Omgaan met persoonsgegevens binnen de UGent
Wat is AVG of GDPR?
De AVG is de afkorting van Algemene Verordening Gegevensbescherming (ook gekend als “GDPR” of General Data Protection Regulation in het Engels). Dit is de nieuwe privacywetgeving die sinds 25 mei 2018 van kracht is. De AVG zorgt voor een modernisering van de wetgeving rond privacy en creëert een uniform Europees wetgevend kader. Het geeft burgers/betrokkenen meer controle over de manier waarop hun persoonsgegevens verwerkt worden. De AVG vereist dat organisaties transparant en verantwoordelijk zijn ten aanzien van burgers/betrokkenen over hoe en waarom ze persoonsgegevens verwerken.
Bovendien kunnen EU-lidstaten voor bepaalde onderdelen van de AVG, zoals voor de uitzonderingen op de rechten van de betrokkenen, nationale wetgeving opstellen. Zo werd in België op 5 september 2018 de Wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens gepubliceerd in het Belgisch Staatsblad.
Aan de UGent werden de vereisten van de AVG vertaald naar de Generieke Gedragscode voor de verwerking van persoonsgegevens en vertrouwelijke informatie en in het Reglement voor correct gebruik van de ICT-infrastructuur van de UGent.
Wat zijn persoonsgegevens?
Persoonsgegevens zijn alle data over een geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct en/of indirect kan worden geïdentificeerd.
Enkele voorbeelden van persoonsgegevens zijn: naam, adres, e-mailadres, foto, ID-nummer, IP-adres, personeelsnummer, privé of professioneel telefoonnummer, login-gegevens, identificatiecookies, rekeningnummer, CV, loggegevens (o.m. cafetaria, parkinggebruik, webgebruik, surfgebruik), camerabeelden, personeelsbestanden, loongegevens, professionele uitgaven,
Bijzondere categorieën van persoonsgegevens (gevoelige persoonsgegevens) zijn persoonsgegevens die informatie bevatten over ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gegevens over gezondheid, gegevens over iemands seksueel gedrag of seksuele geaardheid. Indien deze informatie publiek beschikbaar wordt, bijvoorbeeld als gevolg van een datalek, kan dit zeer nadelige gevolgen hebben voor de betrokkenen.
Gegevens van overleden personen, van rechtspersonen of van dieren vallen buiten het toepassingsgebied van de AVG. Op deze gegevens kunnen evenwel andere wet- en regelgevingen van toepassing zijn.
Wat zijn geanonimiseerde en gepseudonimiseerde persoonsgegevens?
Gepseudonimiseerde persoonsgegevens (in de vorige Privacywetgeving aangeduid als ‘gecodeerde gegevens’) zijn persoonsgegevens (al dan niet gevoelig) die slechts door middel van een niet-publieke (geheime) sleutel in verband kunnen gebracht worden met een geïdentificeerde of identificeerbare persoon. Gepseudonimiseerde persoonsgegevens blijven persoonsgegevens die beschermd worden door de AVG.
Bij geanonimiseerde persoonsgegevens werd door middel van een verwerkingstechniek de mogelijkheid tot identificatie ‘onomkeerbaar’ verwijderd. Geanonimiseerde persoonsgegevens die met een redelijke inspanning terug te leiden zijn naar de oorspronkelijke individuen zijn geen anonieme gegevens; dit blijven (gepseudonimiseerde) persoonsgegevens waarop de AVG van toepassing is.
Let op, indien je zelf persoonsgegevens anonimiseert, werk je bij aanvang en tijdens het anonimiseren uiteraard wél met identificeerbare persoonsgegevens. De handeling van het anonimiseren wordt met andere woorden beschouwd als een verwerking van persoonsgegevens waardoor de AVG toegepast moet worden.
Anonieme gegevens zijn gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is (door geen enkel persoon op geen enkele wijze). Anonieme gegevens zijn geen persoonsgegevens en vallen niet onder het toepassingsgebied van de AVG.
