Zie Standaarden & afspraken

Waar moet je als beheerder van een UT-website op letten?

Sinds 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG, of Engels GDPR). Hieronder worden enkele punten uit de wet toegelicht, die mogelijk relevant zijn voor UT-medewerkers/studenten die websites binnen de UT beheren.

Onderstaande lijst is zeker geen volledige weergave van de wetgeving, maar een selectie op basis van relevantie en veel gestelde vragen uit het verleden. 

Gegevens opslaan/bewaartermijnen

Persoonsgegevens mogen niet onbeperkt verwerkt (opgeslagen) en bewaard worden in systemen als WebHare. Hiervoor is een wettelijke grondslag (reden) noodzakelijk. Gevolgen:

  • De inhoud van webformulieren wordt na 26 maanden automatisch verwijderd. Alleen gegevens van de afgelopen 26 maanden blijven zichtbaar/downloadbaar.
  • Webstatistieken (Google Analytics) zullen na 50 maanden worden verwijderd.
  • Klantgegevens in UT systemen (bijvoorbeeld informatieaanvragen van studiekiezers via de website) zullen worden verwijderd of geanonimiseerd als zij een jaar na de verwachte startdatum geen student zijn geworden.
  • Als er geen reden is om iets op te slaan ('vind ik handig om te hebben' is geen reden) mag je persoonsgegevens niet opslaan.
  • Je mag alleen gegevens vragen die strikt noodzakelijk zijn. Als iemand zich inschrijft voor een digitale nieuwsbrief dan mag je bijvoorbeeld geen postadres vragen. Geslacht is eveneens een veel gevraagd persoonsgegeven dat vaak niet nodig en dan dus niet toegestaan is.
  • Om persoonsgegevens van mensen te beschermen slaat de UT deze op Europese systemen op. Daarom is het niet toegestaan om via Amerikaanse diensten als Google Forms of Dropbox persoonsgegevens te verzamelen of bij deze diensten op te slaan. Zie hiervoor ook het Privacy Statement van de UT.

(Pas)foto's en smoelenboeken

Foto's worden veelvuldig gebruikt op websites. Omdat foto's in de categorie 'bijzondere persoonsgegevens' kunnen vallen gelden hiervoor striktere regels: 

  • Plaats pasfoto's van studenten en medewerkers alleen na expliciete toestemming van de betreffende persoon. Dit geldt zelfs voor intranet.
  • Plaats pasfoto's van medewerkers bij voorkeur niet direct in WebHare op de pagina, maar laad ze zo veel mogelijk in vanuit People Pages. Dat doe je door het WebHare-smoelenboek te gebruiken of als het om 'losse' personen in de lopende tekst gaat de inline componenten person info en person info foldable te gebruiken. In People Pages kunnen medewerkers namelijk aangeven of de foto intern/extern zichtbaar mag zijn. Je website neemt deze instelling dan automatisch over. 

Cookies

Bijna alle websites plaatsen cookies. Cookies helpen bij het inloggen of maken website-statistieken mogelijk om het website-gebruik te analyseren en de website te verbeteren. Veel cookies worden door derde partijen zoals YouTube geplaatst, bijvoorbeeld als je een YouTube-video op je pagina hebt staan. Cookies zorgen er bijvoorbeeld voor dat je gepersonaliseerd advertenties ziet. Met de nieuwe wetgeving heeft de website-bezoeker meer rechten om te bepalen welke cookies hij wel of niet wil. Een aantal gevolgen hiervan: 

  • Alle websites in de standaard-layout van de UT zijn voorzien van een nieuwe cookiemelding, die mensen de optie biedt via 'schuifjes' hun voorkeur aan te geven welk type cookies ze wel of niet willen toelaten.
  • Heb je een widget/inline element in je website gebruikt om een video (van Vimeo) in je site te tonen of een blokje van Facebook om je pagina te liken? Deze elementen van derden zetten cookies. Een website-bezoeker die cookies van derden niet geaccepteerd heeft zal daarom een melding zien dat het accepteren van cookies voor deze elementen noodzakelijk is.
  • Gebruik je wel eens HTML-bestanden in WebHare om zelf je pagina's te programmeren? Wees daar erg terughoudend mee, want als je daar elementen als video's gebruikt die cookies zetten, dan kunnen we niet aan de wet voldoen. Wij adviseren daarom altijd de ingebouwde online editor van WebHare te gebruiken. Als je dan via de filmstrip-knop video's toevoegt zorgt Webhare ervoor dat de content aan alle eisen voldoet en mensen die cookies blokkeren de inhoud pas na het toestaan van cookies kunnen zien.

Heb je een website buiten WebHare in eigen beheer, bijvoorbeeld voor een EU-project? Voor sites buiten WebHare bieden we een integratie van de UT-cookiemelding aan. Wil je hiervan gebruik maken, neem dan contact op met onlinemedia@utwente.nl

Massamails versturen

In de basis is het niet zo maar toegestaan massaal naar mensen te mailen om ze bijvoorbeeld uit te nodigen voor een congres. Let er bij het verzamelen en gebruiken van emailadressen voor een massamail/nieuwsbrief altijd op dat:

  • Mensen toestemming hebben gegeven de persoonsgegevens zoals emailadres op te slaan. Als mensen een brochure aanvragen hebben ze nog geen toestemming gegeven de gegevens ook op te slaan in je relatiedatabase. Je kan de brochure ook toesturen en dan de gegevens direct weer verwijderen. Dat zou je bij ontbrekende toestemming om de gegevens op te slaan ook moeten doen.
  • Mensen aangegeven hebben dat ze dit type mail willen ontvangen. Voorbeeld: iemand vraagt een brochure aan, dan mag je geen nieuwsbrief sturen.
  • Mensen zelf het vinkje hebben gezet dat ze iets willen ontvangen (vinkje mag niet automatisch aan staan), en dat de tekst achter het vinkje specifiek genoeg is.
  • Het verplicht is de datum op te slaan waarop mensen zich ingeschreven hebben en welke tekst achter het inschrijf-vinkje stond. 

Uitzonderingen: wanneer mag het standaar wel?

Voor het versturen van transactionele mail (bevestiging van een inschrijving van een event, het opvragen van een wachtwoord, etc) is geen toestemming nodig, aangezien de website-bezoeker zelf de opdracht geeft. 

Verder kun je ervan uitgaan dat als iemand aangemeld is voor een event alle daaraan gerelateerde informatie gewoon kan ontvangen. Denk aan toesturen van programma, maar ook later een evaluatie voor dat specifieke evenement.