FAQ AVG algemeen

Meld dit dan direct aan cert@utwente.nl. Voor meer informatie over hoe de UT omgaat met datalekken, zie onze procedure omgang met datalekken (in het Engels).

Meld dit direct bij cert@utwente.nl. Meld hierbij ook of de harddisk versleuteld is en of de apparatuur is voorzien van een goed wachtwoord.

Voor meer informatie over hoe de UT omgaat met datalekken, zie onze procedure omgang met datalekken (in het Engels).

Wanneer je persoonsgegevens pseudonimiseert, beveilig je deze gegevens dusdanig dat ze niet meer direct herleidbaar zijn tot een persoon. Het kan zijn dat er bepaalde elementen uit de gegevens worden weggehaald of dat de dataset wordt omgecodeerd, waarbij bijvoorbeeld de sleutel op een aparte locatie wordt bewaard. Bij pseudonimiseren gaat het dus om een beveiligingsmaatregel. Wanneer persoonsgegevens zijn gepseudonimiseerd, is er nog steeds sprake van persoonsgegevens. De gegevens zijn weliswaar niet meer direct, maar wél indirect herleidbaar tot een persoon. Je moet daarom voldoen aan de regels van de AVG.

Bij geanonimiseerde persoonsgegevens zijn de gegevens niet meer (direct of indirect) tot een persoon te herleiden, ook niet met aanvullende gegevens. Het gaat hier dus niet meer om persoonsgegevens; de AVG geldt daarom niet.

LET WEL: het anonimiseren van persoonsgegevens wordt wél gezien als een verwerking van persoonsgegevens. Immers, tot het moment waarop de gegevens geheel anoniem zijn, is er nog altijd sprake van persoonsgegevens. Pas ná het anonimiseren geldt de AVG niet meer.

Wees voorzichtig bij het anonimiseren van PDF-documenten. Tekengereedschappen, gebruikt om een kader te tekenen over de gevoelige informatie, verbergen de informatie meestal niet echt. Deze kaders kunnen eenvoudig worden verwijderd om de originele informatie terug te halen. De Universiteit adviseert Acrobat Pro te gebruiken. Acrobat Pro beschikt over het tekengereedschap Redact. Dat is specifiek ontwikkeld om gevoelige afbeeldingen en tekst echt te verwijderen of te redigeren. Bewerkte en verwijderde informatie kan niet worden teruggehaald uit het opgeslagen document.

Meer informatie is te vinden op de Adobe site.

Als de UT een kopie of scan van iemands identiteitsbewijs wil maken/bewaren, dan moet de UT toelichten waarom een kopie/scan noodzakelijk is of op basis van welke wettelijke verplichting een volledige kopie/scan moet worden gemaakt.

Is er geen wet waarop het gebruik van een kopie of scan van een identiteitsbewijs kan worden gebaseerd? En wil de UT toch een kopie of scan van uw identiteitsbewijs maken? Dan moet de UT ervoor zorgen dat deze geen bijzondere persoonsgegevens en BSN bevat. De UT moet je er dan op wijzen dat je in ieder geval jouw BSN en pasfoto afschermt.
 
Hiervoor kun je een ID-cover gebruiken of de KopieID app.

Op een papieren kopie kun je ook zelf bepaalde gegevens onleesbaar maken.

Als de pasfoto en uw BSN zijn afgeschermd, blijven er nog steeds persoonsgegevens over op het identiteitsbewijs. Ook voor het gebruik hiervan moet de UT een noodzaak en grondslag kunnen aantonen. Dit betekent onder meer dat de organisatie zich moet afvragen of er een andere manier is om hetzelfde doel te bereiken, waarbij de organisatie geen of minder persoonsgegevens hoeft te gebruiken.

De Universiteit heeft afspraken met SURFnet voor het gebruik van SURFdrive, met Google over het gebruik van G Suite, waaronder Google drive, en met Microsoft voor het gebruik van OneDrive for Business. Ze voldoen allemaal aan de AVG en mogen dus gebruikt worden voor het opslaan van gegevens.

