Privacy: persoonsgegevens

FAQ AVG en onderwijs

AVG en onderwijs: veelgestelde vragen

Algemeen

Mag ik mijn privé apparatuur gebruiken voor UT mail?

Ja, maar je moet deze apparatuur goed beveiligen. Apparatuur moet je van een goed wachtwoord voorzien en niet delen met anderen, je moet de harddisk van je laptop versleutelen.

Wat moet ik doen als ik mijn apparatuur met UT-persoonsgegevens kwijt raak (verlies/diefstal)?

Meld dit direct bij cert@utwente.nl. Meld hierbij ook of de harddisk versleuteld is en of de apparatuur is voorzien van een goed wachtwoord.

Moet een student toestemming verlenen voor registratie van zijn gegevens?

Nee, indien de registratie beperkt blijft tot de gegevens die noodzakelijk zijn voor het doel waarvoor hij deze aan de UT heeft verstrekt (inschrijving en onderwijs) dan is daarvoor geen specifieke toestemming voor nodig. Indien gegevens voor een ander doeleinde worden gebruikt, dan is vooraf expliciete toestemming nodig.

Hoe mag / moet worden omgegaan met de documenten in onderwijsevaluaties?

Toelichting:
In de OLC worden de onderwijsevaluaties besproken, daarin worden soms (op een nette manier) harde noten gekraakt over een bepaald onderwijselement. Binnen de universitaire gemeenschap is gemakkelijk een link te leggen naar een bepaalde docent. Studenten willen graag ook de informatie delen met andere studenten / toekomstige studenten en zetten de rapportages ook op informatiedragers die niet onder het beheer van de universiteit vallen.

Probeer zoveel mogelijk met geaggregeerde gegevens te werken.
Maak vooraf met alle betrokkenen afspraken over de vertrouwelijkheid van de stukken.

Zijn er richtlijnen voor studenten die in het kader van een onderzoek vragenlijsten afnemen?

Toelichting:
Studenten doen soms in het kader van hun afstudeeronderzoek een survey, zonder daarvoor methodologie onderwijs te hebben gevolgd.

De begeleider is verantwoordelijk dat de student zich houdt aan het privacybeleid.
Meer informatie hierover is te vinden op de Cybersafety website onder Privacy, onder meer de Leidraad privacyregels.

Wat is de positie van een student-assistent?

Toelichting:
Student-assistenten vervullen allerlei opdrachten als ‘uitzendkracht’ in sommige gevallen worden ze soms ingezet voor het nakijken van tentamens, juist omdat ze over specifieke vakkennis beschikken.

De student die wordt ingehuurd als student-assistent, werkt via UT-Flex of een tijdelijk contract krijgt, is vergelijkbaar met een UT-medewerker en valt onder de CAO. Ook zijn de UT-gedragscodes voor hen van toepassing. Het is dan geen probleem dat ze met persoonsgegevens in aanraking komen, maar er wordt van ze verwacht dat ze daar professioneel mee omgaan. Enige voorlichting aan de student-assistent bij het uitreiken van de opdracht is op zijn plaats, zodat de student-assistent weet wat er op dit gebied van hem wordt verwacht.

Mag ik vanuit BOZ een adressenlijst van ouders van studenten aan de studievereniging aanleveren ten behoeve van het versturen van een uitnodiging voor de ‘ouderdag’ voor de betreffende opleiding?

Ja, dat mag. Het organiseren van een ouderdag ligt in het verlengde van de activiteiten die vanuit de opleiding worden georganiseerd rondom het onderwijs. We gaan er daarbij vanuit dat de studievereniging in deze dienstverlening de opleiding ondersteunt. Het vragen van toestemming aan de ouders van studenten zou onevenredige inspanningen vragen in verhouding tot het belang van het delen van hun gegevens. De impact op de privacy van de ouders is zeer gering. De gegevens moeten wel worden beschermd. De studievereniging mag de betreffende gegevens niet langer opslaan dan noodzakelijk voor de organisatie van de ouderdag en mag deze niet gebruiken voor andere doeleinden.

Aanmelding

Hoe gaan we om met een papieren dossier (papieren formulieren bij aanmelding)?

Kijk kritisch welke documenten bewaard moeten worden, sla (alleen) deze op in JOIN; de papieren formulieren hoeven dan niet gearchiveerd te worden en kunnen worden vernietigd.

Studiebegeleiding

Mag ik in het kader van studiebegeleiding communiceren over studenten naar UT-collega’s in de keten?

Doe dit alleen als het noodzakelijk is en deel alleen informatie die relevant is.
Informatie-uitwisseling met betrokkenen binnen de keten is een onderdeel van gesprek(ken) met de student. Wees transparant naar de student over de communicatie met anderen. Medische gegevens mogen nooit uitgewisseld worden tenzij de student hiervoor uitdrukkelijke toestemming heeft verleend.

Mag ik in het kader van studiebegeleiding communiceren over studenten naar externen of naar UT-collega’s buiten de keten?

Als de communicatie anoniem gebeurt, dan mag dit.

Hoe gaan we in het kader van studiebegeleiding om met medische verklaringen en diagnostische rapportages? Hoe kunnen we bewijs van omstandigheden vastleggen?