Opgelet: zelfs indien je enkel geanonimiseerde of anonieme gegevens verwerkt, is het nog steeds belangrijk om de ethische aspecten omtrent het verzamelen of verwerken van deze gegevens te evalueren.
Wanneer verwerk je persoonsgegevens?
Een verwerking van persoonsgegevens is een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Wanneer je bijvoorbeeld een online inschrijvingsformulier aanmaakt waarbij studenten en personeelsleden (‘de betrokkenen’) zich kunnen registreren (voornaam, naam en emailadres) voor een openingslezing bij de start van het academiejaar, verwerk je persoonsgegevens. Dit geldt ook voor online contactformulieren waarbij studenten, personeelsleden of externen hun contactgegevens achterlaten opdat UGent-diensten hen in het kader van deze dienstverlening kunnen contacteren.
Wat zijn de basisprincipes van de AVG/GDPR?
De AVG is gebaseerd op zes basisprincipes waarmee je rekening moet houden bij de verwerking van persoonsgegevens:
- Rechtmatigheid, behoorlijkheid en transparantie: je bent verplicht om persoonsgegevens te verwerken op een transparante manier met respect voor alle wetten, reglementen en regels die van toepassing zijn
- Doelbinding (finaliteit en proportionaliteit): je mag persoonsgegevens enkel verwerken voor een welbepaald doel en de verwerking moet redelijk en proportioneel zijn voor het bereiken van dit doel
- Minimale gegevensverwerking: je mag enkel die persoonsgegevens gebruiken die noodzakelijk zijn voor het bereiken van de doelstellingen van de verwerkingsactiviteit
- Juistheid: de persoonsgegevens die je verwerkt, moeten accuraat zijn en (mits redelijke inspanningen) up to date gehouden worden
- Opslagbeperking: de persoonsgegevens die je verwerkt, mogen niet langer dan nodig bewaard worden
- Vertrouwelijkheid en integriteit: je moet als UGent’er op een confidentiële manier omgaan met persoonsgegevens en de gepaste maatregelen nemen om de vertrouwelijkheid en integriteit van deze gegevens te garanderen.
Hoe kan je ervoor zorgen dat de verwerking van persoonsgegevens rechtmatig gebeurt?
De verwerking van persoonsgegevens is alleen rechtmatig indien aan één van de zes voorwaarden of rechtsgronden van de AVG is voldaan. Elk verwerkingsdoeleinde moet dus gekoppeld worden aan één rechtsgrond. Het is heel belangrijk om aan de start van je verwerkingsactiviteit de toepasselijke rechtsgrond voor de verwerking aan te duiden in het AVG Register.
De verwerking van persoonsgegevens zal gebaseerd zijn op één van volgende rechtsgronden:
- De verwerking van persoonsgegevens is noodzakelijk in het kader van een wettelijke verplichting van de UGent, op grond van federale, decretale of Europese wetgeving.
- De verwerking is noodzakelijk voor de uitvoering van een overeenkomst met de betrokkene(n), diegene wiens gegevens worden verwerkt. Let op, dit gaat niet over de verwerkingsovereenkomst.
- De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de UGent of van een derde. Hierbij moet je kunnen aantonen dat er een belangenafweging gemaakt werd tussen het gerechtvaardigd belang van de gegevensverwerkers en de belangen van de personen wiens gegevens verwerkt worden (de betrokkenen).
- De betrokkenen hebben expliciet toestemming gegeven voor de verwerking van hun persoonsgegevens. De toestemming als rechtsgrond moet volgens de AVG aan een aantal voorwaarden voldoen om geldig te zijn. Daarnaast hebben betrokkenen ook verschillende rechten met betrekking tot de verwerking van hun persoonsgegevens en kunnen de betrokkenen op basis van de AVG bijvoorbeeld hun toestemming op elk moment terug intrekken. Dit heeft tot gevolg dat er geen verdere verwerking van de reeds verzamelde persoonsgegevens meer mag plaatsvinden. De gegevens die verzameld werden vóór de intrekking van de toestemming, worden niet aangetast door de intrekking.
