De Europese wetgever eist dat een organisatie die gegevens over iemand verzamelt daarmee een verantwoordelijkheid op zich neemt en daarover verantwoording kan afleggen.

Verantwoording afleggen gebeurt bijvoorbeeld door het bijhouden van een administratie waarin het privacy-beleid en de daarbij gemaakte keuzes vastgelegd zijn. Hierover vind je op deze pagina meer informatie.

Een van de plichten om te voldoen aan de privacyregels is het hebben en onderhouden van een centraal verwerkingsregister. Hierin staat informatie over de persoonsgegevens die de HdK verwerkt.

Bij de HdK is de verwerking van persoonsgegevens altijd gekoppeld aan een specifiek doel en gebaseerd op één of meer van de wettelijke grondslagen. Een goede balans tussen het belang van de HdK om persoonsgegevens te verwerken enerzijds en het belang van betrokkene om in een vrije omgeving eigen keuzes te maken met betrekking tot het gebruik van zijn/haar persoonsgegevens, is essentieel. Bij alle verwerkingen van persoonsgegevens op basis van toestemming kunnen betrokkenen te allen tijde hun toestemming herzien.

Doelbepaling en doelbinding
Persoonsgegevens worden alleen gebruikt voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Deze doeleinden zijn concreet en voorafgaand aan de verwerking vastgesteld. Persoonsgegevens worden niet verder verwerkt op een manier die onverenigbaar is met de doelen waarvoor ze zijn verkregen.

Verwerking van persoonsgegevens is gebaseerd op een van de zes wettelijke grondslagen.

  • Wettelijke bepaling
    Soms bestaat er een wettelijke verplichting op basis waarvan persoonsgegevens moeten worden verwerkt. Die verplichtingen staan dan in een andere wet, bijvoorbeeld de 'Wet op hoger onderwijs en wetenschappelijk onderzoek'.
  • Contract of overeenkomst
    Deze grondslag maakt verwerking van persoonsgegevens mogelijk wanneer dat nodig is voor de uitvoering van de overeenkomst. Het gaat dan uiteraard om een overeenkomst waarbij de betrokkene (de persoon waarvan de persoonsgegevens zijn) partij is.
  • Vitaal belang
    Om de vitale belangen van een natuurlijk persoon te kunnen beschermen, mogen de persoonsgegevens worden verwerkt. Echter alleen als de verwerking noodzakelijk is om die vitale belangen te kunnen beschermen.
  • Gerechtvaardigd belang
    Het gerechtvaardigd belang is vooral een belangenafweging. De verwerking moet noodzakelijk zijn voor de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde, tenzij de privacybelangen van de betrokkene zwaarder wegen. Hierbij moet bijvoorbeeld rekening worden gehouden met de vraag in hoeverre de betrokkene had mogen verwachten dat de verwerking plaats zou vinden en met welk doel.
  • Algemeen Belang
    Als er een taak van algemeen belang moet worden vervuld waarvoor de verwerking van persoonsgegevens noodzakelijk is, dan mogen de persoonsgegevens worden verwerkt. Dit geldt ook voor taken in het kader van de uitoefening van het openbaar gezag die aan de verwerkersverantwoordelijke zijn opgedragen.
  • Toestemming van betrokkene
    Toestemming kan worden gegeven door een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting. De toestemming moet uitdrukkelijk zijn. Stilzwijgende toestemming is niet voldoende.

Het centraal verwerkingsregister van de HdK is een overzicht van alle verwerkingen van persoonsgegevens binnen de HdK en wordt beheerd door het IBP-team en de Privacy Officer.

Een actueel verwerkingsregister is een plicht vanuit de Europese privacywetgeving. Maar het is ook van belang om zelf inzicht te hebben in alle activiteiten waar de HdK persoonsgegevens voor gebruikt.

De Hogeschool der Kunsten moet een zogeheten wettelijke grondslag hebben om persoonsgegevens te verwerken . Daarom is het verplicht om vooraf inzicht te hebben in het type persoonsgegevens dat wordt verwerkt en wie binnen of buiten de HdK deze gegevens kan verwerken.

