Veel medewerkers van de HdK verwerken persoonsgegevens van studenten en zijn daarmee verwerkers. De onderstaande tekst geldt voor algemene verwerkingen, niet voor specifieke handelingen.

Meer informatie vind je in het privacyreglement [intranet KCen intranet KABK].

Lees ook Werken met persoonsgegevens.

Gegevens zijn persoonsgegevens als ze herleidbaar zijn naar een natuurlijk persoon, in dit geval de student. Ook als je een gegeven relatief eenvoudig kan herleiden door een combinatie te maken met een ander bronbestand. Een voorbeeld is het studentnummer. Het nummer op zichzelf zou geen persoonsgegeven zijn, ware het niet dat je binnen de HdK-systemen makkelijk combinaties kunt maken van studentnummer en namen, waardoor de individuele studenten te herleiden zijn.

Gegevens van studenten verwerken mag uitsluitend om:

  • aanmeldingen voor opleidingen, cursussen of bijeenkomsten te verwerken;
  • studenten te werven en te selecteren;
  • studieresultaten, studieadvies, studievoortgang, studiebegeleiding, studieondersteuning en daaraan gerelateerde informatie te registreren en te verwerken;
  • onderwijs te geven;
  • leermiddelen te verstrekken en leermiddelen of faciliteiten ter beschikking te stellen;
  • collegegelden te berekenen, vast te leggen en te innen;
  • studenten en hun (afstudeer)werk te publiceren en te promoten;
  • accreditaties te faciliteren;
  • geschillen te behandelen;
  • accountantscontroles uit te oefenen;
  • kwaliteit van het onderwijs te onderzoeken, evalueren en te verbeteren;
  • gezondheid, veiligheid en beveiliging te borgen;
  • organisatie-analyses en managementrapportages op te stellen.


    Om te weten of je gegevens mag verwerken, moet je eerst vaststellen om welke soort persoonsgegevens het gaat. Bijzondere persoonsgegevens mag je niet verwerken tenzij er een grondslag voor is.

    Onder bijzondere persoonsgegevens vallen iemands:

    • godsdienst of levensovertuiging
    • etniciteit
    • politieke voorkeur
    • gezondheid
    • seksuele leven
    • lidmaatschap van een vakvereniging
    • strafrechtelijke gegevens
    • overige gegevens die kunnen leiden tot stigmatisering, uitsluiting of identiteitsfraude

    Bij hoge uitzondering is het toegestaan om deze gegevens te verwerken. Bijvoorbeeld bij inschrijfverplichtingen. Je mag alleen persoonsgegevens van studenten verwerken die noodzakelijk zijn voor het goed uitvoeren van je rol of functie. Ook moet het doel van de verwerking gerechtvaardigd zijn.

    De student heeft altijd recht op inzage in de persoonsgegevens die van hem of haar zijn verwerkt. Behalve als het om een mailtje met persoonsgegevens van een student, tussen twee docenten betreft. Zolang de informatie in de mailbox zit, valt het niet onder het inzagerecht. Zodra het mailtje echter als upload wordt toegevoegd in bijvoorbeeld Osiris, SAP en/of CRM dan valt deze informatie wel onder het inzagerecht en moet de HdK deze op verzoek verstrekken.

    Dit soort mailtjes zijn erg risicovol. Als je al mailt, zorg dan dat je het bericht ook weer verwijderd. Sla het bericht niet ergens anders op als het niet de bedoeling is om te delen met de betrokkene. Het veiligste is om persoonlijk overleg te voeren zonder aantekeningen te maken.

    Een 'legitimatie kopie' vragen, maken of bewaren ter identificatie is niet toegestaan. Je mag wel noteren op basis waarvan geïdentificeerd is en het paspoort– of ID/BSN-nummer overnemen van een wettelijk en geldig legitimatiebewijs. De Rijksoverheid biedt een mobiele app die het mogelijk maakt een kopie te maken van je ID-bewijs en daarbij zaken uit te vlakken die je niet wenst te delen.

