Privacy regelement voor studenten en medewerkers
Vastgesteld door het College van Bestuur
Instemming van Ondernemingsraad op op 23 maart 2021
18 maart Instemming van Studentenraad
op 8 mei 2019 2021 Privacyreglement
Voorwoord
Wij bieden onze studenten een veilige leeromgeving en onze medewerkers een veilige werkplek. Een goede en zorgvuldige omgang met persoonsgegevens binnen onze organisatie is daarvoor een randvoorwaarde. De Algemene Verordening Gegevensbescherming (AVG) stelt eisen aan de omgang met persoonsgegevens. Met dit reglement beoogt het VISTA College ervoor te zorgen dat binnen alle organisatieonderdelen de verwerking van persoonsgegevens plaatsvindt volgens de AVG en de hierop gebaseerde uitvoeringswet AVG. Dit houdt onder andere in dat:
• de persoonlijke levenssfeer van betrokkene wordt beschermd tegen onrechtmatige verwerking en/of misbruik van zijn of haar persoonsgegevens, tegen verlies en tegen het verwerken van onjuiste gegevens;
• wordt voorkomen dat persoonsgegevens worden verwerkt voor een ander doel dan het doel waarvoor ze verzameld zijn;
• niet meer gegevens worden verzameld dan strikt noodzakelijk is, en
• de verwerkingen niet leiden tot een hoog risico voor de betrokkenen.
Het College van Bestuur zal in samenspraak met de Functionaris Gegevensbescherming passende maatregelen ten uitvoer leggen en verantwoording afleggen over het gevoerde beleid aan de betreffende medezeggenschapsorganen en aan de Raad van Toezicht.
Het College van Bestuur
Privacyreglement
1: Definities
a. AVG: Algemene Verordening Gegevensbescherming.
b. Bevoegd gezag: de Stichting BVE Zuid-Limburg, de verwerkingsverantwoordelijke in de zin van dit reglement.
c. Betrokkene: degene (een geïdentificeerde of identificeerbare natuurlijke persoon) op wie een persoonsgegeven betrekking heeft, al dan niet vertegenwoordigd door diens wettelijke vertegenwoordiger. Dit kunnen bijvoorbeeld zijn medewerkers, ingehuurde personen, studenten, bezoekers en externe relaties als opdrachtnemers en leveranciers van de Instelling.
d. Bijzonder persoonsgegevens: persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vak-bond blijken, genetische gegevens (DNA/RNA) of biometrische gegevens (bijv. foto's) met het oog op de unieke identificatie van een persoon, en gegevens over gezondheid, of iemands seksueel gedrag of seksuele gerichtheid.
e. Derde: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, de verwerkingsverantwoordelijke, de verwerker, of de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om persoonsgegevens te verwerken.
f. Minderjarige (in het kader van de AVG): een persoon die de leeftijd van 16 jaar nog niet heeft bereikt.
g. Persoonsgegevens: alle informatie over een betrokken geïdentificeerde of identificeerbare natuurlijke persoon ('de betrokkene'), zoals bijvoorbeeld naam, adres, geboortedatum, titel(s), geslacht, adres, telefoonnummer, e-mailadres, functie, personeelsnummer, gegevens betreffende het functioneren, gegevens betreffende arbeidsomstandigheden, medische rapportages, inhoud van e-mails, prestaties/cijfers, brieven, klachten, foto's, video's, IP-adressen, tracking cookies, loginnamen en wachtwoorden.
h. Verwerker: de natuurlijke persoon of rechtspersoon die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt, zoals bijvoorbeeld de leverancier van een leerlingvolgsysteem of leerling-administratiesysteem. Een verwerker heeft een uitvoerende taak, ten behoeve van de activiteiten van de verwerkingsverantwoordelijke.
i. Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, geautomatiseerd of handmatig, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in ver-band brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
j. Verwerkingsverantwoordelijke: de entiteit die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. In het kader van dit reglement is het bevoegd gezag, te weten Stichting VISTA college, vertegenwoordigd door het College van Bestuur, de verwerkingsverantwoordelijke.
k. VISTA college: de Stichting BVE Zuid-Limburg, bevoegd gezag.
l. Wettelijk vertegenwoordiger: degene die het ouderlijk gezag over een minderjarige uitoefent. Meestal zal dit een ouder zijn, maar het kan ook gaan om een voogd. Als een leerling 16 jaar of ouder is, beslist hij in voorkomende gevallen zelf over zijn privacy.
2: Reikwijdte en doelen
1. Dit reglement stelt regels over hoe het VISTA college omgaat met de verwerking van persoonsgegevens van alle betrokkenen bij het VISTA college.