De kenmerken, vastgelegd door de HdK, om een handeling of proces met persoonsgegevens toe te voegen aan het verwerkingsregister zijn:

  • om welke persoonsgegevens het gaat
  • op wie die gegevens betrekking hebben
  • welke juridisch grondslag er is om de verwerking te mogen uitvoeren
  • welke doeleinden van toepassing zijn
  • welke bewaartermijnen gelden
  • welke technische en organisatorische maatregelen er getroffen zijn

Heb je een vraag over het verwerkingsregister, wil je een verwerking in het register inzien of wil je een verwerking toevoegen, neem dan contact op met via privacy@hdkdenhaag.nl.

Een bepaalde verwerking kan wijzigen. Het proces kan veranderen of het doel van de verwerking wijzigt. De verwerking van de persoonsgegevens kan ook door een ander systeem worden uitgevoerd of een andere partij gaat een deel van de verwerking voor de HdK uitvoeren.

In al deze gevallen is er sprake van een wijziging van de verwerking en deze moet worden gewijzigd in het verwerkingsregister. De Europese privacywetgeving verplicht de HdK om het verwerkingsregister actueel te houden.

Wil je een verwerking in het verwerkingsregister wijzigen, neem dan contact op via privacy@hdkdenhaag.nl.

De Hogeschool der Kunsten kan verplicht zijn om een Privacy Impact Assessment (PIA) uit te voeren. Dat is een instrument om vooraf de privacy-risico’s van een gegevensverwerking in kaart te brengen. Hieruit kunnen maatregelen worden genomen om de risico’s te verkleinen.

Een PIA stimuleert om op tijd na te denken over vragen als:

  • wat is de impact van de verwerking op de privacy van de betrokkenen, de mensen van wie je persoonsgegevens verwerkt?
  • wat zijn de risico’s voor de betrokkenen en voor de HdK?
  • is er, gegeven de doelstellingen van de verwerking, ook een aanpak mogelijk die minder gevolgen heeft voor de privacy?

Een PIA moet altijd worden gedaan zodra in het proces of systeem bijzondere persoonsgegevens worden verwerkt.

Denk je dat er een PIA moet worden uitgevoerd, neem dan contact op via privacy@hdkdenhaag.nl.

Bekijk hier het PIA document [intranet KC en intranet KABK].

Met de komst van de AVG hebben betrokkenen ook meer rechten gekregen om inzicht te krijgen in welke gegevens de Hogeschool der Kunsten van hen verwerkt . Betrokkenen in de context van de Hogeschool der Kunsten zijn onder andere (oud-)studenten, (oud-)scholieren en hun ouders en natuurlijk (oud-)medewerkers.

Alle verzoeken worden op wettigheid en redelijkheid getoetst.

Deze rechten omvatten verzoeken tot:

