Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG) . De AVG gaat ervan uit dat je eigenaar bent van je eigen persoonsgegevens . De wet bevat artikelen die betrekking hebben op het veilig omgaan met die gegevens. De HdK maakt vooral gebruik van persoonsgegevens van studenten en medewerkers. Omdat deze persoonsgegevens ‘eigendom’ zijn van anderen, moet ook de HdK aan de AVG voldoen en kunnen aantonen dat er maatregelen zijn getroffen om die privacy te beschermen.

De AVG-cyclus
Persoonsgegevens worden verwerkt in processen en systemen. Omdat persoonsgegevens eigendom zijn van anderen, mag de HdK alleen persoonsgegevens verwerken als dat (zogeheten) rechtmatig is. Wat een handeling rechtmatig maakt, staat beschreven in de artikelen 5 tot en met 11 van de AVG (zie links onderaan deze pagina). De HdK dient veilig om te gaan met persoonsgegevens en passende beveiligingsmaatregelen te treffen.

Meldplicht datalekken
Gaat er toch iets mis in de beveiliging van persoonsgegevens, dan wordt van de HdK verwacht dat ze de betrokkenen informeert. Hiervoor is de meldplicht datalekken in de wet opgenomen.

Meer rechten
Onder de AVG krijgen personen meer en verbeterde privacyrechten, zoals het recht op inzage, wijziging en verwijdering van gegevens. Maar ook het recht om persoonsgegevens te ontvangen die de HdK van hen bewaart. Personen die hierom verzoeken ontvangen hun geregistreerde persoonsgegevens op een dusdanige wijze dat ze deze kunnen meenemen naar een (mogelijk) andere aanbieder van diensten. Dat noemen we dataportabiliteit.

Verwerkingsregister
Het hart van de wetgeving is het verwerkingsregister [intranet KC en Intranet KABK]. De HdK heeft een actueel overzicht van welke persoonsgegevens ze verwerkt. Omdat de HdK weet welke gegevens zij verwerkt en met welk doel, kan zij goed omgaan met die persoonsgegevens.

Verwerkersovereenkomst
De HdK verwerkt persoonsgegevens soms met de medewerking van externe partijen. Denk hierbij bijvoorbeeld aan onderwijssystemen. Ook dan is de HdK verantwoordelijk voor de juiste verwerking van die persoonsgegevens. Een verwerkingsovereenkomst legt de afspraken, verantwoordelijkheden en processen tussen de HdK en een externe partij vast. Als gegevens door de externe partij worden verwerkt, wordt degene van wie de persoonsgegevens zijn hierover vooraf geïnformeerd.

Privacy Impact Assessment
De HdK is ervoor verantwoordelijk dat de mogelijke privacyrisico’s in kaart zijn gebracht voordat ze aan een verwerking begint. Zodat ze tijdig maatregelen kan treffen. Het in kaart brengen van die privacyrisico’s kan met behulp van een PIA : een Privacy Impact Assessment [intranet KC en intranet KABK]. Soms is het uitvoeren van een PIA verplicht.

Toezicht en naleving
De overige artikelen van de wet hebben te maken met toezicht op de naleving van de wet. Ze gaat ervan uit dat de veiligheid van persoonsgegevens beter geborgd is als de HdK zich aansluit bij gedragscodes of certificerende organen. Ook beschrijft de wet de Autoriteit Persoonsgegevens als externe toezichthouder, inclusief haar rechten en mogelijkheid tot sancties. Bovendien kan de wet een interne toezichthouder verplichten: de functionaris voor de gegevensbescherming (FG). De Hogeschool der Kunsten Den Haag heeft een Functionaris Gegevensbescherming die erop toeziet dat de verwerking van persoonsgegevens door de HdK gebeurt in overeenstemming met de AVG. De FG van de HdK is aangemeld bij de Autoriteit Persoonsgegevens. De wettelijke taken en bevoegdheden geven deze functionaris een onafhankelijke rol binnen HdK. De rol van FG wordt bijgestaan door de Informatie Privacy Officer (IPO). [Meer info intranet KC en intranet KABK]

Met vragen, opmerkingen of zorgen omtrent privacy kan je intern terecht via: privacy@hdkdenhaag.nl.

Mocht je via deze weg geen gehoor vinden of direct in contact willen komen met de externe Functionaris Gegevensbescherming, dan kan dat via: fg@hdkdenhaag.nl.

Het Informatiebeveiliging en Privacy (IBP) team draagt de verantwoordelijkheid voor het privacybeleid en bewustwording hierover onder medewerkers en studenten, en is bereikbaar via e-mail: privacy@hdkdenhaag.nl.

Voor dringende beveiligingslekken, zoals phishing, kan je mailen met: ict@hdkdenhaag.nl.