Regeling Bescherming Persoonsgegevens

Versie 2019 besproken in CvB vergadering d.d. 12 november 2019

In deze regeling wordt toegelicht hoe er op basis van de geldende wet- en regelgeving binnen de Radboud Universiteit op specifieke punten met de verwerking van persoonsgegevens wordt omgegaan.

Preambule

De Radboud Universiteit respecteert de privacy van Betrokkenen en verwerkt persoonsgegevens in overeenstemming met de geldende wet- en regelgeving. Per 25 mei 2018 wordt de verwerking van persoonsgegevens onder meer geregeld door de Algemene Verordening Gegevensbescherming en de Uitvoeringswet Algemene Verordening Gegevensbescherming. In deze regeling wordt toegelicht hoe er op basis van de geldende wet- en regelgeving binnen de Radboud Universiteit op specifieke punten met de verwerking van persoonsgegevens wordt omgegaan.

Deze regeling is van toepassing op de geheel of gedeeltelijk geautomatiseerde/systematische verwerking van Persoonsgegevens die plaatsvindt onder de verantwoordelijkheid van de Radboud Universiteit, alsmede op de daaraan ten grondslag liggende documenten die in een bestand zijn opgenomen, en op de nietgeautomatiseerde verwerking van Persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. De Radboud Universiteit verwerkt onder meer gegevens van (potentiële) studenten, cursisten, alumni, sollicitanten, (ex)medewerkers, gasten, bezoekers en externe relaties. Het beheer en gebruik van persoonsgegevens en data verzameld in het kader van wetenschappelijk onderzoek en ten behoeve van statistiek valt niet onder deze regeling, maar wordt afzonderlijk geregeld. Zie de pagina over research data management (zie http://www.ru.nl/rdm/) en de website van de Universiteiten van Nederland.

De persoonlijke levenssfeer van Betrokkenen wordt zoveel mogelijk gerespecteerd. De (wijze van) verwerking van persoonsgegevens dient ten aanzien van Betrokkenen rechtmatig, behoorlijk, zorgvuldig en transparant te zijn. Persoonsgegevens van Betrokkenen worden beschermd tegen onwettelijk en ongeautoriseerd gebruik. De Radboud Universiteit beoogt een goede balans te hanteren tussen bescherming van de persoonlijke levenssfeer, functionaliteit en veiligheid.

De Radboud Universiteit informeert betrokkenen middels de privacyverklaring welke persoonsgegevens er door de Radboud Universiteit worden verzameld en voor welke doeleinden en op welke grondslagen dat gebeurt, hoe deze persoonsgegevens worden verwerkt, welke rechten Betrokkenen hebben als hun persoonsgegevens worden verwerkt en waar zij met vragen of verzoeken over hun privacy terecht kunnen.

In het interne informatieveiligheidsbeleid (zie https://www.radboudnet.nl/privacy/ru/ru-beleid/) is nader uitgewerkt welke maatregelen de Radboud Universiteit neemt om een passend beveiligingsniveau te waarborgen en met welke technische en organisatorische maatregelen de Radboud Universiteit onrechtmatige verwerking van Persoonsgegevens voorkomt.

Hoofdstuk 1 – Algemene bepalingen

Artikel 1. Definities 

In dit reglement wordt verstaan onder: 

