Introductie

Vanzelfsprekend vindt de Hogeschool der Kunsten Den Haag het belangrijk om persoonsgegevens zorgvuldig te verwerken . Wij vinden dat een taak van ons allemaal. We verwachten dan ook dat medewerkers en studenten op de juiste manier met hun eigen en andermans persoonsgegevens omgaan.

Vragen, opmerkingen of zorgen?

Met vragen, opmerkingen of zorgen omtrent privacy kan je intern terecht via: privacy@hdkdenhaag.nl.

Mocht je via deze weg geen gehoor vinden of direct in contact willen komen met de externe Functionaris Gegevensbescherming, dan kan dat via: fg@hdkdenhaag.nl.

Het Informatiebeveiliging en Privacy (IBP) team draagt de verantwoordelijkheid voor het privacybeleid en bewustwording hierover onder medewerkers en studenten, en is bereikbaar via e-mail: privacy@hdkdenhaag.nl.

Voor dringende beveiligingslekken, zoals phishing, kan je mailen met: ict@hdkdenhaag.nl.

Vragen over een mogelijk datalek?

Een datalek is een beveiligingsincident waarbij persoonsgegevens in handen van onbevoegden zijn gekomen, voor onbevoegden toegankelijk waren, of ‘zijn verloren’.

Een datalek is niet alleen ICT-gebonden; ook door het verliezen van bijvoorbeeld een 'hardcopy dossier' is er sprake van een datalek. Datalekken dienen altijd te worden gemeld aan privacy@hdkdenhaag.nl. De Privacy Officer van de HdK zal de (mogelijke) datalek en hierop volgende acties vlot bespreken met de Functionaris Gegevensbescherming (FG) en hierover terugkoppelen.

Als je een datalek of andere opvallende zaken met betrekking tot privacy constateert, neem je direct contact op met privacy@hdkdenhaag.nl. Geef zo veel mogelijk informatie. Zoals wat er is gebeurd, welke gegevens en van wie mogelijk zijn gelekt en welke partijen betrokken zijn. Op deze manier kan worden beoordeeld wat er aan de hand is en of er specialisten in actie moeten komen.

Het verlies van USB-sticks, laptops of een hardcopy dossier is ook aan te merken als een datalek. Indien je één van deze gegevensdragers hebt verloren, dien je dit te melden via privacy@hdkdenhaag.nl. De Privacy Officer van de HdK zal het (mogelijke) datalek en hierop volgende acties vlot bespreken met de Functionaris Gegevensbescherming (FG) en hierover terugkoppelen. De FG is verplicht het datalek intern te registreren én beoordeelt of het datalek moet worden gemeld bij de Autoriteit Persoonsgegevens .

Heb je het vermoeden dat je een phishing e-mail hebt ontvangen, lees dan meer op de pagina Phishing.

Het kan zijn dat er een incident of opvallende zaak bij een externe partij plaatsvindt waarbij HdK-gegevens betrokken zijn. Meld dit zo snel mogelijk via privacy@hdkdenhaag.nl. De HdK kan dan in gesprek gaan met de betrokken partijen en actie ondernemen. De HdK blijft namelijk eigenaar van en verantwoordelijk voor de informatie, en eigen medewerkers of studenten kunnen de dupe worden van een incident.

Bij het per ongeluk versturen van een mail met e-mailadressen in de CC in plaats van de BCC is er sprake van een datalek. Hierdoor worden e-mailadressen met mensen gedeeld die niets met elkaar te maken hebben. Het datalek dient te worden gemeld via privacy@hdkdenhaag.nl. De Privacy Officer van de HdK zal de (mogelijke) datalek en hierop volgende acties vlot bespreken met de Functionaris Gegevensbescherming (FG) en hierover terugkoppelen. De FG is verplicht het datalek intern te registreren én beoordeelt of het datalek moet worden gemeld bij de Autoriteit Persoonsgegevens.

Werken met persoonsgegevens

Volgens de AVG vallen bijvoorbeeld de volgend handelingen onder het verwerken van persoonsgegevens binnen de HdK: het verzamelen, vastleggen, structureren, wijzigen, raadplegen, verspreiden en wissen van gegevens.

Deel alleen persoonsgegevens met docenten of medewerkers die horen bij het doel dat zij met de gegevens hebben en die passen bij de functie van de docent of medewerker. Wil een docent of medewerker persoonsgegevens gebruiken in bijvoorbeeld een ICT-toepassing , check dan of de HdK een verwerkersovereenkomst met het externe bedrijf heeft. Als dat niet het geval is, mag je de persoonsgegevens niet delen. Weet je het niet zeker, vraag het je afdelingshoofd of coördinator of mail naar privacy@hdkdenhaag.nl.

De Hogeschool der Kunsten moet kunnen aantonen dat zij de juiste technische en organisatorische maatregelen heeft genomen om persoonsgegevens te beschermen. Dat is wettelijk verplicht. Om die reden richt de HdK systemen in op basis van functies en de bijbehorende rechten op toegang tot persoonsgegevens. Zo heb je als medewerker voldoende rechten om die gegevens te benaderen die je nodig hebt voor je werk. Niet meer en niet minder. Daarmee voorkomen we mogelijk misbruik van informatie bij de voordeur.

Uitzondering: Als je voor een nieuwe taak meer persoonsgegevens nodig hebt dan nu bepaald is. Neem dan contact op met jouw afdelingshoofd of coördinator, al dan niet in overleg met het IBP-team. Hij of zij neemt jouw verzoek in behandeling en geeft een terugkoppeling of je akkoord krijgt op een eenmalige, tijdelijke of permanente toegang.

Als je toegang hebt tot meer persoonsgegevens dan nodig is voor je functie, maak je direct een melding bij je afdelingshoofd. De HdK loopt een risico als meerdere mensen door een fout in het systeem toegang hebben tot informatie waar ze geen recht op hebben. Daarom willen we dit zo snel mogelijk weten, zodat we de fout snel kunnen herstellen en schade kunnen voorkomen.

Toegang tot informatie waar je geen recht op hebt, is niet alleen informatie die je mogelijk kunt aanpassen, maar ook informatie waarvoor je onterecht leesrechten hebt.

