• No results found

Privacyreglement Studielink

N/A
N/A
Info
Downloaden
Protected

Academic year: 2022

Share "Privacyreglement Studielink"

Copied!
8
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 8 pagina )

Hele tekst

(1)

1

Privacyreglement Studielink

11 oktober 2013

Dit reglement is vastgesteld door het Bestuur van Stichting Studielink op 12 oktober 2013.

Toelichting

Contractueel is tussen Stichting Studielink, de instellingen voor Hoger Onderwijs en DUO vastgelegd dat Studielink bewerker is voor de persoonsgegevens zoals bedoeld in de wet op de bescherming persoonsgegevens (Wbp). In eerst instantie dragen de verantwoordelijken zorg voor het opstellen van een privacyreglement. Gezien de rol en betekenis van Studielink voor de

inschrijving in het Hoger onderwijs en de wens om transparantie en eenduidigheid van de bescherming van de persoonsgegevens naar studenten te bevorderen heeft Studielink dit

voorliggend privacyreglement vastgesteld. Het reglement is in lijn met de privacyreglementen die de verantwoordelijken bezitten.

Inhoudsopgave

PARAGRAAF 1 BEGRIPSBEPALINGEN ... 2

Artikel 1 Begripsbepalingen ... 2

PARAGRAAF 2 REIKWIJDTE EN DOELSTELLING REGLEMENT ... 3

Artikel 2 Reikwijdte ... 3

Artikel 3 Doelstelling reglement ... 3

Artikel 4 Doel van de gegevensverwerking ... 3

Artikel 5 Meldingsplicht ... 4

PARAGRAAF 3 BETROKKENEN: VAN WIE WORDEN PERSOONSGEGEVEN VERWERKT ... 4

Artikel 6 Categorieën van personen ... 4

PARAGRAAF 4 SOORTEN GEGEVENS: WELKE PERSOONSGEGEVENS WORDEN VERWERKT ... 4

Artikel 7 Soorten gegevens ... 4

Artikel 8 Bijzondere gegevens ... 5

Artikel 9 De wijze waarop gegevens worden verkregen ... 5

PARAGRAAF 5 VERSTREKKEN VAN GEGEVENS: AAN WIE WORDEN PERSOONSGEGEVENS VERSTREKT ... 5

Artikel 10 Verstrekken van gegevens ... 5

PARAGRAAF 6 RECHTEN BETROKKENEN ... 6

Artikel 11 Rechten betrokkenen: inzage, verzoek tot correctie, klachten ... 6

PARAGRAAF 7 TOEGANG TOT BESTANDEN, BEHEER EN BEVEILIGING ... 6

Artikel 12 Rechtstreekse toegang tot de persoonsgegevens ... 6

Artikel 13 Verantwoordelijkheid ... 7

(2)

2

Artikel 14 Geheimhouding en beveiliging ... 7

Artikel 15 Bewaren, anonimiseren en vernietigen van gegevens ... 7

PARAGRAAF 8 SLOT- EN INVOERINGSBEPALINGEN ... 7

Artikel 16 Overgangs- en slotbepalingen ... 7

Artikel 17 Inwerkingtreding en citeertitel ... 8

Artikel 18 Inzage reglement ... 8

PARAGRAAF 1 BEGRIPSBEPALINGEN

Artikel 1 Begripsbepalingen

In dit reglement wordt in aansluiting en aanvulling op de Wet bescherming persoonsgegevens verstaan onder:

a. Wbp: Wet Bescherming Persoonsgegevens;

b. Vrijstellingsbesluit: Vrijstellingsbesluit Wbp.

c. Whw: Wet op het hoger onderwijs en wetenschappelijk onderzoek;

d. Instelling: een instelling van Hoger Onderwijs;

e. DUO: Dienst Uitvoering Onderwijs;

f. VSNU: Vereniging van universiteiten, is de belangen- en werkgeversvereniging van de veertien Nederlandse Universiteiten;

g. Vereniging Hogescholen: is de belangen- en werkgeversvereniging van de door de overheid bekostigde Nederlandse hogescholen;

h. Stichting Studielink: opgericht door Instellingen en wordt bestuurd door afgevaardigden namens de VSNU en de Vereniging Hogescholen;

i. Studielink: de webportal en het geheel aan uitwisselingsmethoden die door Stichting Studielink is ontwikkeld en wordt beheerd;

j. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

k. Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige ander vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;

l. Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;

m. Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het

bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, in casu de Colleges van Bestuur van de aangesloten Instellingen op Studielink en de hoofddirectie van DUO;

n. Bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt zonder aan zijn rechtstreeks gezag te zijn onderworpen, in casu Stichting Studielink;

o. Subbewerker: degene die in contract met bewerker de verwerking van de persoonsgegevens in de praktijk uitvoert, in casu het bedrijf CACI bv.