2. Bij de verwerking van persoonsgegevens houdt het VISTA college zich aan de relevante wet- en regelgeving waaronder de AVG, de uitvoeringswet AVG en de onderwijswetgeving.
3. Het reglement heeft tot doel:
a. de persoonlijke levenssfeer van de betrokkenen te beschermen tegen verkeerd en onbedoeld gebruik van de persoonsgegevens;
b. vast te stellen met welk doel en op welke juridische grondslag persoonsgegevens binnen het VISTA college worden verwerkt;
c. te borgen dat persoonsgegevens binnen het VISTA college rechtmatig, transparant en behoorlijk worden verwerkt;
d. de rechten van betrokkenen vast te leggen en te borgen dat deze rechten door het VISTA college worden gerespecteerd.
3: Grondslag verwerking persoonsgegevens
Het VISTA college verwerkt persoonsgegevens alleen als aan een van onderstaande voorwaarden is voldaan:
a. De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan het VISTA college is opgedragen.
b. De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op het VISTA college rust.
c. De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is (bijvoorbeeld de arbeidsovereenkomst) of om op verzoek van de betrokkenen vóór de sluiting van een overeenkomst maatregelen te nemen.
d. De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van het VISTA college of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene zwaarder wegen, met name wanneer de betrokkene jonger dan 16 jaar is. In het kader van deze grondslag moet dus een belangenafweging plaatsvinden.
e. De verwerking noodzakelijk is om de vitale belangen van de betrokkenen of een ander natuurlijk persoon te beschermen.
f. De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden.
4: Doelen van de verwerking van persoonsgegevens
1. De verwerking van persoonsgegevens vindt plaatst voor:
a. het VISTA college zelf of het geven van het onderwijs, de begeleiding van studenten, het voorzien in hun (extra) ondersteuningsbehoefte of het geven van studieadviezen;
b. het verstrekken en/of ter beschikking stellen van leermiddelen;
c. het bewaken van de veiligheid binnen de scholen en het beschermen van eigendommen van medewerkers, studenten en bezoekers;
d. het bekend maken van informatie over het VISTA college en leermiddelen als bedoeld, onder a en b en van informatie over de studenten op de eigen website;
e. het bekend maken van de activiteiten van het VISTA college, bijvoorbeeld op de website van het VISTA college of in brochures, de studiegids of via social media;
f. het berekenen, vastleggen en innen van inschrijvingsgelden, school- en lesgelden en bijdragen of vergoedingen voor leermiddelen en buitenschoolse activiteiten, waaronder begrepen het in handen van derden stellen van vorderingen;
g. het aanvragen van bekostiging, het behandelen van geschillen daarover en het uitoefenen van accountantscontrole;
h. het onderhouden van contacten met oud-studenten;
i. het aangaan en uitvoeren van arbeidsovereenkomsten, samenwerkingsrelaties met opdrachtnemers en contracten met leveranciers;
j. de uitvoering of toepassing van wet- en regelgeving;
k. het uitvoeren van bedrijfsprocessen;
l. voeren van juridische procedures waarbij het VISTA college betrokken is.
2. Het VISTA college mag ook persoonsgegevens verwerken voor doelen die verenigbaar zijn met de doelen zoals beschreven in lid 1. Per geval zal worden getoetst of dit in overeenstemming is met geldende wetgeving.
5: Doelbinding en dataminimalisatie
1. Het VISTA college gebruikt Persoonsgegevens uitsluitend voor zover dat gebruik verenigbaar is met de omschreven doelen van de verwerking.
2. Het VISTA college verwerkt niet meer Persoonsgegevens dan noodzakelijk om de betreffende doelen te bereiken.
6: Soorten persoonsgegevens en bewaartermijnen
1. De categorieën van persoonsgegevens zoals deze binnen het VISTA college worden verwerkt, worden geregistreerd in dataregisters.
2. Een dataregister bevat de actuele stand van zaken en is altijd toegankelijk voor betrokkenen.
3. Het VISTA college heeft in dataregisters vermeld welke persoonsgegevens voor welk doel worden geregistreerd. Het VISTA college kent de volgende dataregisters:
a. een register voor onderwijsdeelnemers,
b. een register voor personeel, en
c. een register voor externe relaties (o.a. bezoekers, leveranciers, dienstverleners, huurders, alumni, sollicitanten en leden toezichthoudend orgaan).
4. Het VISTA college bewaart persoonsgegevens volgens de daarvoor geldende bewaartermijnen.
7: Toegang tot persoonsgegevens
1. Binnen het VISTA college geldt dat personen slechts toegang hebben tot persoonsgegevens voor zover dat daadwerkelijk nodig is.
2. De toegang van medewerkers tot persoonsgegevens is dan ook beperkt tot de gegevens die noodzakelijk zijn voor de goede uitoefening van hun functie en hun werkzaamheden.