- Bepaalde verwerkingsactiviteiten van persoonsgegevens kunnen kaderen in het algemeen belang, dit wil zeggen dat het leidt tot een vermeerdering van de kennis en het inzicht die de maatschappij (direct of indirect) ten goede komt.
- In eerder uitzonderlijke situaties is de verwerking van persoonsgegevens gebaseerd op de grondslag van de vitale belangen van de betrokkenen of een andere natuurlijk persoon. De vitale belangen spelen wanneer er zich een levensbedreigende situatie voordoet waarin de verwerking van de persoonsgegevens cruciaal is. We denken aan een verkeersongeval waarbij een student dringend medische hulp nodig heeft en zelf niet meer kan toestemmen, of in het kader van een onrustwekkende verdwijning.
Wat houdt mijn zelfverantwoordingsplicht in?
Als personeelslid moet je je verantwoordelijkheid nemen bij de verwerking van persoonsgegevens. Dit houdt in dat je steeds de Generieke gedragscode voor de verwerking van persoonsgegevens en vertrouwelijke informatie van de UGent moet naleven. Daarnaast ga je op een bewuste manier om met persoonsgegevens en denk je tijdig na over de bescherming van de gegevens. Tot slot contacteer je zo snel mogelijk de UGent Data Protection Officer bij privacygerelateerde vragen en onderneem je plichtsbewust de nodige stappen wanneer je een gegevenslek ontdekt (zie ‘Wat doe ik bij een inbreuk in verband met persoonsgegevens/een gegevenslek?’).
Hoe beveilig ik mijn data op een correcte manier?
Het nemen van passende technische en organisatorische maatregelen is een onderdeel van de zelfverantwoordingsplicht die je als UGent-personeelslid hebt. Je dient voor de gegevensverwerking reeds na te denken over de manier waarop je de persoonsgegevens veilig zal verwerken en bewaren. In alle stadia van de gegevensverwerking moet je nadenken over hoe dit het best vormgegeven kan worden.
Zo kan je nagaan of de persoonsgegevens gepseudonimiseerd of geanonimiseerd kunnen worden, opdat de gegevens niet vrij toegankelijk en leesbaar zijn, maar beschermd worden door middel van een “sleutel” of “code”. Hou hierbij rekening met het doeleinde waarvoor je de gegevens nodig hebt.
Daarnaast dient de toegang tot de persoonsgegevens beperkt te zijn tot de strikt noodzakelijke personen. Wie toch toegang heeft tot de persoonsgegevens, ziet erop toe dat hij/zij gebruik maakt van een sterk wachtwoord en beveiligde netwerken als Athena, MS Office 365 cloud toepassingen en eduroam-wifi. Het gebruik van encryptie voor de opslag of bij de doorgifte van data wordt sterk aanbevolen, zeker wanneer je werkt met externe clouddiensten. Je kan ervoor kiezen om één of enkele bestanden te encrypteren of om de volledige systeemschijf van je laptop of computer te encrypteren. Voor een overzicht van verschillende encryptiemogelijkheden kan je de encryptie-toolbox en de bijhorende handleiding encryptie bekijken.
Naast anonimiseren, pseudonimiseren en encryptie zijn er nog tal van andere organisatorische en technische beveiligingsmaatregelen die het risico voor de betrokkenen inperken zoals:
- clean desk policy
- sleutelbeleid van kantoren
- gebruik van schermbeveiliging Windows L-toets om scherm te blokkeren
- bewaring van databestanden of documenten op de UGent netwerkschijven of centraal aangeboden opslagmogelijkheden
- gebruik van veilige systemen voor doorgifte van data (bv. Filesender van Belnet)
- gebruik van veilige procedures voor het vernietigen van data
Hier vind je meer informatie over beveiliging van gegevens.