Werk je met een applicatie van de HdK, dan kan het zijn dat je je bezighoudt met de verwerking van persoonsgegevens. Ook het lezen van die gegevens valt onder verwerken.

Voor het bewaren van persoonsgegevens in de applicaties zijn wettelijke termijnen vastgesteld. Medebepalend voor de opslagtermijnen zijn de aard en de reden van de verwerking, evenals het vertrek van een medewerker of student bij de HdK. Hoe lang je informatie in applicaties mag bewaren, heeft de HdK vastgelegd in het Excel-document ‘bewaartermijnen’. [intranet KCen intranet KABK]

Selectielijst Hogescholen
Daarnaast volgt de HdK de 'Selectielijst Hogescholen'. Deze lijst bevat een opsomming en toelichting van de belangrijkste processen van een hogeschool. Bij deze processen zijn de voornaamste archiefstukken geïnventariseerd en voorzien van een onderbouwde bewaartermijn.

Gegevensuitwisseling
Gegevensuitwisseling tussen HdK-systemen gebeurt automatisch. Vandaar dat je moet voorkomen dat je handmatig acties rond persoonsgegevens uitvoert. Als het niet strikt noodzakelijk is, maak dan geen import en export van persoonsgegevens. Die gegevens mogen alleen worden verzameld met een gerechtvaardigd doel, zoals opgenomen in het privacyreglement. Ze worden niet langer opgeslagen dan voor het gerechtvaardigd doel noodzakelijk is.

Mocht je onvoldoende rechten hebben om in een applicatie te kunnen werken, neem dan contact op met je afdelingshoofd voor een passende autorisatie .

Werken met studentgegevens

Veel medewerkers van de HdK verwerken persoonsgegevens van studenten en zijn daarmee verwerkers. De onderstaande tekst geldt voor algemene verwerkingen, niet voor specifieke handelingen.

Meer informatie vind je in het privacyreglement [intranet KCen intranet KABK].

Gegevens zijn persoonsgegevens als ze herleidbaar zijn naar een natuurlijk persoon, in dit geval de student. Ook als je een gegeven relatief eenvoudig kan herleiden door een combinatie te maken met een ander bronbestand. Een voorbeeld is het studentnummer. Het nummer op zichzelf zou geen persoonsgegeven zijn, ware het niet dat je binnen de HdK-systemen makkelijk combinaties kunt maken van studentnummer en namen, waardoor de individuele studenten te herleiden zijn.

Gegevens van studenten verwerken mag uitsluitend om:

  • aanmeldingen voor opleidingen, cursussen of bijeenkomsten te verwerken;
  • studenten te werven en te selecteren;
  • studieresultaten, studieadvies, studievoortgang, studiebegeleiding, studieondersteuning en daaraan gerelateerde informatie te registreren en te verwerken;
  • onderwijs te geven;
  • leermiddelen te verstrekken en leermiddelen of faciliteiten ter beschikking te stellen;
  • collegegelden te berekenen, vast te leggen en te innen;
  • studenten en hun (afstudeer)werk te publiceren en te promoten;
  • accreditaties te faciliteren;
  • geschillen te behandelen;
  • accountantscontroles uit te oefenen;
  • kwaliteit van het onderwijs te onderzoeken, evalueren en te verbeteren;
  • gezondheid, veiligheid en beveiliging te borgen;
  • organisatie-analyses en managementrapportages op te stellen.

    Om te weten of je gegevens mag verwerken, moet je eerst vaststellen om welke soort persoonsgegevens het gaat. Bijzondere persoonsgegevens mag je niet verwerken tenzij er een grondslag voor is.

    Onder bijzondere persoonsgegevens vallen iemands:

    • godsdienst of levensovertuiging
    • etniciteit
    • politieke voorkeur
    • gezondheid
    • seksuele leven
    • lidmaatschap van een vakvereniging
    • strafrechtelijke gegevens
    • overige gegevens die kunnen leiden tot stigmatisering, uitsluiting of identiteitsfraude

    Bij hoge uitzondering is het toegestaan om deze gegevens te verwerken. Bijvoorbeeld bij inschrijfverplichtingen. Je mag alleen persoonsgegevens van studenten verwerken die noodzakelijk zijn voor het goed uitvoeren van je rol of functie. Ook moet het doel van de verwerking gerechtvaardigd zijn.

    De student heeft altijd recht op inzage in de persoonsgegevens die van hem of haar zijn verwerkt. Behalve als het om een mailtje met persoonsgegevens van een student, tussen twee docenten betreft. Zolang de informatie in de mailbox zit, valt het niet onder het inzagerecht. Zodra het mailtje echter als upload wordt toegevoegd in bijvoorbeeld Osiris, SAP en/of CRM dan valt deze informatie wel onder het inzagerecht en moet de HdK deze op verzoek verstrekken.

    Dit soort mailtjes zijn erg risicovol. Als je al mailt, zorg dan dat je het bericht ook weer verwijderd. Sla het bericht niet ergens anders op als het niet de bedoeling is om te delen met de betrokkene. Het veiligste is om persoonlijk overleg te voeren zonder aantekeningen te maken.

    Een 'legitimatie kopie' vragen, maken of bewaren ter identificatie is niet toegestaan. Je mag wel noteren op basis waarvan geïdentificeerd is en het paspoort– of ID/BSN-nummer overnemen van een wettelijk en geldig legitimatiebewijs. De Rijksoverheid biedt een mobiele app die het mogelijk maakt een kopie te maken van je ID-bewijs en daarbij zaken uit te vlakken die je niet wenst te delen.

    De HdK vraagt geen VOG op voor studenten. Het opvragen van een VOG is verplicht binnen bepaalde branches en is de wettelijke verantwoordelijkheid van het stagebedrijf. Het stagebedrijf vraagt een VOG aan en de betreffende stagiair krijgt deze persoonlijk thuisgestuurd zodat deze het VOG kan laten zien aan het stagebedrijf.

    Bewaren is niet toegestaan. Het gaat hier namelijk om bijzondere persoonsgegevens.

    De HdK hoeft geen toestemming te vragen aan haar studenten voor het versturen van onderwijsinhoudelijke mailings. Studenten volgen onderwijs en zijn daarmee onze klanten.