3. Verder wordt slechts toegang verschaft tot de in de administratie en systemen van de school opgenomen persoonsgegevens aan:
a. de verwerker die van het VISTA college de opdracht heeft gekregen om persoonsgegevens te verwerken, maar alleen voor zover dat noodzakelijk is in het licht van de gemaakte afspraken;
b. derden voor zover uit de wet voortvloeit dat het VISTA college verplicht is om toegang te geven of sprake is van een (andere) grondslag voor deze verwerking, bijvoorbeeld de vervulling van een taak van algemeen belang.
8: Beveiliging en geheimhouding
1. Het VISTA college neemt passende technische en organisatorische beveiligingsmaatregelen om te voorkomen dat de persoonsgegevens worden beschadigd, verloren gaan of onrechtmatig worden verwerkt. Deze maatregelen zijn er mede op gericht om niet noodzakelijke verzameling en verdere (niet noodzakelijke) verwerking van persoonsgegevens te voorkomen.
2. Bij de beveiligingsmaatregelen wordt rekening gehouden met de stand van de techniek, de uitvoeringskosten, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van betrokkenen.
3. Een ieder die betrokken is bij de verwerking van persoonsgegevens binnen het VISTA college, is verplicht tot geheimhouding van de betreffende persoonsgegevens, en zal deze gegevens slechts verwerken voor zover dat noodzakelijk is voor de uitoefening van de betreffende functie, werkzaamheden of taak.
9: Verstrekken van gegevens aan derden
Het VISTA college kan persoonsgegevens aan derden verstrekken als daarvoor een grondslag bestaat in de zin van artikel 3 van dit reglement.
10: Rechten betrokkenen
Het VISTA college erkent de rechten van betrokkenen, handelt daarmee in overeenstemming en bewerkstelligt dat betrokkenen deze rechten daadwerkelijk kunnen uitoefenen. Het betreft in het bijzonder de volgende rechten:
1. Recht op inzage
a. Een betrokkene heeft recht op inzage van de door het VISTA college verwerkte persoonsgegevens die op hem betrekking hebben, behalve voor zover het gaat om werkdocumenten, interne notities en andere documenten die uitsluitend bedoeld zijn voor intern overleg en beraad.
b. Indien en voor zover dit recht op inzage ook de rechten en vrijheden van anderen raakt, bijvoorbeeld als in de documenten ook persoonsgegevens van anderen dan de betrokkene zijn vermeld, kan het VISTA college het recht op inzage beperken.
c. Bij het verstrekken van de betreffende gegevens verschaft het VISTA college voorts informatie over:
1. de verwerkingsdoeleinden;
2. de categorieën van persoonsgegevens die worden verwerkt;
3. de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
4. ontvangers in derde landen of internationale organisaties (indien van toepassing);
5. hoe lang de gegevens worden bewaard (indien mogelijk);
6. dat de betrokkene het recht heeft om te verzoeken dat de persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van de persoonsgegevens wordt beperkt, en dat hij het recht heeft om bezwaar te maken tegen de verwerking van de persoonsgegevens;
7. het feit dat de betrokkene een klacht kan indienen bij de Autoriteit Persoonsgegevens;
8. de bron van de persoonsgegevens, indien de persoonsgegevens niet van de betrokkene zelf zijn verkregen;
9. het eventueel toepassen van geautomatiseerde besluitvorming en de betreffende onderliggende logica en het belang en de gevolgen voor de betrokkene;
10. de passende waarborgen indien de persoonsgegevens worden doorgegeven aan een derde land of een internationale organisatie.
2. Verbetering, aanvulling, verwijdering
a. Het VISTA college verbetert de persoonsgegevens van een betrokkene in het geval de betrokkene terecht heeft aangegeven dat de gegevens onjuist zijn, en het VISTA College vult de persoonsgegevens van een betrokkene aan indien de betrokkene terecht om aanvulling heeft verzocht.
b. Een betrokkene kan verzoeken om verwijdering van zijn persoonsgegevens. Het VISTA college gaat daartoe over indien is voldaan aan een wettelijke grondslag voor het verzoek, tenzij het onmogelijk is om aan het verzoek te voldoen of dit een onredelijke inspanning zou vergen.
3. Bezwaar
a. Indien het VISTA college persoonsgegevens verwerkt op de grondslag van artikel 3 onder a of artikel 3 onder d van dit reglement, kan de betrokkene bezwaar maken tegen de verwerking van zijn persoonsgegevens. In dat geval staakt het VISTA college de verwerking van de betreffende persoonsgegevens, behalve als naar het oordeel van het VISTA college haar, het belang van derden of het algemeen belang in het betreffende concrete geval zwaarder weegt.
