passend beschermingsniveau te garanderen voor de doorgifte van persoonsgegevens.
Je kunt op de website van de Autoriteit Persoonsgegevens meer informatie vinden over de doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte.
Wij bewaren jouw persoonsgegevens niet langer dan strikt noodzakelijk voor de doeleinden waarvoor wij de persoonsgegevens hebben verzameld. Wij baseren ons daarbij op de Selectielijst hogescholen.
Deze lijst bevat een opsomming en toelichting van de belangrijkste processen van een hogeschool. Bij deze processen zijn de voornaamste informatieobjecten geïnventariseerd en voorzien van een onderbouwde bewaartermijn. Dat kan bijvoorbeeld een wettelijke bewaarplicht zijn.
Wij zullen je dan echter wel binnen één maand laten weten dat het langer gaat duren en waarom. Ook kunnen we je vragen om identificatie, zodat wij zeker weten dat het verzoek inderdaad afkomstig is van de betrokkene zelf. Hiermee wordt voorkomen dat persoonsgegevens aan de verkeerde persoon worden verstrekt of dat de persoonsgegevens ten onrechte worden gewijzigd. Dit kan namelijk resulteren in een datalek.
Uit de AVG volgt dat betrokkenen verschillende rechten hebben om controle te houden over hun persoonsgegevens. Wanneer iemand gebruik maakt van deze rechten, dan spreken we van een verzoek van een betrokkene. Voor privacygerelateerde vragen, verzoeken of klachten kun je contact met ons opnemen via info@hogeronderwijsdrechtsteden.nl.
Ook is het mogelijk rechtstreeks contact op te nemen met onze Functionaris Gegevensbescherming (FG) via het mailadres: functionarisgegevensbescherming@hr.nl. De FG houdt toezicht op de naleving van de privacywetgeving en adviseert de hogeschool over de privacywetgeving. De FG heeft een onafhankelijke rol en rapporteert rechtstreeks aan de directeur van Hoger Onderwijs Drechtsteden.
Mocht jouw verzoek of klacht naar jouw mening niet naar behoren zijn afgehandeld, dan heb je de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens. Het uitoefenen van de rechten is kosteloos, behoudens misbruik. Uit het verzoek moet duidelijk blijken op welk(e) recht(en) je je beroept. Er worden verder geen formele eisen aan het verzoek gesteld.
Wij zijn verplicht binnen één maand per brief of e-mail te reageren op jouw verzoek. Maar is het verzoek ingewikkeld? Of heb je meerdere verzoeken gestuurd? Dan mogen wij er twee maanden langer over doen om het verzoek op een goede manier af te handelen.
Wij zullen je dan echter wel binnen één maand laten weten dat het langer gaat duren en waarom. Ook kunnen we je vragen om identificatie, zodat wij zeker weten dat het verzoek inderdaad afkomstig is van de betrokkene zelf. Hiermee wordt voorkomen dat persoonsgegevens aan de verkeerde persoon worden verstrekt of dat de persoonsgegevens ten onrechte worden gewijzigd. Dit kan namelijk resulteren in een datalek.
Hieronder tref je de verschillende rechten.
Betrokkenen hebben het recht te weten of Hoger Onderwijs Drechtsteden hun persoonsgegevens verwerkt en, zo ja, welke. Een voorbeeld hiervan zijn de aantekeningen over studenten in Osiris Notities. Dit zijn persoonsgegevens en kunnen dus worden opgevraagd.
Je kunt in bepaalde gevallen Hoger Onderwijs Drechtsteden verzoeken om jouw persoonsgegevens zonder onredelijke vertraging te wissen. Dit recht is niet absoluut, maar verbonden aan voorwaarden. Mocht één van de onderstaande situaties zich voortdoen, dan kun je een beroep doen op dit recht:
Het is dus niet altijd mogelijk om je persoonsgegevens te laten wissen. In bepaalde gevallen hebben wij ook een wettelijke verplichting om jouw gegevens te verwerken. In dat geval kan een verwijderingsverzoek niet worden gehonoreerd. Zo zijn wij bijvoorbeeld verplicht om studieresultaten en financiële gegevens van medewerkers een aantal jaar te bewaren.
Je hebt het recht om onjuiste persoonsgegevens die door ons verwerkt worden en die jou betreffen te wijzigen of te rectificeren. Zo kan jouw naam verkeerd door ons verwerkt worden, hetgeen wij na je verzoek zonder onredelijke vertraging moeten wijzigen. Ook kun je onvolledige gegevens laten aanvullen.
Als betrokkene heb je het recht jouw persoonsgegevens van een verwerkingsverantwoordelijke te krijgen, in een gestructureerde vorm, leesbaar voor een computer en in een gangbaar formaat (bijvoorbeeld csv, xml, json). Dit recht maakt het mogelijk om persoonsgegevens over te (laten) dragen, bijvoorbeeld naar een nieuwe werkgever of naar een andere onderwijsinstelling.
Je kunt een bezwaar indienen tegen de verwerking van persoonsgegevens gelet op jouw specifieke situatie. Dit kan wanneer Hoger Onderwijs Drechtsteden persoonsgegevens verwerkt op grondslag van het gerechtvaardigd belang of een taak van algemeen belang. Wij maken in dit geval namelijk een afweging tussen deze belangen en die van de rechten en vrijheden van de betrokkene.
Als een betrokkene bezwaar aantekent tegen de verwerking van zijn persoonsgegevens, dienen wij te stoppen met het verwerken van de gegevens. De verwerking kan alleen doorgaan indien wij hier dwingende gerechtvaardigde gronden voor aanvoeren. Deze gerechtvaardigde gronden moeten belangrijker zijn dan de belangen, rechten en vrijheden van de betrokkene of moeten een rechtsvordering betreffen.
Onder bepaalde omstandigheden kan je jouw recht op beperking inroepen om het gebruik van persoonsgegevens te beperken. Hiervoor zijn vier mogelijkheden:
Als een verwerking van Hoger Onderwijs Drechtsteden gebaseerd is op de grondslag toestemming, dan heb je het recht om jouw toestemming voor de verwerking van je gegevens op elk moment in te trekken. De verwerking van jouw persoonsgegevens voorafgaand aan de intrekking van de toestemming blijft rechtmatig.