Hoe ben je transparant tegenover de betrokkene(n)?
Het informeren van de personen wiens persoonsgegevens verwerkt worden (de betrokkenen) is één van de basisprincipes van de AVG (‘transparantie’). Als medewerker is het mede jouw taak om ervoor te zorgen dat deze informatie op een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal aan de betrokkenen gecommuniceerd wordt.
Je kan deze informatie op verschillende manieren verstrekken zoals via een nieuwsbericht, een vermelding op de website, een privacyverklaring, een informatiebrief of een brochure. Deze informatiebrief hoeft niet te worden ondertekend door de betrokkenen, maar moet wel ter beschikking worden gesteld voor de gegevensverwerking van start gaat.
Bijvoorbeeld, wanneer je als UGent-personeelslid tijdens de uitvoering van je functie een (online) contactformulier gebruikt om contactgegevens van deelnemers voor een evenement te verzamelen, zal je een infostuk moeten opstellen waarin alle noodzakelijke informatie wordt meegedeeld aan de betrokkenen alvorens je hun persoonsgegevens gaat verwerken. De informatieverstrekking moet minstens volgende elementen bevatten:
- Omschrijving van welke (bijzondere) categorieën persoonsgegevens er verwerkt worden
- Het doel(en) en rechtsgrond(en) van de verwerking van persoonsgegevens
- De bewaartermijn van de verwerkte persoonsgegevens (zie FAQ ‘Hoe lang mogen persoonsgegevens bewaard worden?’)
- Wie er toegang heeft tot de persoonsgegevens
- Hoe de vertrouwelijkheid van de gegevens gegarandeerd wordt (pseudonimisering, encryptie, …)
- De rechten van de betrokkenen, en hoe moeten ze deze uitoefenen (zie FAQ ‘Welke rechten hebben de betrokkenen?’)
- Contactgegevens van het verantwoordelijke UGent-personeelslid of de faculteit/universiteitsdienst waaraan hij/zij verbonden is en van de UGent Data Protection Officer
Waar moet je aan denken bij het gebruik van mailinglijsten?
Wanneer je als UGent-personeelslid gebruik maakt van een lijst e-mailadressen (zgn. mailinglijst) waarnaar je regelmatig berichten stuurt, dien je de regels uit de AVG te respecteren. Dit geldt zowel voor interne als voor externe communicatie.
Voor interne communicatie waarbij de UGent in het algemeen, of bepaalde universiteitsdiensten in het bijzonder, informatie stuurt waarbij het van essentieel belang is dat de bestemmelingen er kennis van nemen, is geen toestemming nodig.
Voor andere interne communicatie is er wél toestemming nodig indien de ontvangers geen belang of voordeel hebben bij het ontvangen van de informatie en/of het informatie op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied betreft.
Bij externe communicatie met zakelijke bestemmelingen, heb je als personeelslid geen toestemming van de bestemmelingen nodig. Voor particuliere bestemmelingen is de actieve voorafgaande toestemming wél vereist.
De bestemmelingen moeten steeds geïnformeerd worden over deze communicatie én er moet een uitschrijfmogelijkheid voorzien zijn, zowel bij de interne als bij de externe communicatie. Hierbij is het uiteraard ook belangrijk om degenen die zich hebben uitgeschreven effectief uit de mailinglijst te halen en niet opnieuw te contacteren.
Een mogelijke formulering voor de uitschrijving kan je hieronder vinden:
“U ontvangt deze informatie vanwege (aangeven welke universiteitsdienst/faculteit/… binnen de UGent). Indien U deze informatie niet meer wenst te ontvangen, klikt U [hier]. Met al uw vragen kan U terecht bij [e-mail van de contactpersoon die binnen de betrokken dienst instaat voor het beheer van het relevante bestand]. U kan uw rechten uitoefenen via [e-mail van de contactpersoon die binnen de betrokken dienst instaat voor het beheer van het relevante bestand]. Indien U vragen heeft aangaande privacy of uw gegevens, kan U de privacyverklaring raadplegen of de Data Protection Officer van de UGent (Functionaris voor Gegevensbescherming) contacteren via privacy@ugent.be.”