p. Beheerder: de functionaris die in opdracht van de verantwoordelijke zorg draagt voor de verwerking van de persoonsgegevens, in casu functionarissen belast met beheer bij Studielink en bij de subbewerker;

(3)

3 q. Functioneel beheerder: degene die de toegang tot de bestanden beheert;

r. Gebruiker: degene die onder verantwoordelijkheid van de verantwoordelijke bij Instelling of DUO bevoegd is persoonsgegevens in te voeren, te wijzigen en/of te verwijderen, dan wel van enigerlei uitvoer van de verwerking kennis te nemen;

s. Betrokkene: degene op wie een persoonsgegeven betrekking heeft, in casu studenten en aspirant studenten;

t. Ontvanger: degene aan wie de persoonsgegevens worden verstrekt;

u. Verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens;

v. College bescherming persoonsgegevens: het college bedoeld in artikel 51 van de Wet Bescherming Persoonsgegevens;

PARAGRAAF 2 REIKWIJDTE EN DOELSTELLING REGLEMENT

Artikel 2 Reikwijdte

1. Dit reglement is van toepassing op alle persoonsgegevens van betrokkenen, zoals vermeld in artikel 6, die door de verantwoordelijke of in diens opdracht worden verwerkt, voor zover de gegevens eenvoudig kunnen worden herleid tot individuele personen en voor zover de persoonsgegevens via Studielink worden verzameld en/of uitgewisseld.

2. Dit reglement is niet van toepassing op persoonsgegevens die binnen een Instelling of DUO worden verwerkt en die niet via de keten in Studielink worden uitgewisseld.

3. De persoonsgegevens opgenomen in Studielink, bedoeld in het eerste lid, zijn in beginsel vertrouwelijk en dienen ook als zodanig behandeld te worden.

4. Voor zover gegevens uit Studielink aan derden verstrekt worden, kan dat alleen geschieden met toestemming van de betrokkene, dan wel op basis van een bevoegdheid of plicht opgenomen in een wettelijke regeling of dit reglement.

Artikel 3 Doelstelling reglement

Dit reglement heeft tot doel:

a. De persoonlijke levenssfeer van ieder van wie persoonsgegevens worden verwerkt te

beschermen tegen misbruik van die gegevens en tegen het verwerken van onjuiste gegevens;

b. Te voorkomen dat persoonsgegevens worden verwerkt voor een ander doel dan het doel waarvoor ze verzameld zijn;

c. De rechten van de betrokkenen te waarborgen.

Artikel 4 Doel van de gegevensverwerking

De gegevensverwerking heeft tot doel:

a. het verzamelen en het uitwisselen van gegevens en behoeve van de ondersteuning van het inschrijfproces bij Instellingen, DUO en betrokkene, onderscheidenlijk het uitvoering geven aan wettelijke taken, overeenkomstig het gestelde in artikel 19, tweede lid, van het

Vrijstellingsbesluit;

b. het uitwisselen van gegevens tussen Studielink en DUO ten behoeve van de registratie bij DUO voor het verstrekken van studiefinanciering van betrokkene;

c. het uitwisselen van gegevens tussen de Instellingen en DUO in het kader van de wettelijke registratie van inschrijvingen in het BRON-HO.

(4)

4

Artikel 5 Meldingsplicht

1. Een gegevensverwerking is meldingsplichtig indien er bijzondere persoonsgegevens verwerkt worden, indien er sprake is van een combinatie van gegevensverwerkingen of indien de gegevensverwerking afwijkt van het Vrijstellingsbesluit. In Studielink worden alleen gegevens verwerkt die vallen onder het Vrijstellingsbesluit.

2. Voortvloeiend uit hetgeen in de voorgaande lid gesteld is, rust op iedere medewerker die een gegevensverwerking beheert of een nieuwe gegevensbewerking aanlegt, de plicht daarvan melding te maken bij de verantwoordelijke, onder uiting van het doel van dat bestand en de naam (namen) van de bewerker(s).