  1. Persoonsgegevens: gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon; 
  2. Bijzondere categorieën van persoonsgegevens: gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op unieke identificatie van een persoon, of gegevens met betrekking tot iemands gezondheid of seksuele geaardheid; 
  3. Betrokkene(n): de natuurlijke persoon of natuurlijke personen op wie de gegevens betrekking hebben; 
  4. Verwerkingsverantwoordelijke: College van Bestuur van de Radboud Universiteit indien dit het orgaan is dat het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; 
  5. Verwerker: een door de Radboud Universiteit ingeschakelde derde partij die ten behoeve van de Radboud Universiteit, op basis van (schriftelijke) instructies van de Radboud Universiteit, Persoonsgegevens verwerkt, conform het door de Radboud Universiteit bepaalde doel en middelen van de verwerking. Hierbij is ook belangrijk dat degene die deze verwerking dan uitvoert niet onder direct gezag van de verwerkingsverantwoordelijke staat. Een medewerker van een organisatie die de verwerking zelf uitvoert wordt niet beschouwd als een verwerker in de zin van de AVG, maar de organisatie wel; 
  6. Verwerking: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedures, zoals het verzamelen, vastleggen, opslaan, doorgeven en ordenen van gegevens; 
  7. Verwerkersovereenkomst: overeenkomst tussen verwerkingsverantwoordelijke en verwerker waarin het onderwerp, de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens dat verwerkt wordt, de categorieën van Betrokkenen en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden vastgelegd; 
  8. Domeineigenaar: de verantwoordelijke voor het voldoen van het (ICT-)bedrijfsmiddel aan de eisen die daar vanuit de bedrijfsprocessen aan gesteld worden en dat het (ICT-)bedrijfsmiddel voldoet aan het informatieveiligheidsbeleid;
  9. Derde: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, dienst of ander orgaan, niet zijnde Betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch een persoon die rechtstreeks onder gezag van de verwerkingsverantwoordelijke of verwerker gemachtigd is om de persoonsgegevens te verwerken; 
  10. Ontvanger: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, dienst of ander orgaan, al dan niet een derde, aan wie/waaraan persoonsgegevens worden verstrekt; 
  11. Functionaris Gegevensbescherming (FG): de door het CvB aangewezen functionaris die toezicht houdt op de toepassing en naleving van de AVG binnen de Radboud Universiteit; 
  12. Toestemming van Betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee Betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;  
  13. Inbreuk in verband met persoonsgegevens (datalek): een inbreuk op de beveiliging die opzettelijk of onopzettelijk leidt tot vernietiging, verlies, wijziging, de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens; 
  14. Register van verwerkingsactiviteiten: register waarin wordt geregistreerd welke verwerkingsactiviteiten plaatsvinden binnen de Radboud Universiteit; 
  15. Privacy by default: een gegevensverwerking waarbij de standaardinstellingen van producten en diensten zo zijn ingesteld dat de privacy van Betrokkenen maximaal wordt gewaarborgd. Dit betekent onder meer dat er zo min mogelijk gegevens worden gevraagd en verwerkt; 
  16. Privacy by design: het beheer van de gehele levenscyclus van Persoonsgegevens, vanaf het verzamelen tot het verwerken en verwijderen, waarbij mechanismen zo zijn ontworpen dat zij zo veel mogelijk rekening houden met de privacy van Betrokkenen. Hierbij wordt stelselmatig aandacht besteed aan allesomvattende waarborgen m.b.t. nauwkeurigheid, vertrouwelijkheid, integriteit, fysieke veiligheid en verwijdering van Persoonsgegevens; 
  17. Privacy Impact Assessment (gegevensbeschermingseffectbeoordeling): een beoordeling die helpt bij het identificeren van privacy risico’s en inzicht biedt om deze risico’s te verkleinen tot een acceptabel niveau; 
  18. Algemene Verordening Gegevensbescherming (AVG): Verordening (EU) 2016/679 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG;  
  19. Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG): Wet van 16 mei 2018, houdende regels ter uitvoering van Verordening (EU) 2016/679 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.

Hoofdstuk 2. Rollen en verantwoordelijkheden

Artikel 2:1 Uitgangspunten bij de verwerking persoonsgegevens 

De Radboud Universiteit verwerkt persoonsgegevens overeenkomstig de toepasselijke wet- en regelgeving. De (wijze van) verwerking van persoonsgegevens dient ten aanzien van Betrokkenen rechtmatig, behoorlijk, zorgvuldig en transparant te zijn. Persoonsgegevens van Betrokkenen worden beschermd tegen onwettelijk en ongeautoriseerd gebruik. De Radboud Universiteit beoogt een goede balans te hanteren tussen bescherming van de persoonlijke levenssfeer van Betrokkenen, functionaliteit en veiligheid. Binnen deze balans wordt er op basis van samenwerking met privacymanagers gepoogd om werkbare situaties te creëren op basis van een praktische invulling van de Regeling Bescherming Persoonsgegevens.