You receive this information on behalf of (indicate which department /faculty/… within UGent). If you no longer wish to receive this information, please click [unsubscribe]. If you have any questions, please contact [e-mail from the contact person responsible for managing the relevant file within the service concerned]. You can exercise your rights via [e-mail from the contact person responsible for managing the relevant file within the relevant service]. If you have any questions regarding privacy or your data, you can review the privacy statement or contact the Data Protection Officer of Ghent University via privacy@ugent.be.”
Hoe lang mogen persoonsgegevens bewaard worden?
Volgens de AVG mogen persoonsgegevens niet langer bewaard worden dan nodig is voor het bereiken van de doeleinden waarvoor ze worden verwerkt (basisprincipe ‘opslagbeperking’). Dit betekent bijvoorbeeld dat je na afloop van een evenement de gegevens van de deelnemers dient te verwijderen.
Het kan echter mogelijk zijn dat je de gegevens toch langer dient te bewaren, zoals wanneer je wettelijk verplicht bent om de gegevens te bewaren (bv. fiscale of sociale wetgeving). In uitzonderlijke gevallen kunnen persoonsgegevens langer bewaard worden op basis van de (vrije) toestemming van de betrokkene.
Welke rechten hebben de betrokkenen?
Wanneer je persoonsgegevens verwerkt, hebben de betrokkenen (degenen wiens persoonsgegevens je verwerkt) bepaalde rechten die ze kunnen uitoefenen ten aanzien van hun persoonsgegevens. Je zal merken dat de rechten van de betrokkenen afhankelijk zijn van de toepasselijke rechtsgrond (zie ‘Hoe kan je ervoor zorgen dat de verwerking van persoonsgegevens rechtmatig gebeurt?’).
- De betrokkene heeft het recht op toegang tot zijn/haar persoonsgegevens. Dit betekent dat hij/zij kan vragen om informatie te verstrekken over de persoonsgegevens die over hem/haar bewaard worden. De betrokkenen kunnen ook een kopie van hun persoonsgegevens opvragen.
- De betrokkene heeft het recht om te verzoeken zijn/haar persoonsgegevens te corrigeren als de betrokkene kan aantonen dat de persoonsgegevens onjuist, onvolledig of verouderd zijn.
- Als de persoonsgegevens verwerkt worden op basis van de toestemming van de betrokkene, bijvoorbeeld om externe nieuwsbrieven te sturen, heeft de betrokkene altijd het recht om deze eerder gegeven toestemming in te trekken.
- De betrokkene kan verzoeken om zijn/haar persoonsgegevens te verwijderen als ze niet langer nodig zijn voor de doeleinden waarvoor je ze hebt verzameld, als het onwettig was om ze te verzamelen of als de betrokkene met succes zijn/haar recht uitoefende om de toestemming in te trekken of een recht om bezwaar te maken tegen de verwerking van zijn/haar persoonsgegevens. Als een van deze omstandigheden van toepassing is, zullen de persoonsgegevens onmiddellijk verwijderd dienen te worden, tenzij wettelijke verplichtingen of administratieve of gerechtelijke bevelen verbieden om deze persoonsgegevens te verwijderen.
- In de volgende omstandigheden kan de betrokkene ook vragen om de verwerking van zijn/haar persoonsgegevens te beperken:
- terwijl je zijn/haar verzoek om persoonsgegevens te corrigeren beoordeelt;
- terwijl je zijn/haar bezwaar tegen de verwerking van persoonsgegevens beoordeelt;
- als een dergelijke verwerking onrechtmatig was, maar de betrokkene de voorkeur geeft aan een beperking boven verwijdering;
- als je zijn/haar persoonsgegevens niet langer nodig hebt, maar de betrokkene heeft ze nodig voor het instellen, uitoefenen of verdedigen van rechtsvorderingen.