    Wel heeft de HdK algemene gedragsregels opgesteld voor het versturen van mailings aan studenten:

    • Elke mail die je verstuurt heeft een duidelijk onderwerp;
    • Je mail is kort en zakelijk en je geeft helder aan wat je van de ontvanger verwacht;
    • Als de boodschap wat gevoelig ligt, kun je beter op een andere manier contact opnemen. Maak bijvoorbeeld een afspraak;
    • Je stuurt alleen een e-mail in CC als het absoluut noodzakelijk is. Je wilt bijvoorbeeld de ontvanger informeren, maar verwacht geen actie van hem of haar;
    • Je reageert niet op de CC-mail die je hebt ontvangen;
    • Je stuurt alleen een e-mail in BCC als je het mailadres van de geadresseerde wil afschermen;
    • Je reageert tijdig op ontvangen e-mails;
    • Je schoont je mailbox regelmatig op.

    Als je een mail verstuurt met persoonsgegevens, dan geeft de HdK het volgende advies:

    • Gebruik voor het delen van persoonsgegevens alleen e-mail als dat noodzakelijk is;
    • Deel bestanden intern zo veel mogelijk via netwerkschijven;
    • Collega’s van een andere afdeling kun je uitnodigen voor een gedeeld afdelingsmap op de s-netwerkschijf (dit loopt soms via ICT) of via een teamsite binnen Office 365.

    Net als van studenten mag je van aspirant-studenten alleen persoonsgegevens verwerken die noodzakelijk zijn voor het goed uitvoeren van je rol of functie. Ook moet het doel van de verwerking gerechtvaardigd zijn.

    Gegevensverwerking van aankomende studenten mag uitsluitend ten behoeve van:

    • de organisatie van onderwijs en het geven van onderwijs;
    • onderwijsbegeleiding en het geven van studieadvies;
    • het verstrekken of ter beschikking stellen van leermiddelen;
    • het berekenen, vastleggen en innen van collegegelden, waaronder het in handen van derden stellen van vorderingen;
    • het behandelen van geschillen en het uitoefenen van de accountantscontrole;
    • (onderzoek gericht op) de kwaliteitsverbetering in het onderwijs;
    • de uitvoering of toepassing van een wettelijke verplichting.

    Mailings
    Het verwerken van gegevens in het kader van intake en de organisatie van evenementen kan dus gerechtvaardigd zijn. Maar ga voor iedere mailing rondom intake en organisatie van evenementen na of ze vallen binnen de doelen zoals aangegeven bij het opvragen van de gegevens.

    Heeft de mailing een ander doel dan bovenstaande doelen, maak dan de afweging of de mailing noodzakelijk is. Is het niet noodzakelijk, verstuur de mailing dan niet. Is het wel noodzakelijk, vraag dan toestemming aan de aspirant-studenten.

    Overleg eerst met het IBP-team om te controleren of de mailing valt onder de wettelijke grondslag of een doel waarvoor al toestemming is gegeven door de aankomende student. Is dit niet het geval, dan kun je het toestemmingsformulier [intranet KCen intranet KABK] gebruiken om alsnog goedkeuring te krijgen.

    Na hun afstuderen nemen studenten geen producten of diensten van de HdK meer af en bestaan er geen klantrelaties meer. Vraag aan afstuderende studenten of zij in de toekomst mailings van de HdK willen blijven ontvangen. Alleen als de afgestudeerde student daarvoor toestemming geeft, mag de HdK de alumnus mailen. Als oud-studenten instemmen met het ontvangen van mailings van de HdK, moet dat worden vastgelegd in het toestemmingsregister. Als een oud-student zijn toestemming intrekt, mag deze ook geen mailing meer ontvangen.

    Voor het KC geldt dat mailings aan alumni alleen plaatsvinden via alumni.koncon.nl. Binnen dit platform kunnen alumni zichzelf inschrijven en aangeven welke mailings ze willen ontvangen. Alumni worden niet door het KC toegevoegd. Studenten ontvangen een uitnodiging voor het platform bij afstuderen.

    Voor de KABK geldt dat alumni zich kunnen inschrijven op de nieuwsbrief die via de website www.kabk.nl kunnen opgeven.

    HdK-studenten kunnen onderzoek uitvoeren in het kader van hun studie. Vaak willen zij daarvoor enquêtes uitzetten en benaderen docenten van andere opleidingen of zij studenten mogen benaderen met vragenlijsten.

    Verspreiding van een vragenlijst
    Het verspreiden van een vragenlijst is geen verwerking in de zin van de AVG . De data die studenten verzamelen gebruiken zij voor hun eigen onderzoek en niet voor de HdK. Wel heb je als docent of medewerker een filterfunctie in de zin dat je de vragenlijsten screent op noodzakelijkheid van de te stellen vragen. Het vragen van een naam is bijvoorbeeld vrijwel nooit noodzakelijk voor een onderzoek. Ook check je hoe vrijwillig het onderzoek is.

    Mailen van een vragenlijst
    Het versturen van een e-mail aan studenten waarmee je ze informeert over een onderzoek, is wel een verwerking in de zin van de AVG. Je gebruikt hierbij namelijk de e-mailadressen van studenten. Dit mag als:

    • het om een doelgroep gaat die relevant is voor het onderzoek
    • het binnen de onderwijsuitvoering valt

    Dan is toestemming van de student niet noodzakelijk, omdat het past binnen de normale omgang met studentengegevens.

    Het is veiliger om de enquêtes op een platform te plaatsen. Bijvoorbeeld EvaSys.

    Je mag bijvoorbeeld geen 'kopie diploma' verstrekken aan een derde partij die hierom vraagt, bijvoorbeeld in de afwikkeling van de emigratie van een ex-student.

    Je mag niet zomaar gegevens van studenten doorgeven aan een externe relatie. Dus ook geen ID-bewijzen. Maak altijd de afweging of gegevensverstrekking nodig is. En of je niet meer gegevens deelt dan strikt noodzakelijk is. Als een externe partij vraagt naar documentnummers van ID’s, ga je daar terughoudend mee om. Toets noodzaak en nut en breng de student op de hoogte van het feit dat je de gegevens voornemens bent te verstrekken. De student moet dan de mogelijkheid hebben om te zeggen dat hij of zij dat niet wilt.

