Principes AVG
Met de AVG heeft Europa een duidelijk statement gemaakt in onze snel veranderende wereld. De huidige snelheid en schaal waarin persoonsgegevens worden verzameld, gedeeld en gekoppeld vraagt om een goede bescherming van onze privacy. We delen steeds meer gegevens met organisaties en bedrijven maar we zijn ons vaak weinig bewust van mogelijke effecten hiervan op onze privacy. De AVG dwingt ons om daarover na te denken, zowel in ons privéleven als in ons werk. De AVG hanteert een aantal principes om de bescherming van persoonsgegevens te waarborgen:
-
Vraag je af of er een grondslag is voor de verwerking van persoonsgegevens.
-
Verwerk alleen persoonsgegevens die strikt noodzakelijk zijn voor het doel waarvoor de verwerking bestemd is. Verwerk persoonsgegevens niet voor een ander doel dan waarvoor je ze in eerste instantie opgevraagd/verkregen hebt. Als je ze toch voor een ander doel wilt gaan gebruiken, zal je opnieuw moeten bepalen of je hier een grondslag voor hebt (bv toestemming).
-
Stel de betrokken personen op de hoogte van de verwerking van zijn of haar gegevens en waarom je dat doet. Gebruik daarvoor eenvoudige en heldere taal in communicatie en zorg dat de informatie juist is, volledig, overzichtelijk en begrijpelijk. Over veel activiteiten van de TU Delft wordt al gecommuniceerd via het privacy statement op www.tudelft.nl. Als jouw activiteit hier niet in is opgenomen, kun je een privacy statement maken met daarin:
- Contactgegevens van de persoon die de betrokkenen kunnen benaderen in geval van vragen of klachten.
- (Categorieën) persoonsgegevens die verwerkt worden
- Doel(en) waarvoor je de persoonsgegevens gaat gebruiken.
- Wettelijke grondslag (bijvoorbeeld op basis van toestemming van de betrokkene(n).
- Raadpleeg bij twijfel het privacy team via privacy-tud@tudelft.nl).
- Wie er toegang hebben tot de gegevens en/of met wie de gegevens gedeeld worden.
- Of er sprake is van doorgifte van persoonsgegevens naar landen buiten de EU (bijvoorbeeld als een cloudapplicatie draait bij een Amerikaanse leverancier, zoals Google of Amazon).
- Bewaartermijn van de persoonsgegevens
- De rechten van betrokkenen (bijvoorbeeld recht op inzage, recht op rectificatie, recht om vergeten te worden, recht om bezwaar te maken).
- Of er sprake is van geautomatiseerde besluitvorming of profiling.
-
Gebruik duidelijke en eenvoudige taal in communicatie met betrokkene over de verwerking van zijn/haar gegevens. Zorg dat de communicatie juist, volledig, overzichtelijk, begrijpelijk en laagdrempelig is. De informatie moet inzicht geven in:
- Het doel van de verwerking
- De wettelijke grondslag van de verwerking
- Wie de ontvangers zijn van de gegevens
- Wat de bewaartermijn is
- Of er sprake is van data transfer buiten de EEA
- Wat de rechten van de betrokkenen zijn
- Of er sprake is van geautomatiseerde besluitvorming
- Wie benaderd kan worden voor informatie
-
Verwerk alleen persoonsgegevens die noodzakelijk en relevant zijn om een doel te bereiken.
-
Bewaar persoonsgegevens niet langer dan dat ze nodig zijn voor het doel dat je ermee wilt bereiken en verwijder ze daarna. Soms zijn bewaartermijnen wettelijk vastgelegd in de Archiefwet of fiscale wetgeving. Een cv mag je niet langer dan vier weken na het einde van de sollicitatieprocedure bewaren. Met toestemming van de betrokken persoon mag je een cv maximaal een jaar bewaren.
-
Zorg dat anderen geen toegang hebben tot persoonsgegevens en tot de hard- en software die voor de verwerking wordt gebruikt. Zorg dat je autorisatiebeheer (toegangsrechten) op orde is. Tips:
- Zet geen persoonsgegevens op onbeveiligde USB-sticks.
- Voer hard copy documenten af in de speciaal daarvoor beschikbaar gestelde containers. Op elke afdeling is zo’n container te vinden.
- Houd je werkplek/bureau opgeruimd.
- Vergrendel je PC als je deze niet gebruikt.
- Maak gebruik van een beveiligd netwerk zoals Eduroam. Eduroam is het beveiligde netwerk van alle Nederlandse universiteiten. Wanneer een verbinding met Eduroam niet mogelijk is, dan is het verbinden met een eigen mobiele hotspot een veilig alternatief.
- Verstuur werk mail via je TU e-mail. Maak geen gebruik van bijvoorbeeld Hotmail, Gmail of Yahoo.
- Gebruik BCC i.p.v. CC. Wanneer je e-mailadressen verspreidt, deel je persoonsgegevens. Maak daarom gebruik van BCC in plaats van CC. Zo verspreid je niet onnodig e-mailadressen onder de geadresseerden. Sluit een verwerkersovereenkomst af
- Sluit een verwerkersovereenkomst af met derde partijen die toegang hebben tot persoonsgegevens van de TU Delft. Gebruik hiervoor het TU Delft template van een verwerkersovereenkomst.
-
Sla persoonsgegevens niet op in niet-AVG proof applicaties zoals WeTransfer en Google Drive. Gebruik bij voorkeur Surffilesender en Surfdrive (beschikbaar voor medewerkers). Deze applicaties zijn ook geschikt voor het delen van gegevens met externen. Vraag jouw facultaire IT manager voor hulp bij het opzetten van een account. Vermijd data transfer buiten de Europese Economische Ruimte (dus ook in de cloud!). Vraag advies aan het privacy team. Bij aanschaf van nieuwe systemen of cloud applicaties, check of een DPIA (Data Protection Impact Assessment) nodig is door de pre-screening uit te voeren.
-
Een datalek houdt in dat persoonsgegevens verloren zijn gegaan of een ongeautoriseerd persoon (mogelijk) toegang heeft tot de persoonsgegevens. Bijvoorbeeld het verlies van een laptop of USB stick, een e-mail die naar de verkeerde persoon wordt gestuurd of autorisaties die niet goed zijn ingeregeld. Een datalek is niet alleen IT-gebonden; ook door het verliezen van bijvoorbeeld een papieren dossier is er sprake van een datalek. Meld een (vermoedelijk) datalek zo snel mogelijk via databreach@tudelft.nl.