- Als je persoonsgegevens verwerkt voor de doeleinden van de eigen gerechtvaardigde belangen van de UGent, heeft de betrokkene het recht om bezwaar maken tegen deze verwerking van zijn/haar persoonsgegevens.
- Als je persoonsgegevens hebt verzameld op basis van de toestemming of omdat dit nodig was voor de uitvoering van een overeenkomst met de betrokkene, heeft de betrokkene het recht om een kopie te verkrijgen in een gestructureerd, veelgebruikt en machine-leesbaar formaat. Dit recht is alleen van toepassing op de persoonsgegevens die die betrokkene zelf aan de UGent heeft verstrekt.
- Als de verwerking van persoonsgegevens gebaseerd is op de toestemming van de betrokkene, een overeenkomst of wanneer de verwerking via een geautomatiseerd proces tot stand kwam, heeft de betrokkene recht op overdraagbaarheid van zijn/haar (digitale) persoonsgegevens. Deze overdracht van gegevens naar een andere verwerkingsverantwoordelijke is enkel mogelijk voor zover dit technisch haalbaar is.
Voor meer vragen omtrent deze rechten en het waarborgen daarvan kan je de Data Protection Officer contacteren via privacy@ugent.be.
Wat doe ik bij een inbreuk in verband met persoonsgegevens/een datalek?
Van een inbreuk in verband met persoonsgegevens, ook wel een datalek genoemd, is sprake wanneer persoonsgegevens, niet-geautoriseerd of onbedoeld, bekendgemaakt, gewijzigd of verloren zijn. Dit zijn inbreuken die de vertrouwelijkheid, integriteit en beschikbaarheid van de verwerking van persoonsgegevens aantasten, en zo mogelijks een impact hebben op de rechten en vrijheden van de betrokkenen.
Wanneer je zo’n gegevenslek vaststelt, is het belangrijk dat je snel actie onderneemt. Binnen de UGent wordt volgend stappenplan gehanteerd:
- Zodra je een gegevenslek opmerkt, neem je contact op met de Directie Informatie- en Communicatietechnologie (DICT) via mail (helpdesk@ugent.be). DICT helpt je om het gegevenslek stop te zetten, de schade te beperken en begeleidt je bij de verdere procedure.
- Indien nodig zal DICT contact opnemen met de UGent Data Protection Officer (DPO) die zal adviseren om al dan niet over te gaan tot melding bij de toezichthoudende autoriteiten en/of mededeling aan de betrokkenen.
Moet ik rekening houden met cookies?
Cookies zijn kleine tekst- of databestanden, trackers, pixels, plug-ins, apps of apples die kunnen worden geplaatst op een apparaat dat verbonden is met het internet. De meest gekende cookies worden geplaatst wanneer je een website bezoekt of een applicatie gebruikt, zodat deze website of applicatie informatie over de gebruiker kan verzamelen en opslaan (bv. taal, persoonlijke voorkeuren, surfgedrag).
Deze informatie kan (in)direct leiden tot de identificatie van een natuurlijk persoon waardoor cookies persoonsgegevens verzamelen en je de AVG en de e-privacyrichtlijn dient toe te passen. De rechtsgrond is afhankelijk van het type cookies:
- De verwerking van functionele cookies, die noodzakelijk zijn voor het functioneren van de website of de applicatie, vereisen geen toestemming van de betrokkene.
- Voor de verwerking van niet-functionele of statistische cookies is wel de voorafgaande, actieve toestemming van de betrokkene vereist, tenzij de verwerking noodzakelijk is voor de uitvoering van een overeenkomst.
Concreet vraag je de toestemming van de betrokkene via een cookie banner die getoond wordt bij het eerste gebruik van een website of applicatie en die de betrokkene toelaat zijn/haar toestemming te geven voor het plaatsen van de cookies.