    Voor een bedrijfsbezoek of excursie kun je bijvoorbeeld een namenlijst doorgeven, waarna de studenten zich apart legitimeren.

    Bij twijfel mail je naar privacy@hdkdenhaag.nl.

    Het is niet toegestaan om te vragen naar specifieke medische achtergronden, dieetwensen of geloofsuitingen. Wat wel is toegestaan om hier een gesloten vraag van te maken die met ja of nee is te beantwoorden. Indien een antwoord met ja wordt beantwoord, moet je apart contact opnemen om de details te vragen. Verwerk deze dan zorgvuldig en anoniem. Voor het doel, het organiseren van een activiteit, zijn alleen aantallen nodig. Specifieke vragen voor incidentele activiteiten mag wel, maar mogen niet worden afgedwongen en de gegevens moeten na afloop van de activiteit worden vernietigd.

    Werken met gegevens van collega's

    Open sollicitaties
    Open sollicitaties kunnen op diverse wijzen bij de Hogeschool der Kunsten binnenkomen (via e-mail naar P&O of een afdeling en/of via de post). Open sollicitaties dienen te worden (door)gestuurd naar werving@hdkdenhaag.nl. P&O bevestigd de ontvangst van de sollicitatie en legt deze voor aan het hoofd van de afdeling waarmee de sollicitant de meeste aanknopingspunten of affiniteit heeft. Nadat een open sollicitatie is doorgestuurd naar werving@hdkdenhaag.nl wordt deze door de oorspronkelijke ontvanger vernietigd.

    De open sollicitatie wordt na 2 maanden, indien er geen match is gevonden vernietigd.

    Sollicitatietrajecten
    Bij de werving- en selectie van personeel is de Sollicitatiecode HdK van toepassing.

    Als je betrokken bent bij werving- en selectietrajecten houd je je aan de volgende regels: Sollicitatiebrieven en cv’s komen binnen in de mailboxen werving@koncon.nl, werving@kabk.nl en werving@hdkdenhaag.nl. P&O beheert de gegevens in deze mailboxen en zorgt ervoor dat vacaturehouder en leden van de selectiecommissie toegang krijgen tot de gegevens van de desbetreffende vacature. Na afronding van de sollicitatieprocedure worden de sollicitatiebescheiden van de afgewezen kandidaten door P&O, vacaturehouder en de leden van de selectiecommissie vernietigd, tenzij de sollicitanten aangeven dat hun persoonsgegevens tijdelijk bewaard mogen worden. Dat geldt dan voor maximaal 1 jaar.

    Je mag online zoeken naar aanvullende gegevens over de sollicitant. Deze mag je raadplegen indien relevant voor de functie. Wel moet je de sollicitant hiervan op de hoogte stellen.

    Een nieuwe medewerker die in dienst treedt bij de HdK wisselt persoonsgegevens uit ten behoeve van de personeels- en salarisadministratie, zoals woonadres, nationaliteit, burgerservicenummer, geboortedatum, telefoonnummer en bankrekeningnummer. Daarnaast versterkt de nieuwe medewerker kopieën van zijn of haar diploma’s en ID-bewijs.

    P&O-medewerkers verwerken al deze gegevens in het personeelssysteem (ADP) en in het personeelsdossier. P&O verstrekt geen kopieën uit het dossier aan onbevoegden. Persoonsgegevens of kopieën van documenten met persoonsgegevens mogen niet (als een schaduwdossier) bij een faculteit of afdeling worden bewaard.

    Bij indiensttreding moet een nieuwe medewerker een integriteits- en privacyverklaring [intranet KC en intranet KABK] ondertekenen en een VOG inleveren.

    Als dat bij jouw functie hoort, heb je toegang tot het personeelsdossier.

    Het personeelsdossier is bedoeld om formele documenten van medewerkers en het dienstverband vast te leggen. Denk aan evaluatie- en voortgangsgesprekken, de arbeidsovereenkomst, eventuele aanhangsels en diploma’s en certificaten.

    Het verzuimdossier maakt onderdeel uit van het digitale personeelsdossier zoals beschreven in het protocol Ziekteverzuim [intranet KC en intranet KABK]

    Bij indiensttreding voert P&O alle persoonsgegevens en documenten in van de nieuwe collega. Het is belangrijk dat daarna alle papieren documenten van de nieuwe collega worden vernietigd. Dit geldt niet alleen voor P&O-medewerkers, maar voor alle betrokkenen. Persoonsgegevens van (nieuwe) medewerkers mogen nooit onbeveiligd via e-mail worden verstuurd, niet naar extern, maar ook niet binnen de HdK. Ontvang je een e-mail met persoonsgegevens, neem dan contact op met de betrokken P&O-medewerker en vernietig de gegevens. Dit geldt ook voor persoonsgegevens van externe medewerkers die tijdelijk zijn ingehuurd.

    Afhankelijk van je functie, heb je toegang tot systemen zoals ADP en Osiris waar persoonsgegevens in staan. Werk je met persoonsgegevens, dan doe je dit zo veel mogelijk rechtstreeks in die applicaties . Werk je in een document dat persoonsgegevens bevat, dan mag je dit alleen opslaan op de groepsnetwerkschijven. Hierin zitten mappen waarvoor alleen bepaalde medewerkers gemachtigd zijn. Sla het document op in een passende onderliggende map. Welke map dit precies is en wie een machtiging mag hebben, wordt binnen de faculteit of afdeling bepaald.

    Documenten met persoonsgegevens mag je dus niet opslaan in of op:

    • je persoonlijke schijf (C-schijf);
    • Google Drive, Dropbox of andere clouddiensten ;
    • een usb-stick of externe harde schijf;
    • je persoonlijke computer, laptop of smartphone;

    Subsidiegevers willen vaak inzage in de ureninzet en loonkosten van medewerkers. Het is niet wenselijk dat dergelijke personele gegevens aan externen ter beschikking worden gesteld.

    Alleen P&O is bevoegd om deze gegevens beschikbaar te stellen. Daarnaast moet aan alle medewerkers van HdK die aan een subsidieproject meewerken, vooraf toestemming worden gevraagd voor het verstrekken van hun gegevens.