De medewerker kan dus zelf een keuze maken uit de diverse oplossingen, kijkend naar waarvoor hij de opslag wenst te gebruiken. Let in alle vallen wel op hoe met syncrhonisatie wordt omgegaan. Alle leveranciers bieden de mogelijkheid om de bestanden te synchroniseren met de werkplek. Die dient daarvoor dus ook adequaat beveiligd te zijn met minimaal versleuteling van de opslagmedia in en aangesloten op de werkplek.

Let er dus wel op dat bovenstaande alleen geldt voor de G Suite en OneDrive varianten waarvoor de universiteit een contract met Google en Microsoft heeft. Als je twijfelt of dat het geval is, gebruik het niet en neem contact op met de Servicedesk ICT.

Je kunt G Suite en OneDrive -de juiste varianten- ook gebruiken om bestanden te delen met derden. Houd hierbij wel rekening met alle eisen die gesteld worden aan het delen met informatie buiten onze organisatie. Als je hulp nodig hebt, neem dan contact op met de Servicedesk ICT. 

Om bestanden veilig naar een of meerdere personen te sturen, raden we aan om SURFfilesender te gebruiken. SURFfilesender biedt end-to-end versleuteling en heeft de mogelijkheid om zeer grote bestanden te versturen. Denk er wel aan om versleuteling in te schakelen wanneer u een bestand verstuurd.

Ook wanneer derden jou een bestand met persoonsgegevens willen sturen, is SURFfilesender de beste keuze. Kent je de persoon die jou de gegevens wilt sturen, dan kun je via SURFfilesender een uitnodiging sturen.

Als die andere persoon iemand van de universiteit is, kun je e-mail gebruiken. Het verkeer tussen uw e-mailclient en onze servers is versleuteld. Gegevens worden opgeslagen op gecertificeerde beveiligde opslag.

Controleer in alle gevallen de ontvangers. Ook al is de overdracht van gegevens veilig, als de ontvanger niet de beoogde is, is het nog steeds een datalek. SURFfilesender biedt de mogelijkheid om ontvangers uit de lijst te verwijderen voordat ze het bestand hebben gedownload. E-mail biedt deze functionaliteit niet.

We raden het gebruik van fysieke media af. Het risico is groot dat u die media kwijtraakt. Als dat het geval is, is er sprake van een datalek. Zelfs als de media versleuteld zijn, is er kans op een datalek. Dit alles hangt af van de sterkte van het wachtwoord.

Een bijkomend probleem bij het gebruik van fysieke media is dat het niet zeker is of de computer die naar de media schrijft veilig is. Als het is geïnfecteerd, kan de media ook worden geïnfecteerd, waarna de infectie wordt overgebracht naar de andere computer.

De volgende informatie moet worden verstrekt aan betrokkenen (vetgedrukte termen worden toegelicht op deze pagina):

• Contactgegevens van de verwerkingsverantwoordelijke en FG;
• De doeleinden en rechtsgrond van de verwerking;
  • wanneer gerechtvaardigd belang als rechtsgrond wordt gebruikt: om welk belang gaat het en waarom weegt dit belang zwaarder dan de privacy van betrokkenen?
• De (categorieën van) ontvangers van de persoonsgegevens;
• Worden de persoonsgegevens doorgegeven buiten de EU of naar een internationale organisatie en zo ja, op welke juridische grond?
• De bewaartermijn van de gegevens;
• De rechten van de betrokkene;
• Het recht van de betrokkene om de gegeven toestemming voor een bepaalde verwerking altijd te kunnen intrekken;
• Dat de betrokkene een klacht kan indienen bij de Autoriteit Persoonsgegevens;
• Of en waarom de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn als de gegevens niet worden verstrekt;
• Of gebruik wordt gemaakt van geautomatiseerde besluitvorming, inclusief profilering;
• Als de gegevens van een andere organisatie zijn verkregen: de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen.