De toestemming van de betrokkene is onderworpen aan enkele strenge voorwaarden. Zo dien je, om transparantieredenen, de betrokkene wettelijk bepaalde informatie te verschaffen omtrent de verwerking van zijn/haar persoonsgegevens. Deze informatie geef je ofwel direct mee in de cookie banner, ofwel via een link naar een cookieverklaring.
Ook als UGent medewerker moet je dus rekening houden met de huidige cookiewetgeving.
Waaraan moet ik denken wanneer ik gegevens deel?
Gezien de brede opvatting van ‘verwerking’ binnen de AVG, wordt ook het delen van persoonsgegevens beschouwd als een verwerking van persoonsgegevens onder toepassing van de AVG.
Het kan noodzakelijk zijn dat je deze persoonsgegevens dient te delen met verschillende actoren binnen of buiten de UGent. De persoonsgegevens die je verzamelde mogen enkel gedeeld worden als de doeleinden van deze oorspronkelijke verzameling verenigbaar zijn met de doeleinden van het delen ervan. Wanneer je bijvoorbeeld persoonsgegevens verzamelt met het oog op studentenadministratie, mag je deze persoonsgegevens niet zonder meer doorgeven aan commerciële partijen aangezien zij doeleinden nastreven die vermoedelijk onverenigbaar zijn met het oorspronkelijke doeleinde van de studentenadministratie.
Indien de gegevens gedeeld worden met personen buiten de UGent kan het noodzakelijk zijn om een overeenkomst op te stellen om de inhoud van de doorgifte en de verwerking vast te leggen. Het is dus belangrijk om te weten welke partijen over welke persoonsgegevens (kunnen en mogen) beschikken. Wanneer je bijvoorbeeld beroep doet op een externe enquête-tool, zal ook deze tool persoonsgegevens verwerken en wordt dit als een doorgifte beschouwd.
Naast bovenstaande richtlijnen, kan ook het land waarin de ontvangers, instellingen of organisaties gevestigd zijn, bepaalde eisen of voorwaarden stellen aan de doorgifte van data.
Heb je na het lezen van deze informatie nog vragen omtrent het delen en hergebruiken van persoonsgegevens, contacteer dan de Data Protection Officer via privacy@ugent.be.
Wat is het AVG Register en hoe worden verwerkingen van persoonsgegevens aan de UGent geregistreerd?
De AVG vereist dat alle verwerkingen van persoonsgegevens aan UGent geregistreerd en dus gedocumenteerd worden in een ‘register van verwerkingsactiviteiten’, het AVG Register. Deze interne registratieverplichting vervangt de vroegere ‘aangifteplicht’ bij de Privacycommissie en is een essentieel hulpmiddel voor de UGent en bij uitbreiding de UGent’ers om de verantwoordingsplicht te voldoen.
Binnen de UGent vindt deze registratie plaats via 2 invultools, respectievelijk voor de verwerkingsactiviteiten buiten een onderzoeksgerelateerde context en voor de verwerkingsactiviteiten binnen onderzoeksgerelateerde context.
Voor de verwerkingsactiviteiten buiten onderzoeksgerelateerde context, bijvoorbeeld door de centrale en facultaire administratie, gebeurt de registratie op basis van IT-toepassingen aan de UGent. Per IT-toepassing die persoonsgegevens verwerkt, wordt er in samenspraak met de betrokken decaan directeur en/of het hoofd een toepassingseigenaar aangeduid. Deze toepassingseigenaar kan ofwel zelf de registratie uitvoeren, ofwel hiervoor een contactpersoon aanduiden. Zowel nieuwe als lopende verwerkingsactiviteiten dienen geregistreerd te worden.
Indien je meer informatie wenst over de AVG Registratie aan de UGent, kan je contact opnemen met de Data Protection Officer via privacy@ugent.be.