PARAGRAAF 3 BETROKKENEN: VAN WIE WORDEN PERSOONSGEGEVEN VERWERKT

Artikel 6 Categorieën van personen

Over de volgende categorieën van personen kunnen gegevens worden verwerkt.

a. Aspirant-studenten;

b. Studenten c. Extranei;

d. Personen die namens de (aspirant-)student het collegegeld voldoet;

e. Cursisten;

f. Contractstudenten;

PARAGRAAF 4 SOORTEN GEGEVENS: WELKE PERSOONSGEGEVENS WORDEN VERWERKT

Artikel 7 Soorten gegevens

1. De volgende soorten van persoonsgegevens kunnen worden verwerkt:

a. Naam, voornamen, voorletters, roepnaam, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer(s), een e-mail adres dat betrokkene zelf verstrekt en soortgelijke voor communicatie benodigde gegevens, alsmede banknummer van de betrokkene en eventueel overlijdensdatum;

b. Een administratienummer dat geen andere informatie bevat dan gedoeld onder a) waaronder het Studielinknummer, het studentnummer bij de Instelling en het

persoonsgebonden nummer (BSN of zolang dat onbekend is het onderwijsnummer conform de Whw);

c. Nationaliteit en geboorteplaats;

d. Gegevens die noodzakelijk zijn met het oog op de gezondheid of het welzijn van de betrokkene;

e. Gegevens betreffende de godsdienst of levensovertuiging van de betrokkene, voor zover die noodzakelijk zijn voor het onderwijs;

f. Gegevens betreffende de verblijfstatus in Nederland;

g. Gegevens betreffende de aard (voltijd, deeltijd, duaal, contractonderwijs) van het onderwijs; beëindiging inschrijving, data behaalde getuigschriften,;

h. Gegevens met het oog op het berekenen, vastleggen en innen van inschrijvingsgelden, collegegelden, school- en lesgelden;

i. school van herkomst van betrokkene, diploma vooropleiding;

(5)

5 j. Andere dan de onder a t/m e bedoelde gegevens waarvan de verwerking wordt vereist

ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet, waaronder toekenning profileringsfonds;

De gegevens, bedoeld in het eerste lid, zijn niet limitatief. Als gevolg van onder andere wijzigingen in de (onderwijs)organisatie of in wetgeving kunnen er veranderingen optreden.

Artikel 8 Bijzondere gegevens

1. De verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging is verboden behoudens het bepaalde in het tweede lid.

Hetzelfde geldt voor strafrechtelijke persoonsgegevens en persoonsgegevens over

onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.

2. Het verbod betreffende iemands godsdienst of levensovertuiging te verwerken, bedoeld in het eerste lid is niet van toepassing, indien de verwerking geschiedt met uitdrukkelijke

toestemming van de betrokkene.

Artikel 9 De wijze waarop gegevens worden verkregen

1. De gegevens genoemd in artikel 7 worden door betrokkene voor zover mogelijk bij het proces tot inschrijving verstrekt aan Studielink, dan wel door de Instellingen verzameld, dan wel door DUO verstrekt, in het bestand opgenomen en actueel gehouden.

2. De betrokkene is in de gelegenheid om tijdig de benodigde gegevens aan te kunnen leveren en te kunnen controleren. De betrokkene is verantwoordelijke voor het tijdig aanleveren en de controle van gegevens voor de registratie van de juiste naam-, adres- en woonplaatsgegevens van zowel het woonadres als het correspondentieadres.

PARAGRAAF 5 VERSTREKKEN VAN GEGEVENS: AAN WIE WORDEN PERSOONSGEGEVENS VERSTREKT

Artikel 10 Verstrekken van gegevens

1. Met uitzondering van de gevallen genoemd in het tweede lid van dit artikel worden zonder schriftelijke toestemming van de betrokkene door of namens de verantwoordelijke geen geregistreerde persoonsgegevens verstrekt aan derden, schriftelijk noch mondeling.

2. Tot individuele personen herleidbare persoonsgegevens worden verstrekt aan:

a. De Instelling waar de betrokkene een studie volgt dan wel wil gaan volgen;

b. DUO;

c. Derden voor zover verstrekking voortvloeit uit het doel van de gegevensverwerking, wordt vereist ingevolge een wettelijk voorschrift of noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is;

d. Derden die niet vallen onder c, uitsluitend met de toestemming van de betrokkene.

3. Niet tot individuele personen herleidbare persoonsgegevens van verzoeken tot inschrijving worden tbv statistische analyse verstrekt aan

a. Instellingen;

b. VSNU;

c. Vereniging Hogescholen;

d. DUO;

e. OCW.

