AVG voor staf medewerkers

Mag ik nog persoonsgegevens verwerken?

Ook onder de AVG is het toegestaan om persoonsgegevens te verwerken die noodzakelijk zijn om je dagelijkse werkzaamheden als medewerker te kunnen uitvoeren. Uitgangspunt is dat het verwerken van persoonsgegevens in het kader van de relatie tussen werkgever en werknemer is toegestaan.

Informatieverplichting naar betrokkene(n)

Wanneer je persoonsgegevens verwerkt, zorg dan dat je betrokkene(n) hier van tevoren over informeert. Veel activiteiten van de TU Delft staan vermeld in het privacy statement op www.tudelft.nl. Als jouw activiteit daar niet in is opgenomen, kan je een privacy statement maken gericht op jouw specifieke activiteit. Vermeld hierin in ieder geval het volgende:

  • Contactgegevens van de persoon die de betrokkenen kunnen benaderen in geval van vragen of klachten.
  • (Categorieën) persoonsgegevens die verwerkt worden
  • Doel(en) waarvoor je de persoonsgegevens gaat gebruiken.
  • Wettelijke grondslag (bijvoorbeeld op basis van toestemming van de betrokkene(n).
  • Raadpleeg bij twijfel het privacy team via privacy-tud@tudelft.nl).
  • Wie er toegang hebben tot de gegevens en/of met wie de gegevens gedeeld worden.
  • Of er sprake is van doorgifte van persoonsgegevens naar landen buiten de EU (bijvoorbeeld als een cloudapplicatie draait bij een Amerikaanse leverancier, zoals Google of Amazon).
  • Bewaartermijn van de persoonsgegevens
  • De rechten van betrokkenen (bijvoorbeeld recht op inzage, recht op rectificatie, recht om vergeten te worden, recht om bezwaar te maken).
  • Of er sprake is van geautomatiseerde besluitvorming of profiling.

Bewaartermijnen

In de AVG staat niet hoelang je bepaalde persoonsgegevens mag bewaren. Bewaartermijnen zijn soms wettelijk vastgelegd. Denk bijvoorbeeld aan de Archiefwet of fiscale wetgeving. Indien dit niet het geval is, zal je hier als organisatie afspraken over moeten maken. Hierbij is het uitgangspunt: Als je de gegevens niet langer nodig hebt voor het doel waarvoor je ze verzameld hebt, verwijder/anonimiseer ze dan. Dit geldt ook voor persoonsgegevens die op papier, op de harde schijf of in de e-mailbox zijn opgeslagen.

CV’s mag je niet langer dan vier weken bewaren na einde van de sollicitatieprocedure. Met toestemming van de betrokkene mag je een CV maximaal één jaar bewaren.

Archiefwet

In de Archiefwet zijn voor veel categorieën informatie bewaartermijnen gedefinieerd. Het privacy team en het archiefteam van de TU Delft werken samen om dit inzichtelijk te krijgen. Vraag het privacyteam om hulp als je hier meer over wilt weten.

Delen van persoonsgegevens met studieverenigingen

Studieverenigingen mogen alleen studentgegevens opvragen via de Universiteitsdienst ESA. ESA heeft richtlijnen opgesteld om studentgegevens te kunnen delen met studieverenigingen.

Verwerkersovereenkomst

Als je persoonsgegevens gaat uitwisselen met een externe partij en de TU Delft is verwerkingsverantwoordelijke, dan moet een verwerkersovereenkomst worden afgesloten. De TU Delft is verwerkingsverantwoordelijke wanneer:

  • De TU Delft zeggenschap heeft over de verwerking en de verwerker de instructies van de TU Delft moet opvolgen;
  • De TU Delft de doeleinden en de middelen voor de gegevensverwerking bepaalt;
  • De TU Delft opdracht aan een derde heeft gegeven tot de verwerking van persoonsgegevens.
  • Indien een externe partij persoonsgegevens gaat uitwisselen met (een afdeling van) de TU Delft en de externe partij is verwerkingsverantwoordelijke, dan moet een verwerkersovereenkomst worden afgesloten.
    De externe partij is verwerkingsverantwoordelijke wanneer:
    -    De externe partij zeggenschap heeft over de verwerking en de TU Delft de instructies van de externe partij moet opvolgen;
    -    De externe partij de doeleinden en de middelen voor de gegevensverwerking bepaalt;
    -    De externe partij opdracht aan de TU Delft heeft gegeven tot de verwerking van persoonsgegevens. Gebruik het TU Delft template van een verwerkersovereenkomst. Soms zijn zowel de TU Delft als de externe partij verwerkingsverantwoordelijke. Tussen deze gezamenlijke verwerkingsverantwoordelijken moeten dan aparte afspraken worden gemaakt over hoe met de persoonsgegevens wordt omgegaan. Een voorbeeld hiervan is een samenwerkingsverband tussen de TU Delft en één of meerdere universiteiten waarbinnen persoonsgegevens worden uitgewisseld.