    Je mag een kopie van het ID-bewijs alleen bewaren in het personeelsdossier. Van medewerkers is het wettelijk verplicht een kopie–legitimatie in het personeelsdossier te bewaren. Een rijbewijs geldt als wettelijk legitimatiebewijs, behalve bij indiensttreding. Dan is een ID-kaart of paspoort nodig.

    Een Verklaring Omtrent het Gedrag (VOG) is een verklaring waaruit blijkt dat gedrag in het verleden geen bezwaar vormt voor het vervullen van een specifieke taak of functie. De overheid legt in regelgeving vast voor welke beroepen een VOG in ieder geval verplicht is. Zoals voor onderwijzers in het lager onderwijs en voor gastouders en taxichauffeurs. Als er geen wettelijke verplichting is, mag een werkgever zelf bepalen of hij een VOG verplicht stelt voor een bepaalde functie.

    De HdK stelt een VOG verplicht voor al het personeel. De nieuwe medewerker vraagt zelf de VOG aan en verstrekt deze vrijwillig aan HdK. De HdK registreert deze verklaring in ADP en neemt deze op in het personeelsdossier.

    Bij het gebruik van mail houd je rekening met de basisbeginselen van gegevensbescherming. Voordat je besluit tot het verzenden van bulkmail, ga je na of je niet meer mensen bij de mail betrekt dan strikt noodzakelijk. En ga na of andere kanalen even geschikt of zelfs geschikter zijn om de mededeling te verspreiden.

    Wanneer je ziek bent, geef je dit zelf door aan je afdelingshoofd en P&O. Zie het Verzuim- en re-integratieprotocol [intranet KCen intranet KABK]. Je leidinggevende mag enige informatie vragen zoals telefoonnummer, je verblijfsadres, de vermoedelijke duur van het verzuim en of er lopende afspraken zijn. Maar ook of je onder een van de vangnetbepalingen van de Ziektewet valt en of de ziekte verband houdt met een arbeidsongeval of een verkeersongeval.

    Het is niet de bedoeling dat op andere plaatsen binnen de HdK informatie over een ziekmelding te vinden is. Wil een collega zich ziekmelden bij jou, dan verwijs je altijd door naar het afdelingshoofd en/of P&O. Je registreert niets en geeft geen informatie door via e-mail of een WhatsAppgroep.

    De HdK mag de gegevens die vrijwillig zijn verstrekt registreren. Zoals bij een ziekte waarbij het noodzakelijk is dat directe collega’s in geval van nood weten hoe ze moeten handelen. Bijvoorbeeld bij epilepsie.

    De bedrijfsarts of andere specialist moet zich houden aan strenge eisen wat betreft het terugkoppelen van gegevens over de aard van de ziekte aan de HdK. De leidinggevende moet zorgvuldig omgaan met de gegevens die hij of zij in overleg met de medewerker opneemt in het re-integratieplan.

    Wil je een bloemetje of kaartje sturen naar een collega? Dan moet je collega toestemming hebben gegeven voor het delen van zijn of haar adresgegevens. De adresgegevens zijn dan bekend bij P&O. Ook het plaatsen van een geboortekaartje op een prikbord mag pas na toestemming van de medewerker.

    Zolang het om zakelijke (mobiele) telefoonnummers van (externe) medewerkers gaat, mag je deze doorgeven aan externe partijen. Als het om een privénummer gaat dat ook zakelijk wordt gebruikt dan moet je toestemming vragen. Als medewerker moet je persoonlijk zijn geïnformeerd over het bestaan en gebruik van een telefoonlijst waar jouw privé nummer op voorkomt.

    Veel gestelde vragen

    Wij raden aan om geen persoonsgegevens te delen via e-mail omdat e-mailberichten niet goed beveiligd zijn. Je mail kan ongewild bij de verkeerde of te veel personen terechtkomen. Daarnaast blijven de mails mogelijk te lang bewaard in mailboxen. Let dus op bij het automatisch aanvullen van geadresseerden, gebruik bewust BCC in plaats van CC, schoon je mailbox regelmatig en maak ook de prullenbak leeg!

    Voor het intern delen van gegevens zijn de gemeenschappelijke-netwerkschijven de veilige manier. Je kunt daarin een document zetten (als alleen leesbaar) en zijn alleen toegankelijk voor een specifiek persoon of groep. Het mailen van bestanden wordt hiermee overbodig.

    Voor het extern delen van persoonsgegevens moet je eerst goed afstemmen of de gegevens wel gedeeld mogen worden. De reden ‘we doen dit al jaren zo’ is geen richtlijn meer. Indien gegevens mogen worden gedeeld dan zou dit middels wachtwoordbeveiliging, anoniem of gepseudonimiseerd kunnen.

    Voor het verstrekken van persoonsgegevens aan externen bestaan regels. Lees meer op de pagina Ik wil persoonsgegevens delen met een externe partij, of mail naar privacy@hdkdenhaag.nl.

    Als je een e-mail ontvangt met persoonsgegevens, vraag je dan eerst af of je wel recht hebt op deze informatie. Als dat niet het geval is, neem dan direct contact op via privacy@hdkdenhaag.nl en meld een beveiligingsincident .

    Als je wel recht hebt op ontvangst van deze gegevens, is het verstandig om de gegevens uit je mailbox te halen, op te slaan op de gedeelde netwerkschijven of te verwerken in een van de HdK-systemen.

    Belangrijk: direct na gebruik van de gegevens verwijder je deze van de schijf. Het is niet nodig om persoonsinformatie langer te bewaren dan strikt noodzakelijk.

    E-mail is een communicatiemiddel en geen opslag voor persoonsgegevens. Persoonsgegevens over medewerkers of studenten moeten in de daarvoor aangewezen applicaties worden vastgelegd. Daarna kan de mail worden verwijderd. Voor medewerkers bestaat het centrale systeem ADP, maar ook de verschillende planning tools. Informatie over studenten wordt centraal opgeslagen in Osiris. Als persoonsgegevens niet kunnen worden opgeslagen in de aangewezen applicaties, overleg met je afdelingshoofd of e-mail de juiste opslag is. Voor het opslaan en bewaren van bijlagen geldt hetzelfde.