(6)

6

PARAGRAAF 6 RECHTEN BETROKKENEN

Artikel 11 Rechten betrokkenen: inzage, verzoek tot correctie, klachten

1. Elke betrokkene heeft het recht inzage te verkrijgen en de herkomst te vernemen van de persoonsgegevens die omtrent hem/haar worden verwerkt.

2. Een verzoek om inzage dient te worden gedaan aan de verantwoordelijke, die binnen een maand na ontvangst van dit verzoek hieraan voldoet. Dit verzoek kan door de

verantwoordelijke gestuurd worden aan de beheerder. Aan een verzoek om inzage kunnen kosten worden verbonden door verantwoordelijke of beheerder.

3. Indien de betrokkene bij de verantwoordelijke aantoont dat bepaalde van hem/haar opgenomen gegevens onjuist c.q. onvolledig zijn, dan wel gezien de doelstelling van het systeem niet ter zake doen, dan wel strijdig zijn met dit reglement, draagt de

verantwoordelijke de zorg voor verbetering, aanvulling of verwijdering. Indien de gegevens niet door de verantwoordelijke kan worden aangepast maar alleen door de beheerder, zorgt de beheerder binnen een maand nadat betrokkene de onjuistheid c.q. onvolledigheid heeft

aangetoond, voor verbetering, aanvulling of verwijdering. In dit geval worden eventueel betaalde kosten terugbetaald. Indien de gegevens niet door de verantwoordelijke kan worden aangepast én niet door de beheerder zoals bijvoorbeeld gegevens afkomstig uit het GBA, dan draagt betrokkene zelf de verantwoording voor aanpassing van de gegevens.

4. Indien de verantwoordelijke twijfelt aan de identiteit van de verzoeker, dan vraagt hij zo spoedig mogelijk aan de verzoeker schriftelijk nadere gegevens inzake zijn identiteit te verstrekken of een geldig identiteitsbewijs te overleggen. Door dit verzoek van de

verantwoordelijke wordt de termijn opgeschort tot het tijdstip dat het gevraagde bewijs is geleverd.

5. De betrokkene kan klachten over de toepassing van dit reglement kenbaar maken bij de verantwoordelijke van de Instelling waar betrokkene is ingeschreven dan wel een

inschrijvingsverzoek heeft ingediend. Indien er geen relatie is met een Instelling dan kan de klacht worden ingediend bij Stichting Studielink. Deze klacht kan hier schriftelijk ingediend worden. Indien de klacht betrekking heeft op artikel 30, derde lid, de artikelen 35, 36 of 38, tweede lid of de artikelen 40 of 41 van de WBP en niet op bevredigende wijze is afgehandeld, kan de betrokkene zich op grond van artikel 46 van de Wbp wenden tot de rechtbank.

PARAGRAAF 7 TOEGANG TOT BESTANDEN, BEHEER EN BEVEILIGING

Artikel 12 Rechtstreekse toegang tot de persoonsgegevens

1. Toegang tot de persoonsgegevens van betrokkene hebben:

a. De verantwoordelijke;

b. De gebruiker;

c. De beheerder;

d. De door de beheerder aangewezen bewerkers voor de persoonsgegevens;

e. De functioneel beheerders.

(7)

7 2. De functioneel beheerder zal via een codering- en wachtwoordbeveiliging de verschillende

functionarissen, bedoeld in het eerste lid, toegang geven tot bepaalde gedeelten van de persoonsgegevens of tot alle persoonsgegevens al naar gelang hun werkzaamheden dit vereisen.

Artikel 13 Verantwoordelijkheid

Het College van Bestuur van de Instelling is de verantwoordelijke voor de persoonsgegevens die verwerkt worden volgens de doelstelling in artikel 4 onderdeel a). Het College van Bestuur draagt zorg voor de naleving van het reglement alsmede voor de juistheid van de verzamelde gegevens tenzij anders is bepaald.

De hoofddirectie van DUO is de verantwoordelijke voor de persoonsgegevens die verwerkt worden volgens de doelstelling in artikel 4 onderdeel b) en c). De hoofddirectie draagt zorg voor de

naleving van het reglement alsmede voor de juistheid van de verzamelde gegevens tenzij anders is bepaald.

Artikel 14 Geheimhouding en beveiliging

1. De verantwoordelijke draagt zorg voor passende technische en organisatorische maatregelen ter voorkoming van verlies of onrechtmatige verwerking van persoonsgegevens. Deze maatregelen garanderen, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau, gelet op de risico´s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.