Medische verklaringen en diagnostische rapportages worden alleen ingezien, maar niet gekopieerd of opgeslagen in OSIRIS. De informatie die is ingezien wordt uitsluitend wanneer dit noodzakelijk is vastgelegd op basis van een coderingssysteem PO.
Indien de inhoud van de medische verklaringen of diagnostische rapportages van belang is voor de begeleiding van de student kan deze, met uitdrukkelijke toestemming van de student, opgeslagen worden in OSIRIS. Alleen hiervoor aangewezen en geautoriseerde personen mogen hier vervolgens toegang toe hebben.
Het beoordelen van medische bewijsstukken mag worden uitgevoerd door hiervoor aangewezen personen. Zij kunnen hun akkoord op de gecontroleerde bewijsstukken documenteren zonder de stukken hierbij op te slaan. 

Hoe ga ik om met persoonlijke aantekeningen over personen?

Persoonlijke aantekeningen (of werkaantekeningen) vallen niet onder de AVG. Persoonlijke aantekeningen mag je nooit delen met anderen. Betrokkene heeft geen recht op inzage van deze persoonlijke aantekeningen.

Hoe ga ik om met notities in OSIRIS?

Notities in OSIRIS worden gedeeld met collega’s binnen SACC, dit zijn dus geen persoonlijke aantekeningen. Betrokkene heeft ook recht op inzage van deze notities.
In Osiris kan worden ingesteld wie welke notities kan raadplegen, hou deze toegang altijd zo beperkt mogelijk.

Hoe moet ik omgaan met persoonsgegevens in de tool ‘Planzelf’?

De toegang binnen ‘Planzelf’ is beperkt tot de planner zelf. De afspraak wordt vervolgens overgenomen in de outlook-agenda van betreffende studieadviseur. De studieadviseur dient daarom de toegang tot zijn agenda te beperken tot alleen die medewerker(s) die uit hoofde van de functie over de informatie moet(en) kunnen beschikken. Er moet niet meer informatie worden opgevraagd dan die noodzakelijk is voor de afspraak.

Studievoortgang 

Mogen Excel-bestanden met gegevens over de studievoortgang worden gedeeld?

Intern UT: binnen de UT mogen overzichtslijsten via de mail worden gedeeld, voor zover noodzakelijk in het kunnen volgen van onderwijs dan wel het kunnen treffen van de noodzakelijke voorzieningen. Aandachtspunt: bewaartermijn van gegevens in de mail: niet langer dan noodzakelijk.

Extern: zonder toestemming van studenten mogen studievoortganggegevens niet met derden ( buiten de UT) worden gedeeld.

Mogen beursproviders/exchange studieresultaten ontvangen van studenten t.b.v. continuering beurs/exchange?

Ja, in het contract met de beursprovider ligt deze toestemming al vast.

Mag informatie over studievoortgang aan ouders van een student worden verstrekt?

Alleen toegestaan na toestemming van de student. Bovendien moet bij het verstrekken van de informatie zeker zijn dat degene die de informatie vraagt daadwerkelijk de ouder van de student is.

Welke informatie mag wel en niet gedeeld worden tussen docenten onderling?

Toelichting:
Voorbeeld: docent heeft een afstudeeropdracht en zoekt daar een student bij die bijvoorbeeld goed kan communiceren, zich staande kan houden in een complexe organisatie, of een ‘goed’ cijfer heeft gehaald voor een vak dat van eminent belang is voor de afstudeeropdracht, etc.  Ander voorbeeld: in modules moeten docenten uitmaken wie wel of niet geslaagd zijn, uiteraard zijn daar van te voren richtlijnen voor opgesteld, maar over de ‘twijfelgevallen’ kan het nodig zijn informatie te delen.

Tussen docenten onderling mag informatie worden uitgewisseld die verband houdt met het doel van de vastlegging van die informatie. De voorbeelden: een student zoeken die ‘matcht’ bij een afstudeeropdracht past prima bij dat doel, onderling overleg over de resultaten van een student ook. Het uitwisselen van (relevante!) informatie over twijfelgevallen is geen probleem omdat dat noodzakelijk is voor het bieden van goed onderwijs, goede ondersteuning aan de student en een diploma op niveau.
Maar zoals altijd, wees transparant, zorgvuldig en wissel alleen die persoonsgegevens uit die noodzakelijk zijn.

Hoe moeten we omgaan met persoonsgegevens op websites?

Toelichting:
Er zijn websites zoals de portfolio website die door de universiteit ter beschikking worden gesteld aan studenten waar iedereen alles kan zien.

Het opnemen van persoonsgegevens op een website is niet toegestaan, tenzij met toestemming van betrokkene.

Hoe gaan we om met persoonsgegevens in peer-to-peer-review van studenten?

Peer-to-peer-review is een geaccepteerde onderwijsvorm en zal daarom ook met de AVG gewoon kunnen. Maar zorg ervoor dat de uitgewisselde persoonsgegevens een duidelijk doel hebben en noodzakelijk zijn voor de review. Verstrek dus zo min mogelijk gegevens en wees transparant (van tevoren) over deze vorm van onderwijs en welke gegevens het betreft.

Mag een docent op Blackboard / Canvas een lijst plaatsen met studentnummers en uitslagen van een tussentoets?

Toelichting:
Niet alle informatievoorziening loopt via de officiële studentenadministratie, tussentoetsen van module-onderdelen kunnen niet in OSIRIS worden opgenomen.

Nee, dit soort lijsten publiceren is nooit toegestaan, dus ook niet op Blackboard/Canvas.
Bedenk dat iedereen met een UT-account is enkele seconden kan achterhalen van wie een s-nummer is. Gebruik hiervoor het Grading Center.

Mocht je vraag niet voorkomen in de FAQ, dan kun je hierover contact opnemen met het Functionaris Gegevensbescherming team (fg@utwente.nl).