    De HdK vraagt geen VOG op voor studenten. Het opvragen van een VOG is verplicht binnen bepaalde branches en is de wettelijke verantwoordelijkheid van het stagebedrijf. Het stagebedrijf vraagt een VOG aan en de betreffende stagiair krijgt deze persoonlijk thuisgestuurd zodat deze het VOG kan laten zien aan het stagebedrijf.

    Bewaren is niet toegestaan. Het gaat hier namelijk om bijzondere persoonsgegevens.

    De HdK hoeft geen toestemming te vragen aan haar studenten voor het versturen van onderwijsinhoudelijke mailings. Studenten volgen onderwijs en zijn daarmee onze klanten.


    Wel heeft de HdK algemene gedragsregels opgesteld voor het versturen van mailings aan studenten:

    • Elke mail die je verstuurt heeft een duidelijk onderwerp;
    • Je mail is kort en zakelijk en je geeft helder aan wat je van de ontvanger verwacht;
    • Als de boodschap wat gevoelig ligt, kun je beter op een andere manier contact opnemen. Maak bijvoorbeeld een afspraak;
    • Je stuurt alleen een e-mail in CC als het absoluut noodzakelijk is. Je wilt bijvoorbeeld de ontvanger informeren, maar verwacht geen actie van hem of haar;
    • Je reageert niet op de CC-mail die je hebt ontvangen;
    • Je stuurt alleen een e-mail in BCC als je het mailadres van de geadresseerde wil afschermen;
    • Je reageert tijdig op ontvangen e-mails;
    • Je schoont je mailbox regelmatig op.

    Als je een mail verstuurt met persoonsgegevens, dan geeft de HdK het volgende advies:

    • Gebruik voor het delen van persoonsgegevens alleen e-mail als dat noodzakelijk is;
    • Deel bestanden intern zo veel mogelijk via netwerkschijven;
    • Collega’s van een andere afdeling kun je uitnodigen voor een gedeeld afdelingsmap op de s-netwerkschijf (dit loopt soms via ICT) of via een teamsite binnen Office 365.

    Net als van studenten mag je van aspirant-studenten alleen persoonsgegevens verwerken die noodzakelijk zijn voor het goed uitvoeren van je rol of functie. Ook moet het doel van de verwerking gerechtvaardigd zijn.

    Gegevensverwerking van aankomende studenten mag uitsluitend ten behoeve van:

    • de organisatie van onderwijs en het geven van onderwijs;
    • onderwijsbegeleiding en het geven van studieadvies;
    • het verstrekken of ter beschikking stellen van leermiddelen;
    • het berekenen, vastleggen en innen van collegegelden, waaronder het in handen van derden stellen van vorderingen;
    • het behandelen van geschillen en het uitoefenen van de accountantscontrole;
    • (onderzoek gericht op) de kwaliteitsverbetering in het onderwijs;
    • de uitvoering of toepassing van een wettelijke verplichting.

    Mailings
    Het verwerken van gegevens in het kader van intake en de organisatie van evenementen kan dus gerechtvaardigd zijn. Maar ga voor iedere mailing rondom intake en organisatie van evenementen na of ze vallen binnen de doelen zoals aangegeven bij het opvragen van de gegevens.

    Heeft de mailing een ander doel dan bovenstaande doelen, maak dan de afweging of de mailing noodzakelijk is. Is het niet noodzakelijk, verstuur de mailing dan niet. Is het wel noodzakelijk, vraag dan toestemming aan de aspirant-studenten.

    Overleg eerst met het IBP-team om te controleren of de mailing valt onder de wettelijke grondslag of een doel waarvoor al toestemming is gegeven door de aankomende student. Is dit niet het geval, dan kun je het toestemmingsformulier [intranet KCen intranet KABK] gebruiken om alsnog goedkeuring te krijgen.