De informatie moet transparant en in duidelijke en eenvoudige taal worden gegeven.

Vetgedrukte termen worden op deze pagina toegelicht.

Wanneer een partij die verwerkingsverantwoordelijke is een andere partij inschakelt om namens de verwerkingsverantwoordelijke persoonsgegevens te verwerken.

De organisatie die bepaalt voor welk doel persoonsgegevens worden verwerkt en de manier waarop dat gebeurt, is verwerkingsverantwoordelijke. Deze organisatie bepaalt dus het doel en de middelen van de verwerking. Hierbij kun je kijken of er sprake is van één van de volgende situaties:

• Feitelijke invloed: Doorslaggevend is welke partij in de praktijk daadwerkelijk de beslissingen neemt; welke partij bepaalt met welk doel en hoe persoonsgegevens worden verwerkt en welke partij volgt instructies op? Is er sprake van een gezagsverhouding?
• Uitdrukkelijke juridische bevoegdheid: in de wet staat expliciet benoemd dat de organisatie bepaalde persoonsgegevens mag of moet verwerken.
• Impliciete bevoegdheid: het staat niet expliciet in de wet benoemd dat een organisatie bepaalde persoonsgegevens mag of moet verwerken, maar het ligt wel voor de hand.

Wanneer deze verwerkingsverantwoordelijke een andere partij inschakelt om namens de verwerkingsverantwoordelijke persoonsgegevens te verwerken, dan wordt deze andere partij aangemerkt als verwerker. In dat geval is een verwerkersovereenkomst noodzakelijk.

Wanneer een verwerkingsverantwoordelijke persoonsgegevens verstrekt aan een andere partij, dan is deze andere partij niet per definitie verwerker; er is dus ook niet altijd een verwerkersovereenkomst nodig. Het kan bijvoorbeeld zo zijn dat deze andere partij de persoonsgegevens verwerkt, maar daarvoor zélf doel en middelen bepaalt. Deze partij is dan ook verwerkingsverantwoordelijke. In zo’n geval moet je geen verwerkersovereenkomst afsluiten. Mogelijk is het wel aan te raden een andere overeenkomst af te sluiten. Neem hiervoor contact op met je privacy contactpersoon (PCP) of de functionaris gegevensbescherming (FG). Neem ook contact op met je PCP of de FG, wanneer je niet zeker weet of een verwerkersovereenkomst nodig is of wanneer je niet zeker weet wie verwerkingsverantwoordelijke of verwerker is.

Vetgedrukte termen worden op deze pagina toegelicht.

Kort antwoord (uitleg onder): Dat mag alleen wanneer er toestemming is van betrokkene, deze  verstrekking is gebaseerd op een wettelijke bepaling of wanneer het doel van deze verstrekking verenigbaar is met het doel waarvoor de persoonsgegevens oorspronkelijk zijn verzameld. Er moet ook sprake zijn van een geldige AVG-grondslag en de betrokkene moet zijn geïnformeerd over het verstrekken van de gegevens aan de derde partij.

Uitleg: Voor elke verwerking, dus ook voor het verstrekken van persoonsgegevens aan een partij buiten de UT, is een grondslag nodig. Ook moet er sprake zijn van een gerechtvaardigd doel van het verstrekken van de gegevens. Wanneer deze gegevens in eerste instantie voor een ander doel zijn verzameld (dus niet voor het verstrekken van deze gegevens aan de derde partij), dan geldt dat het doel van deze verstrekking verenigbaar moet zijn met het doel waarvoor de persoonsgegevens oorspronkelijk zijn verzameld. Om deze verenigbaarheid te beoordelen, kun je letten op:

• Ieder verband met het doel van het verzamelen van de persoonsgegevens;
• Het kader waarin de persoonsgegevens zijn verzameld (de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke);
• De aard van de gegevens (gaat het bijvoorbeeld om bijzondere persoonsgegevens?);
• De (mogelijke) gevolgen van de verstrekking van persoonsgegevens;
• Het wel of niet bestaan  van passende waarborgen, zoals versleuteling of pseudonimisering;
• De verwachtingen van de betrokkene.

