Alle informatie die herleidbaar is naar een persoon, is een persoonsgegeven. Als je persoonsgegevens gebruikt, moet je je altijd aan de basisprincipes van de Algemene Verordening Gegevensbescherming (AVG) houden.
Als je nieuwe persoonsgegevens wilt gaan gebruiken, of bestaande persoonsgegevens op een andere manier wilt gaan gebruiken, dan moet je dit melden bij de Privacy Officer van je afdeling. Ook als je twijfelt, kun je je melden.
Persoonsgegevens herkennen
Alle informatie die herleidbaar is naar een persoon, is een persoonsgegeven. Daaronder vallen directe persoonsgegevens, zoals een naam, adres of Burgerservicenummer (BSN). Maar ook informatie die in combinatie met andere gegevens tot een persoon herleidbaar zijn, zijn persoonsgegevens. Denk hierbij aan een GPS-locatie, kenteken of haarkleur. Ook als je deze informatie onder een pseudoniem verwerkt, blijven het persoonsgegevens. Kortom, bijna alle informatie die iets met een persoon te maken heeft, is een persoonsgegeven. Neem bij twijfel altijd contact op met de Privacy Officer van je afdeling.
Voorbeelden op het werk
Je gebruikt persoonsgegevens als je bijvoorbeeld:
- persoonsgegevens en/of gepseudonimiseerde gegevens verzamelt voor een bepaald doel, zoals voor een onderzoek of het maken van een app;
- een systeem gebruikt waarin persoonsgegevens en/of gepseudonimiseerde gegevens worden verwerkt, zoals in een customer relations management systeem (CRM).
Richtlijnen
Als je persoonsgegevens gebruikt moet je je altijd aan de volgende 7 basisprincipes van de Algemene Verordening Gegevensbescherming (AVG) houden. Neem bij vragen contact op met de Privacy Officer van je afdeling.
1. Rechtmatigheid, behoorlijkheid, en transparantie
Je moet een goede reden, ook wel bekend als ‘grondslag’, hebben om persoonsgegevens te verzamelen. Ga fatsoenlijk om met deze persoonsgegevens en wees transparant over welke gegevens je verwerkt en waarom.
2. Doelbinding
Je mag persoonsgegevens alleen verzamelen en gebruiken voor een specifiek doel. Als je gegevens verzamelt voor een bepaald doel, mag je ze niet voor een ander doel gebruiken.
3. Minimale gegevensverwerking
Je mag alleen de persoonsgegevens verzamelen en gebruiken die je ook echt nodig hebt om je doel te bereiken. Denk er ook over na of je gegevens kunt anonimiseren, zodat je zo min mogelijk herleidbare persoonsgegevens gebruikt. Let erop dat extra gegevens opvragen, omdat het in de toekomst misschien handig zou kunnen zijn, verboden is.
4. Juistheid
Opgeslagen gegevens moeten kloppen. Als ze niet correct zijn moet je dit zo snel mogelijk verbeteren.
5. Opslagbeperking
Je mag gegevens niet langer bewaren dan nodig. Sla de gegevens ook niet op verschillende plaatsen op als dat niet absoluut nodig is. Je moet de gegevens namelijk na de bewaartermijn vernietigen.
6. Integriteit en vertrouwelijkheid
Je moet gegevens altijd voldoende beveiligen. Dit kan technische maatregelen omvatten (bijvoorbeeld om te zorgen dat we niet gehackt worden), maar ook een besef van vertrouwelijkheid bij medewerkers. Zet bijvoorbeeld niet zomaar iemand in de cc en stuur geen mails door als dat niet noodzakelijk is.
7. Verantwoordingsplicht
De Universiteit als organisatie moet kunnen laten zien hoe zij zich aan de AVG-regels houdt. Medewerkers zijn daarom verplicht om het gebruik van persoonsgegevens op de juiste manier te registreren. De Privacy Officer van je afdeling kan je hierbij helpen.