    Na hun afstuderen nemen studenten geen producten of diensten van de HdK meer af en bestaan er geen klantrelaties meer. Vraag aan afstuderende studenten of zij in de toekomst mailings van de HdK willen blijven ontvangen. Alleen als de afgestudeerde student daarvoor toestemming geeft, mag de HdK de alumnus mailen. Als oud-studenten instemmen met het ontvangen van mailings van de HdK, moet dat worden vastgelegd in het toestemmingsregister. Als een oud-student zijn toestemming intrekt, mag deze ook geen mailing meer ontvangen.

    Voor het KC geldt dat mailings aan alumni alleen plaatsvinden via alumni.koncon.nl. Binnen dit platform kunnen alumni zichzelf inschrijven en aangeven welke mailings ze willen ontvangen. Alumni worden niet door het KC toegevoegd. Studenten ontvangen een uitnodiging voor het platform bij afstuderen.

    Voor de KABK geldt dat alumni zich kunnen inschrijven op de nieuwsbrief die via de website www.kabk.nl kunnen opgeven.

    HdK-studenten kunnen onderzoek uitvoeren in het kader van hun studie. Vaak willen zij daarvoor enquêtes uitzetten en benaderen docenten van andere opleidingen of zij studenten mogen benaderen met vragenlijsten.

    Verspreiding van een vragenlijst
    Het verspreiden van een vragenlijst is geen verwerking in de zin van de AVG . De data die studenten verzamelen gebruiken zij voor hun eigen onderzoek en niet voor de HdK. Wel heb je als docent of medewerker een filterfunctie in de zin dat je de vragenlijsten screent op noodzakelijkheid van de te stellen vragen. Het vragen van een naam is bijvoorbeeld vrijwel nooit noodzakelijk voor een onderzoek. Ook check je hoe vrijwillig het onderzoek is.

    Mailen van een vragenlijst
    Het versturen van een e-mail aan studenten waarmee je ze informeert over een onderzoek, is wel een verwerking in de zin van de AVG. Je gebruikt hierbij namelijk de e-mailadressen van studenten. Dit mag als:

    • het om een doelgroep gaat die relevant is voor het onderzoek
    • het binnen de onderwijsuitvoering valt

    Dan is toestemming van de student niet noodzakelijk, omdat het past binnen de normale omgang met studentengegevens.

    Het is veiliger om de enquêtes op een platform te plaatsen. Bijvoorbeeld EvaSys.

    Je mag bijvoorbeeld geen 'kopie diploma' verstrekken aan een derde partij die hierom vraagt, bijvoorbeeld in de afwikkeling van de emigratie van een ex-student.

    Je mag niet zomaar gegevens van studenten doorgeven aan een externe relatie. Dus ook geen ID-bewijzen. Maak altijd de afweging of gegevensverstrekking nodig is. En of je niet meer gegevens deelt dan strikt noodzakelijk is. Als een externe partij vraagt naar documentnummers van ID’s, ga je daar terughoudend mee om. Toets noodzaak en nut en breng de student op de hoogte van het feit dat je de gegevens voornemens bent te verstrekken. De student moet dan de mogelijkheid hebben om te zeggen dat hij of zij dat niet wilt.

    Voor een bedrijfsbezoek of excursie kun je bijvoorbeeld een namenlijst doorgeven, waarna de studenten zich apart legitimeren.

    Bij twijfel mail je naar privacy@hdkdenhaag.nl.

    Het is niet toegestaan om te vragen naar specifieke medische achtergronden, dieetwensen of geloofsuitingen. Wat wel is toegestaan om hier een gesloten vraag van te maken die met ja of nee is te beantwoorden. Indien een antwoord met ja wordt beantwoord, moet je apart contact opnemen om de details te vragen. Verwerk deze dan zorgvuldig en anoniem. Voor het doel, het organiseren van een activiteit, zijn alleen aantallen nodig. Specifieke vragen voor incidentele activiteiten mag wel, maar mogen niet worden afgedwongen en de gegevens moeten na afloop van de activiteit worden vernietigd.