4. Beperking verwerking
a. De betrokkene kan voorts verzoeken om de verwerking van zijn persoonsgegevens te beperken, namelijk indien hij een verzoek tot verbetering heeft gedaan, indien hij bezwaar heeft gemaakt tegen de verwerking, als de persoonsgegevens niet meer nodig zijn voor het doel van de verwerking of als de gegevensverwerking onrechtmatig is.
b. Het VISTA college staakt dan de verwerking, tenzij de betrokkene toestemming heeft gegeven voor de verwerking, het VISTA college de gegevens nodig heeft voor een rechtszaak of de verwerking nodig is ter bescherming van de rechten van een andere persoon of vanwege gewichtige redenen.
5. Beperking verwerking
1. Als het VISTA college op verzoek van een betrokkene een verbetering of verwijdering van persoonsgegevens heeft uitgevoerd, of de verwerking van persoonsgegevens heeft beperkt, zal het VISTA college eventuele ontvangers van de betreffende persoonsgegevens daarover informeren.
2. Het VISTA college handelt een verzoek van een betrokkene zo spoedig mogelijk, maar uiterlijk binnen een maand na ontvangst van het verzoek, af. Afhankelijk van de complexiteit en van het aantal verzoeken kan die termijn indien nodig met twee maanden worden verlengd. Als deze verlenging plaatsvindt, wordt de betrokkene daarover binnen een maand na de ontvangst van het verzoek geïnformeerd. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt. Wanneer het VISTA college geen gevolg geeft aan het verzoek van de betrokkene, deelt het VISTA college direct en uiterlijk binnen een maand na ontvangst mee waarom het verzoek niet wordt ingewilligd en informeert hij de betrokkene over de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens of beroep bij de rechter in te stellen.
3. Indien voor de verwerking van persoonsgegevens voorafgaande toestemming vereist is, kan deze toestemming te allen tijde door de betrokkene of zijn wettelijk vertegenwoordiger worden ingetrokken. Als de toestemming wordt ingetrokken, staakt het VISTA college de verwerking van persoonsgegevens, behalve als er een andere grondslag (zoals bedoeld in artikel 3) voor de gegevensverwerking is. Het intrekken van de toestemming tast de rechtmatigheid van verwerkingen die reeds hebben plaatsgevonden niet aan.
11: Transparantie
Het VISTA college beschikt over een privacyverklaring, waarin betrokkenen in duidelijke, begrijpelijke en gemakkelijk toegankelijke vorm, in het bijzonder wanneer de informatie specifiek voor de (onderwijs)deelnemer is, worden geïnformeerd over de gegevens die van hem worden verwerkt, de wijze waarop, en de redenen waarom dit gebeurt.
12: Meldplicht datalek
1. Een datalek is elke inbreuk waarbij persoonsgegevens zijn vernietigd of verloren, gewijzigd, verstrekt of toegankelijk zijn gemaakt.
2. Een ieder die betrokken is bij een verwerking van persoonsgegevens is verplicht om een datalek per ommegaande te melden bij de Functionaris Gegevensbescherming.
13: Klachten
1. Wanneer een betrokkene van mening is dat het doen of nalaten van het VISTA college niet in overeenstemming is met de AVG, dit reglement of (andere) toepasselijke wet- of regelgeving, dan kan een klacht worden ingediend overeenkomstig de geldende klachtenprocedure. Een betrokkene kan zich eveneens wenden tot de Functionaris Gegevensbescherming om te trachten de klacht in der minne op te lossen.
2. Als een klacht naar de mening van betrokkene door het VISTA college niet correct is afgewikkeld, kan hij zich daarna wenden tot de rechter of de Autoriteit Persoonsgegevens.
14: Onvoorziene situaties
Indien zich een situatie voordoet die niet beschreven is in dit reglement, neemt het College van Bestuur van het VISTA college de benodigde maatregelen, en wordt beoordeeld of dit reglement dientengevolge moet worden aangevuld of aangepast.
15: Vaststelling, inwerkingtreding, wijziging
1. Dit reglement is geldig tot wederopzegging.
2. Dit reglement is na instemming van de Ondernemingsraad en de Centrale studentenraad vastgesteld door het College van Bestuur van het VISTA college.
3. Het reglement wordt gepubliceerd op de website van het VISTA college en het reglement wordt verder actief onder de aandacht gebracht, bijvoorbeeld door middel van verwijzing in de studiegids.
4. Het College van Bestuur kan dit reglement wijzigen na instemming van de Ondernemingsraad en de Studentenraad.
16: Slotbepaling
1. Dit reglement wordt aangehaald als het privacyreglement van het VISTA college.
2. Dit reglement vervangt eerdere versies van privacyreglementen.