    Ontvang je een verdacht e-mailbericht, open dan nooit bijlagen en links, verstrek niet je e-mailadres en klik niet op toegevoegde buttons, zoals een button waarmee je je kunt afmelden voor mailings. Kijk altijd kritisch naar afzender, onderwerp en taalgebruik. De HdK vraagt nooit via e-mail naar je gegevens.

    Bij twijfel of als je er zeker van bent dat er sprake is van een spambericht, stuur deze dan als bijlage door naar privacy@hdkdenhaag.nl.

    Verwijder daarna de e-mail uit je mailbox.

    Lees meer op de pagina Phishing.

    Voor zowel fysieke als voor digitale bestanden gelden dezelfde regels als het gaat om de bewaartermijn. Voor heel veel documenten geldt een wettelijke bewaartermijn. Vaak is dit 5 á 7 jaar nadat de relatie is verbroken. Wettelijke bewaartermijnen staan beschreven in het document 'Selectielijst Hogescholen' van de Vereniging Hogescholen en staan ook beschreven in het document ‘bewaartermijnen’ [intranet KCen intranet KABK]. Wanneer er geen specifieke wettelijke regels zijn, dan kun je als privacyrichtlijn ‘2 jaar na beëindiging van de relatie’ gebruiken of zoveel korter als mogelijk. Let op: dit geldt ook voor bestanden die in mailtjes zitten, zoals CV’s, Resultaat & Ontwikkeling formulieren, etc.

    Persoonsgegevens bekijk, gebruik en sla je zo veel mogelijk op in de applicaties waar die gegevens te vinden zijn, zoals ADP of Osiris. Alleen als er geen applicatie beschikbaar is, kun je het in een ander bestand opslaan, zoals in een Excel- of Wordbestand. Neem niet meer gegevens op dan strikt noodzakelijk voor het doel. Let bij opslaan en delen in Excel ook op de verborgen kolommen en tabbladen. Gebruik zo veel mogelijk een pdf-bestand bij het delen van informatie.

    Opslaglocatie
    Deze documenten mag je alleen opslaan op plekken die de HdK daarvoor heeft georganiseerd. Dat zijn de groepsnetwerkschijven. Hierin zitten mapjes waartoe alleen bepaalde medewerkers gemachtigd zijn. Sla het document in een passende onderliggende map op. Welke map dit precies moet zijn en wie er een machtiging mag hebben, bepaalt je afdeling.

    Het wordt afgeraden om documenten met persoonsgegevens op te slaan in:

    • De schijven van je laptop of computer
    • Google Drive, Dropbox of andere clouddiensten
    • Een usb-stick of externe harde schijf
    • Je persoonlijke computer, laptop of smartphone. Indien dat niet voorkomen kan worden, zorg er dan voor dat je apparaat met gebruikersnaam en wachtwoord beveiligd is, of overleg met afdeling ICT over alternatieve oplossingen.

    Is de bewaartermijn van persoonsgegevens verstreken of zijn de gegevens niet meer noodzakelijk voor het doel? Dan moeten de gegevens vernietigd worden. Denk bijvoorbeeld aan gegevens over loonbeslag als het loonbeslag is opgeheven. Vernietiging moet gebeuren onder controle van de HdK. Vernietigen houdt in dat de gegevens niet langer meer bestaan of niet langer meer bestaan in een bruikbare vorm. De AVG stelt geen extra vereisten aan het vernietigen van persoonsgegevens.

    In de centrale applicaties als Osiris en ADP kan dit automatisch worden ingesteld. Voor de persoonlijke of gedeelde schijven of e-mail is dat lastiger. Controleer eens per jaar of er documenten zijn met ‘verlopen’ persoonsgegevens die kunnen worden verwijderd.

    De bewaartermijnen die gelden binnen de HdK staan vermeld in dit document:
    [intranet KC en intranet KABK]

    Dit is afhankelijke van de gevoeligheid van de persoonsgegevens. Voor het intern delen van gegevens zijn de netwerkschijven een veilige manier. Je kan daarin een document zetten (als alleen leesbaar) en is alleen toegankelijk voor een specifiek persoon of groep. Het bestand blijft alleen daar staan en wordt na een afgesproken termijn verwijderd.

    Voor het extern delen van persoonsgegevens zal je eerst heel goed moeten afstemmen of de gegevens wel gedeeld mogen worden. De reden ‘we doen dit al jaren zo’ is geen richtlijn meer. Indien gegevens gedeeld mogen worden, dan zou dit middels wachtwoordbeveiliging, anoniem of gepseudonimiseerd kunnen.

    De eerste medewerker (verwerker) bepaalt wat de andere medewerker of derde partij met de gedeelde persoonsgegevens mag doen. Kan hij dit niet waarborgen, dan deel je de persoonsgegevens niet. Van tevoren dient te worden nagedacht wie toegang mag hebben tot de persoonsgegevens. Er moet controle (grip) blijven bestaan over de persoonsgegevens. Ook als de gegevens binnen de HdK worden gedeeld.

    Jij als eerste verwerker bepaalt wat een externe derde partij met de gedeelde persoonsgegevens mag doen. Kan de partij dit niet waarborgen, dan deel je de persoonsgegevens niet. Van tevoren dient te worden nagedacht wie toegang mag hebben tot de persoonsgegevens. Er moet controle (grip) blijven bestaan over de persoonsgegevens, ook als de gegevens binnen de HdK worden gedeeld.

    Achtergrondinformatie

    Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG) . De AVG gaat ervan uit dat je eigenaar bent van je eigen persoonsgegevens . De wet bevat artikelen die betrekking hebben op het veilig omgaan met die gegevens. De HdK maakt vooral gebruik van persoonsgegevens van studenten en medewerkers. Omdat deze persoonsgegevens ‘eigendom’ zijn van anderen, moet ook de HdK aan de AVG voldoen en kunnen aantonen dat er maatregelen zijn getroffen om die privacy te beschermen.

    De AVG-cyclus
    Persoonsgegevens worden verwerkt in processen en systemen. Omdat persoonsgegevens eigendom zijn van anderen, mag de HdK alleen persoonsgegevens verwerken als dat (zogeheten) rechtmatig is. Wat een handeling rechtmatig maakt, staat beschreven in de artikelen 5 tot en met 11 van de AVG (zie links onderaan deze pagina). De HdK dient veilig om te gaan met persoonsgegevens en passende beveiligingsmaatregelen te treffen.