  • Inzage
    Betrokkene heeft recht op inzage in de gegevens die de school bewaart over betrokkene en eventueel minderjarig kind. Onder het inzagerecht vallen alle persoonsgegevens die door de Hogeschool der Kunsten worden verwerkt. Bijvoorbeeld gegevens die worden verzameld, vastgelegd, geordend, bewaard of gebruikt. Betrokkene kan bijvoorbeeld het volledige dossier opvragen.
  • Kopie
    Betrokkenen hebben naast inzage ook recht op een kopie van het gehele dossier. De HdK moet dit digitaal of op papier verschaffen als betrokkene daarom vraagt. Het niet verschaffen van een kopie is in strijd met de AVG. De hogeschool mag in bepaalde gevallen kopieerkosten in rekening brengen.
  • Correctie en aanvulling
    Betrokkenen hebben het recht om hun dossier te laten corrigeren. Aantoonbaar onjuiste informatie moet de HdK bij bewijs daarvan aanpassen, verbeteren of verwijderen. Is betrokkene het niet eens met wat de HdK in het dossier vermeldt, maar kan hij of zij niet bewijzen dat het niet waar is? Dan heeft betrokkene altijd de mogelijkheid om zijn zienswijze te laten toevoegen.
  • Wissen van gegevens
    In sommige situaties moet de HdK gegevens wissen als betrokkene daarom vraagt. Het gaat dan om de volgende gegevens:
    • Gegevens die niet meer nodig zijn. Het bewaren van de gegevens die geen doel meer hebben. Bijvoorbeeld de uitkomst van een verlopen test of een studentenlijst met telefoonnummers. Maar ook beoordelingsgesprekken van medewerkers die al langer niet meer werkzaam zijn bij de HdK.
    • Betrokkene heeft toestemming ingetrokken. Betrokkene heeft bijvoorbeeld toestemming gegeven om foto’s op facebook te plaatsen, maar wilt dat niet meer. Dan moet de HdK de foto’s verwijderen.
    • Betrokkene maakt bezwaar tegen de verwerking. Als betrokkene het bijvoorbeeld niet eens is met cameratoezicht. De school moet de gegevens wissen als rechten van betrokkene zwaarder wegen dan het belang van de HdK.
    • De gegevens worden onrechtmatig verwerkt. De HdK mag de gegevens niet verwerken, omdat er bijvoorbeeld geen grondslag is voor verwerking.
    • De wettelijk bepaalde bewaartermijn is verstreken.
    • Gegevens die via een app of website zijn verzameld over een kind jonger dan 16 jaar.
  • Overdragen van gegevens
    Betrokkene heeft het recht om digitaal bewaarde gegevens over te dragen aan een andere school of organisatie. Betrokkene mag ook van de HdK vragen om de gegevens direct over te dragen. De informatie moet gestructureerd en duidelijk zijn en moet makkelijk te verwerken zijn door de andere organisatie.
  • Zeggenschap over gegevens
    Betrokkene mag de HdK vragen om gegevens te bewaren. Het gaat dan om gegevens die nodig zijn voor een rechtsvordering of omdat betrokkene ze later op wil kunnen vragen. Betrokkene mag ook aan de HdK vragen om tijdelijk geen gegevens te verwerken als hij of zij gevraagd heeft om een aanpassing. De HdK moet dan eerst controleren of zijn of haar gegevens kloppen.
  • Bezwaar
    Wil betrokkene niet dat de HdK bepaalde gegevens verwerkt? Dan kan betrokkene bezwaar maken. De HdK moet dan een nieuwe afweging maken tussen de privacybelangen van betrokkene en de belangen van de school. In de tussentijd mogen geen gegevens worden verwerkt. Dit geldt niet voor gegevens die de school volgens de wet moet verwerken. De HdK is ook verantwoordelijk voor gegevens die aan derde partijen zijn verstrekt. Worden er gegevens gewist? Dan moet de HdK ervoor zorgen dat deze gegevens ook daar worden gewist.

Als betrokkene gebruik wil maken van zijn rechten vraagt betrokkene dit schriftelijk aan via privacy@hdkdenhaag.nl. Verzoeken worden bijgehouden in een centraal register.


Binnen een maand moet de Hogeschool der Kunsten aan het verzoek voldoen. Als het erg ingewikkeld is om dit binnen een maand te doen, mag deze termijn bij uitzondering één keer worden verlengd met twee maanden. Daarvan krijgt betrokkene dan binnen een maand bericht. Weigert HdK het verzoek? Dan krijgt betrokkene een brief met daarin de reden van weigering.

Kosten
In principe vraagt de HdK geen geld voor een verzoek om bijvoorbeeld een kopie, aanpassing of het wissen van informatie. Dit mag alleen als het verzoek ongegrond of buitensporig is. Dit kan het geval zijn als betrokkene bijvoorbeeld elke week om een correctie vraagt of wanneer het heel ingewikkeld of duur is om een kopie te maken. In dat geval mag de HdK een redelijke vergoeding vragen of het verzoek weigeren.

16 jaar en ouder
Genoemde rechten rondom het (student/medewerker-)dossier zijn in beginsel rechten van de student/medewerker zelf. Voor scholieren onder de 16 jaar treden ouders op als wettelijk vertegenwoordiger. Dat betekent dat een scholier vanaf 16 jaar zelf mag beslissen over zijn (leerling-)dossier en dus ook zelf inzage hoort te vragen. De ouder kan alleen met toestemming van de leerling zelf over het gehele dossier beschikken. De HdK heeft wel de plicht, op basis van de Wet Voortgezet Onderwijs, om ouders op de hoogte te stellen over de studievoortgang van hun kind zolang deze minderjarig is, dus tot hun kind 18 jaar is.