2. Gelijke plicht rust op de bewerker en subbewerker,.

3. Functionarissen die uit hoofde van hun functie kennis nemen van persoonsgegevens uit het bestand, zijn gehouden deze gegevens niet anders te gebruiken dan voor de uitoefening van hun functie nodig is en vertrouwelijk te behandelen.

Artikel 15 Bewaren, anonimiseren en vernietigen van gegevens

De persoonsgegevens worden in ieder geval niet verwijderd gedurende de looptijd van het onderwijs op grond waarvan de verwerkingen van gegevens van personen als bedoeld in artikel 6 plaatsvinden, en worden na afloop daarvan bewaard c.q. gearchiveerd voor een periode van twee jaar en daarna uit Studielink verwijderd.

Indien de desbetreffende gegevens zodanig zijn bewerkt, dat herleiding tot individuele personen redelijkerwijs onmogelijk is, kunnen zij in geanonimiseerde vorm bewaard blijven.

Persoonsgegevens van betrokkene die niet bij een Instelling wordt ingeschreven worden uiterlijk twee jaar na het tot stand komen van de persoonsgegevens uit Studielink verwijderd.

PARAGRAAF 8 SLOT- EN INVOERINGSBEPALINGEN

Artikel 16 Overgangs- en slotbepalingen

1. Onverminderd eventuele wettelijke bepalingen is dit reglement van kracht gedurende de gehele looptijd van de verwerking van de persoonsgegevens.

2. In geval van overdracht of overgang van de bestanden naar een andere verantwoordelijke dient de betrokkene van dit feit in kennis te worden gesteld, opdat tegen overdracht of overgang van op hun persoon betrekking hebbende gegevens bezwaar kan worden gemaakt.

(8)

8

Artikel 17 Inwerkingtreding en citeertitel

Dit reglement treedt in werking op 11 oktober 2013 en kan aangehaald worden als Privacyreglement Studielink.

Artikel 18 Inzage reglement

Dit reglement is te raadplegen via de website van Studielink.

Referenties

Download het nu ( PDF - 8 pagina - 310.83 KB )

GERELATEERDE DOCUMENTEN

1. Betrokkene: degene op wie de klacht betrekking heeft. Dit kan de zorgaanbieder zelf dan wel een medewerker van Begeleiding met 4 poten zijn.

klachtbehandeling kan hij zich wenden tot de klachtenfunctionaris of, in het geval zorg wordt verkregen op grond van de Jeugdwet en de klager dit wenst, rechtstreeks tot

Privacyreglement verwerking persoonsgegevens

Over de personen, zoals bedoeld in artikel 3, kunnen uitsluitend gegevens worden opgenomen voor zover verstrekt door de betrokkene, diens wettelijk3. vertegenwoordiger, de

Privacyreglement samenwerkingsverband Kindkracht

Over de personen, zoals bedoeld in artikel 3, kunnen uitsluitend gegevens worden opgenomen voor zover verstrekt door de betrokkene, diens wettelijk vertegenwoordiger, de

Indischa Flower neemt jouw privacy zeer serieus en zal informatie over jou (de betrokkene) op

Daarbij is telkens aangegeven welke gegevens Indischa Flower voor dat specifieke doel gebruikt, wat de juridische grondslag is om die gegevens te mogen verwerken en hoe lang de

Sorpasso neemt jouw privacy zeer serieus en zal informatie over jou (de betrokkene) op een

Gegevens: NAW-gegevens, E-mailadres, Dossiergegevens, Financiële gegevens, Gegevens die nodig zijn om de dienst te leveren, Gegevens die tijdens de dienst gegenereerd

Take Time neemt jouw privacy zeer serieus en zal informatie over jou (de betrokkene) op een

Daarbij is telkens aangegeven welke gegevens Take Time voor dat specifieke doel gebruikt, wat de juridische grondslag is om die gegevens te mogen verwerken en hoe lang de gegevens

Ter Hoeven Services neemt jouw privacy zeer serieus en zal informatie over jou (de betrokkene)

Daarbij is telkens aangegeven welke gegevens Ter Hoeven Services voor dat specifieke doel gebruikt, wat de juridische grondslag is om die gegevens te mogen verwerken en hoe lang

Flavourmaker neemt jouw privacy zeer serieus en zal informatie over jou (de betrokkene) op

Daarbij is telkens aangegeven welke gegevens Flavourmaker voor dat specifieke doel gebruikt, wat de juridische grondslag is om die gegevens te mogen verwerken en hoe lang de