    Meldplicht datalekken
    Gaat er toch iets mis in de beveiliging van persoonsgegevens, dan wordt van de HdK verwacht dat ze de betrokkenen informeert. Hiervoor is de meldplicht datalekken in de wet opgenomen.

    Meer rechten
    Onder de AVG krijgen personen meer en verbeterde privacyrechten, zoals het recht op inzage, wijziging en verwijdering van gegevens. Maar ook het recht om persoonsgegevens te ontvangen die de HdK van hen bewaart. Personen die hierom verzoeken ontvangen hun geregistreerde persoonsgegevens op een dusdanige wijze dat ze deze kunnen meenemen naar een (mogelijk) andere aanbieder van diensten. Dat noemen we dataportabiliteit.

    Verwerkingsregister
    Het hart van de wetgeving is het verwerkingsregister [intranet KC en Intranet KABK]. De HdK heeft een actueel overzicht van welke persoonsgegevens ze verwerkt. Omdat de HdK weet welke gegevens zij verwerkt en met welk doel, kan zij goed omgaan met die persoonsgegevens.

    Verwerkersovereenkomst
    De HdK verwerkt persoonsgegevens soms met de medewerking van externe partijen. Denk hierbij bijvoorbeeld aan onderwijssystemen. Ook dan is de HdK verantwoordelijk voor de juiste verwerking van die persoonsgegevens. Een verwerkingsovereenkomst legt de afspraken, verantwoordelijkheden en processen tussen de HdK en een externe partij vast. Als gegevens door de externe partij worden verwerkt, wordt degene van wie de persoonsgegevens zijn hierover vooraf geïnformeerd.

    Privacy Impact Assessment
    De HdK is ervoor verantwoordelijk dat de mogelijke privacyrisico’s in kaart zijn gebracht voordat ze aan een verwerking begint. Zodat ze tijdig maatregelen kan treffen. Het in kaart brengen van die privacyrisico’s kan met behulp van een PIA : een Privacy Impact Assessment [intranet KC en intranet KABK]. Soms is het uitvoeren van een PIA verplicht.

    Toezicht en naleving
    De overige artikelen van de wet hebben te maken met toezicht op de naleving van de wet. Ze gaat ervan uit dat de veiligheid van persoonsgegevens beter geborgd is als de HdK zich aansluit bij gedragscodes of certificerende organen. Ook beschrijft de wet de Autoriteit Persoonsgegevens als externe toezichthouder, inclusief haar rechten en mogelijkheid tot sancties. Bovendien kan de wet een interne toezichthouder verplichten: de functionaris voor de gegevensbescherming (FG). De Hogeschool der Kunsten Den Haag heeft een Functionaris Gegevensbescherming die erop toeziet dat de verwerking van persoonsgegevens door de HdK gebeurt in overeenstemming met de AVG. De FG van de HdK is aangemeld bij de Autoriteit Persoonsgegevens. De wettelijke taken en bevoegdheden geven deze functionaris een onafhankelijke rol binnen HdK. De rol van FG wordt bijgestaan door de Informatie Privacy Officer (IPO). [Meer info intranet KC en intranet KABK].

    Het Informatiebeveiliging en Privacy-team (IBP-team) ziet toe op processen, gewoontes, beleid, wetten en regels omtrent privacy en informatiebeveiliging binnen de Hogeschool der Kunsten. Binnen de Hogeschool der Kunsten (HdK) zal het IBP-team het privacybeleid richting geven en toezien op naleving. Het IBP-team brengt wanneer nodig advies uit aan het College van Bestuur (CvB) en de Functionaris voor de Gegevensbescherming (FG). Het CvB is eindverantwoordelijk voor de borging en uitvoering van het IBP-beleid.

    In het IBP-team zijn de voornaamste gebruikersgroepen vertegenwoordigd. In het overleg valideert het IBP-team de voortgang, naleving, bewustwording en aanvullend te nemen acties.

    Het IBP-team is te bereiken per email: privacy@hdkdenhaag.nl

    Het team bestaat uit de volgende rollen:

    • Hoofd ICT (voorzitter IBP-team)
    • Adjunct-Directeur Bedrijfsvoering Koninklijk Conservatorium (KC)
    • Hoofd bedrijfsvoering Koninklijk Academie voor Beeldende Kunsten (KABK)
    • Hoofd Personeel & Organisatie (P&O)
    • Hoofden Marketing & Communicatie (KC & KABK)

    Op uitnodiging breidt het team uit met:

    • College van Bestuur van de Hogeschool der Kunsten
    • Functionaris gegevensbescherming (FG)
    • Afdelingshoofden en andere leidinggevenden

    Onderwerpen waar het IBP-team zich mee bezig houdt, zijn het:

    • registreren van en maatregelen nemen ter voorkoming van datalekken ;
    • bijhouden van verwerkingsregisters ;
    • toezicht houden op verwerkersovereenkomsten ;
    • aanpassen van protocollen;
    • beoordelen van nieuwe initiatieven en projecten waar de verwerking van persoonsgegevens (en de beveiliging er van) een rol speelt;
    • nastreven van toenemende bewustwording rond privacy onder personeel en studenten.

    Bescherming van privacy heeft te maken met persoonsgegevens. Met gegevens die direct over iemand gaan of die naar een persoon te herleiden zijn. Bij de HdK zijn dat met name gegevens van studenten en onze interne en externe medewerkers.

    Er zijn vele soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers, studentnummers, postcodes met huisnummers, IP-adressen en foto’s zijn persoonsgegevens.

    Welke persoonsgegevens en welke bijzondere persoonsgegevens de HdK verwerkt van medewerkers en studenten, is vastgelegd in privacyreglementen:

    Andere persoonsgegevens dan hierin vermeld, verwerkt de HdK niet en mag jij dus ook niet verwerken . Ben je van mening dat je toch andere persoonsgegevens nodig hebt om je werk te kunnen uitvoeren, neem dan contact op via privacy@hdkdenhaag.nl.