Verder geldt dat betrokkenen voorafgaand aan de verstrekking moeten zijn geïnformeerd over de verstrekking van persoonsgegevens aan de derde partij. Dat kan bijvoorbeeld door middel van een privacy statement.

Indien een verwerking is gebaseerd op toestemming en je wilt persoonsgegevens verwerken van kinderen jonger dan 16 jaar, dan is toestemming vereist van de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt.

Voorafgaand aan een verwerking moet je betrokkenen altijd informeren over wat je met hun persoonsgegevens doet, bijvoorbeeld door middel van een privacy statement. Let er bij minderjarigen op dat deze verklaring voor kinderen goed te begrijpen is.

 De volgende vragen dienen te worden beantwoord:

1.       Wat is het doel van de verwerking van persoonsgegevens?

2.       Kan de verwerking van persoonsgegevens worden gebaseerd op een grondslag?

3.       Waar worden de persoonsgegevens opgeslagen en/of verwerkt?

a.       Indien buiten de EER (in een derde land): welke extra maatregel is getroffen?

4.       Van wie worden persoonsgegevens verwerkt? Wie zijn de betrokkenen?

5.       Welke persoonsgegevens worden verwerkt? Worden ook bijzondere persoonsgegevens verwerkt en zo ja, welke uitzondering is van toepassing om deze verwerking te rechtvaardigen?

6.       Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor het doel. Welke bewaartermijn geldt voor de persoonsgegevens? Licht toe.

7.       Worden de persoonsgegevens na afloop automatisch of handmatig verwijderd? Indien handmatig: hoe wordt ervoor gezorgd dat dit daadwerkelijk gebeurt?

8.       De verwerking moet worden opgenomen in het register van verwerkingen. Daarvoor moet het Excel-bestand voor SMILE volledig worden ingevuld (op te vragen bij de functionaris gegevensbescherming). Dit moet voorafgaand aan de verwerking worden gedaan.

9.       Welke rol heeft de UT? (Verwerkingsverantwoordelijke / verwerker / gezamenlijk verwerkingsverantwoordelijke?)

10.   Wordt voldaan aan het beginsel van dataminimalisatie?

11.   Worden de persoonsgegevens passend technisch en organisatorisch beveiligd?

12.   Is er nog een andere partij betrokken bij de verwerking van persoonsgegevens en zo ja, welke rol heeft die partij? Moet er een verwerkersovereenkomst of andersoortige overeenkomst worden afgesloten?

13.   Worden betrokkenen voorafgaand aan de verwerking van hun persoonsgegevens geïnformeerd over de verwerking van hun persoonsgegevens, bijvoorbeeld d.m.v. een privacy statement?

14.   Kunnen de rechten van betrokkenen worden geëerbiedigd? Een betrokkene heeft onder voorwaarden recht op:

a.       Inzage in zijn of haar persoonsgegevens

b.       Rectificatie van zijn of haar persoonsgegevens

c.       Wissing van zijn of haar persoonsgegevens

d.       Beperking van de verwerking van zijn of haar persoonsgegevens

e.       Overdraagbaarheid van zijn of haar persoonsgegevens

f.        Bezwaar tegen de verwerking van zijn of haar persoonsgegevens

15.   Moet een DPIA worden uitgevoerd? Zo ja, dan dient dit voorafgaand aan de verwerking te worden gedaan.

16.   Worden de principes van ‘Privacy by Design’ en ‘Privacy by Default’ toegepast op de verwerking van persoonsgegevens en de digitale middelen waarmee de verwerking plaatsvindt?