Gebruik beeld

Een foto of video is een persoonsgegeven wanneer mensen identificeerbaar zijn. Ga hier zorgvuldig mee om. Gebruik je het beeld voor verslaglegging (bv van een evenement)? Dan heb je geen toestemming nodig. Gebruik je het beeld voor marketing of promotionele doeleinden? Vraag dan vooraf toestemming aan de betrokkene voor het maken van foto’s en geef duidelijk aan hoe betrokkene(n) hun toestemming weer kunnen intrekken. Communiceer in alle gevallen duidelijk dat er foto’s gemaakt (kunnen) worden. Als je twijfels hebt over het doel waarvoor je het beeldmateriaal gebruikt, neem dan contact op met het privacy team.

Gebruik paspoort/ID

Het lezen of opvragen van een ID, rijbewijs of paspoort is alleen toegestaan als een organisatie daar wettelijk verplicht toe is. De TU Delft heeft deze wettelijke verplichting bijvoorbeeld wanneer een nieuwe medewerker in dienst komt (ten behoeve van het personeelsdossier wordt een kopie paspoort opgevraagd door HR). Of om een visum aan te vragen voor een student. Daarnaast heeft de TU Delft de verplichting studenten te identificeren, maar hiervoor is geen kopie van het paspoort vereist.

Vaak wordt een identiteitsbewijs gevraagd terwijl er slechts een beperkte set gegevens nodig is, zoals een volledige naam of een paspoortnummer. Denk goed na over welke gegevens je echt nodig hebt. Overleg zo nodig met het privacy team of je deze gegevens kan opvragen.

Data Protection Impact Assessment (DPIA)

Indien een verwerking van persoonsgegevens een “hoog risico” met zich meebrengt, moet een Data Protection Impact Assessment (DPIA) worden uitgevoerd. Of er sprake is van een “hoog risico” wordt bepaald met behulp van de DPIA pre-screening. Het DPIA template en de DPIA pre-screening zijn hier beschikbaar. 

Privacy-by-design

Privacy-by-design betekent dat bij een nieuw project direct rekening wordt gehouden met privacy verhogende maatregelen en dataminimalisatie. Op deze wijze ontstaat een zorgvuldige en verantwoorde omgang met persoonsgegevens binnen de organisatie. 

Privacy-by-design bestaat uit een aantal stappen:

  • Privacy first: privacy wordt op de eerste plaats gezet. Wat zijn de privacy consequenties van de handeling?
  • Denk ondeugend: sta in de schoenen van iemand die misbruik wil maken van de gegevens en stem daar de beveiliging op af.
  • Dataminimalisatie: alleen verzamelen wat daadwerkelijk nodig is voor het bereiken van het doel en niet langer.
  • Data wordt niet langer opgeslagen dan nodig is, tenzij er een wettelijke grondslag bestaat om langer te bewaren (bv Archiefwet).
  • Data wordt niet verwerkt voor andere doeleinden dan vooraf is vastgesteld. Onderzoek is een uitzondering; secundair gebruik is dan toegestaan.
  • Bescherm data: bijvoorbeeld door end-to-end versleuteling.
  • Open de black box: het proces is en blijft voor de gebruiker inzichtelijk.

Datalek

Een datalek houdt in dat persoonsgegevens verloren zijn gegaan of een ongeautoriseerd persoon (mogelijk) toegang heeft tot de persoonsgegevens. Bijvoorbeeld het verlies van een laptop of USB stick, een e-mail die naar de verkeerde persoon wordt gestuurd of autorisaties die niet goed zijn ingeregeld.  Een datalek is niet alleen IT-gebonden; ook door het verliezen van bijvoorbeeld een papieren dossier is er sprake van een datalek. (Vermoedelijke) datalekken dienen altijd te worden gemeld via databreach@tudelft.nl.