    Gevoelige gegevens zoals iemands etniciteit, godsdienst of gezondheid worden bijzondere persoonsgegevens genoemd. Deze zijn door de wetgever extra beschermd. Over het algemeen geldt dat de HdK geen wettelijke grondslag heeft om bijzondere persoonsgegevens te verwerken. Alleen bij bepaalde gevallen is het toegestaan om bijvoorbeeld medische gegevens te verwerken. Er zijn uitzonderingen; wanneer het doel van de verwerking gerechtvaardigd is, is de verwerking van bepaalde gegevens bij inschrijfverplichtingen en/of verwerkingen voor de afdeling P&O of de opleiding toegestaan.

    Onder bijzondere persoonsgegevens vallen iemands

    • godsdienst of levensovertuiging
    • etniciteit
    • politieke voorkeur
    • gezondheid
    • seksuele geaardheid
    • lidmaatschap van een vakvereniging
    • strafrechtelijke gegevens
    • overige gegevens die kunnen leiden tot stigmatisering, uitsluiting of identiteitsfraude

    Bijzondere persoonsgegevens zijn bijvoorbeeld ook persoonsgegevens waaruit blijkt dat een medewerker zich vaak ziek meldt of persoonsgegevens van een student die zich inschrijft voor een faalangsttraining.

    Welke (bijzondere) persoonsgegevens de HdK verwerkt van medewerkers en studenten, is vastgelegd in privacyreglementen:

    Andere persoonsgegevens dan hierin vermeld, verwerkt de HdK niet en mag jij dus ook niet verwerken. Ben je van mening dat je toch andere persoonsgegevens nodig hebt om je werk te kunnen uitvoeren of twijfel je over de gegevens die jij verwerkt, neem dan contact door een e-mail te sturen naar privacy@hdkdenhaag.nl

    [Persoonsgegevens categorisatie op intranet KC en intranet KABK]

    Meer informatie over persoonsgegevens.

    Actuele tips en aandachtspunten

    We vragen je voor communicatie met collega’s of studenten elkaars @koncon.nl account te gebruiken. Het gebruik van (of doorsturen naar) privé e-mailadressen is volgens de privacy richtlijnen van de Hogeschool niet toegestaan. Je @koncon.nl e-mail is te koppelen aan je huidige e-mailprogramma, direct te benaderen via outlook.office.com, of onderweg te gebruiken met de mobiele app voor iOS of Android.

    Onder de verzamelnaam ‘Microsoft365’ zijn vele online diensten beschikbaar als Teams, Word, Excel, Powerpoint, Onedrive en meer, welke je vindt via portal.office.com.

    Mocht je problemen ervaren met je account, stel dan je hulpvraag aan ict@hdkdenhaag.nl.

    Het gebruik van (bijvoorbeeld) Whatsapp of Facebook voor 1 op 1 contact of groepscommunicatie willen we ontmoedigen. De uitwisseling van persoonsgegevens van studenten, docenten en stafleden mag simpelweg niet buiten de door het KC aangeboden digitale omgeving plaatsvinden volgens Europees privacyrecht. Door studenten te vragen in een andere omgeving dan Microsoft365 deel te nemen, vragen wij van hen dat zij daar accounts aanmaken en dat mogen we hen niet vragen. Is er een absolute noodzaak om online diensten te gebruiken die niet binnen Microsoft365 worden aangeboden, overleg dit dan met privacy@hdkdenhaag.nl.

    Als je als docent of stafmedewerker persoonsgegevens van studenten wilt inzien, gebruik dan in eerste instantie Osiris. Mocht je hiertoe geen toegang hebben, informeer dan naar de mogelijkheden bij je afdelingshoofd of coördinator. Als je toch persoonsgegevens moet opvragen of delen via de e-mail, volg dan deze stappen:

    1. Zet de gegevens niet direct in een e-mail (deze gegevens blijven dan mogelijk lang bewaard in de mailbox van de ontvanger, wat niet is toegestaan).
    2. Maak een nieuw Excel overzicht aan door te surfen naar excel.office.com, log in met je @koncon.nl account en selecteer ‘nieuw formulier’. Eenmaal aangemaakt en de te delen gegevens ingevoerd, klik dan rechtsboven in de Excel op ‘delen’. Je kunt dan ontvangers selecteren binnen en ook buiten de organisatie en bepalen of zij alleen de gegevens mogen ‘lezen’ of ook ‘bewerken’. Beperk de te delen persoonsgegevens alleen tot die gegevens die voor het doel ook echt nodig zijn.
    3. Op ieder moment kan je de gedeelde toegang intrekken, wat uiteraard ook gebeurt als je het bestand verwijdert. Hiermee bepaal je zelf wie toegang heeft en wie niet.

    Vermijd het printen van sheets met persoonlijke informatie. Mocht het toch nodig zijn, converteer ze dan na ontvangst naar het juiste digitale platform (binnen de online KC omgeving) en gebruik daarna een papierversnipperaar. Er zijn vrijstellingen met betrekking tot (bijvoorbeeld) tentamen- en portfoliomateriaal dat gearchiveerd dient te worden. Raadpleeg bij twijfel uw afdeling.

    Om diensten te gebruiken als Word, Excel, Powerpoint en meer surf je naar portal.office.com en log je in met je @koncon account en wachtwoord. Je kunt dan via de browser of via te installeren programma’s de diensten gebruiken.

    Mogelijk zijn bovengenoemde programma’s al op je computer geïnstalleerd. Je kunt er dan voor kiezen om in deze programma’s in te loggen met je @koncon.nl, zodat je kunt samenwerken in bestanden met studenten of collega’s van het KC.

    Alle online diensten die binnen de Hogeschool worden gebruikt zijn te vinden via start.hdk.nl.

    Beschik je niet (meer) over de inloggegevens, herstel deze dan via start.hdk.nl. Op deze webpagina kan je ook doorklikken naar Osiris Docent, Asimut en andere software die door het KC wordt ondersteund.

    In Teams is het mogelijk zogeheten tags aan te maken en aan personen te koppelen, zodat het mogelijk is in één keer een groep studenten of docenten te bereiken, ongeacht al bestaande lesgroepen of Team samenstellingen. Bekijk hier de uitleg.