Artikel 2:2 Verwerkingsverantwoordelijke

  1. Het College van Bestuur van de Radboud Universiteit is in het kader van het bestuur en beheer van de universiteit Verwerkingsverantwoordelijke. Het College van Bestuur bepaalt het beleid, de maatregelen en de procedures op het gebied van de Verwerking van Persoonsgegevens. 
  2. De feitelijke Verwerking van Persoonsgegevens vindt binnen verschillende niveaus van de Radboud Universiteit plaats. Het zorgvuldig omgaan met Persoonsgegevens is ieders verantwoordelijkheid. De Radboud Universiteit zorgt hiervoor door onder andere training en voorlichting met betrekking tot het verwerken van persoonsgegevens voor zowel medewerkers als studenten. Er wordt van medewerkers, studenten en gasten verwacht dat gedrags- en integriteitscodes worden nageleefd en toegepast en dat men zich in algemeenheid integer gedraagt en zorgvuldig met Persoonsgegevens om gaat. Voor medewerkers is er bijvoorbeeld een geheimhoudingsplicht in de CAO opgenomen. 
  3. Ook personen voor wie niet reeds uit hoofde van ambt, beroep op wettelijk voorschrift een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de Persoonsgegevens waarvan zij kennisnemen, behalve wanneer enig wettelijk voorschrift hen tot mededeling verplicht of uit de aan die persoon opgedragen taak binnen de Radboud Universiteit de noodzaak tot mededeling voortvloeit.

Artikel 2:3 Beheer van persoonsgegevens van aspirant-studenten en andere geïnteresseerden; 

  1. Centraal 
    De directeur Dienst Communicatie & Marketing (DMC) draagt zorg voor de verwerking en bescherming van deze categorie.  
  2. Facultair 
    De decanen van de faculteiten dragen zorg voor de verwerking en bescherming van de categorieën persoonsgegevens van aspirant-studenten en andere geïnteresseerden die berusten bij de faculteiten.

Artikel 2:4 Beheer van persoonsgegevens van studenten;

  1. De directeur Dienst Studenten Zaken (DSZ) draagt zorg voor de verwerking en bescherming van de categorieën van persoonsgegevens van studenten die berusten bij de centrale studentenadministratie en bij de centraal universitaire studentenvoorzieningen.
  2. De decanen van de faculteiten dragen zorg voor de verwerking en bescherming van de categorieën persoonsgegevens van studenten die berusten bij de faculteiten.

Artikel 2:5 Beheer van persoonsgegevens van medewerkers;

  1. De directeur Dienst Personeel & Organisatie (DPO) draagt zorg voor de verwerking en bescherming van de categorieën van persoonsgegevens van medewerkers die berusten op centraal niveau.  
  2. De decanen van de faculteiten dragen zorg voor de verwerking en bescherming van de categorieën van persoonsgegevens van medewerkers die berusten bij de faculteiten. 
  3. De directeuren van de instituten dan wel afdelingen, onderdelen of diensten dragen zorg voor de verwerking en bescherming van de categorieën van persoonsgegevens van medewerkers die berusten bij de betreffende instituten respectievelijk afdelingen.

Artikel 2:6 Beheer van persoonsgegevens van cursisten, alumni, andere relaties en externen;

  1. De directeuren van de instituten dan wel afdelingen, onderdelen of diensten dragen zorg voor de verwerking en bescherming van de categorieën van persoonsgegevens van cursisten, alumni, andere relaties en externen die berusten bij de betreffende instituten respectievelijk afdelingen.

Artikel 2:7 Functionaris Gegevensbescherming

  1. Het College van Bestuur heeft een interne toezichthouder op de Verwerking van Persoonsgegevens aangesteld. Dit is de Functionaris Gegevensbescherming (FG). 
  2. De Functionaris Gegevensbescherming van de Radboud Universiteit is aangemeld bij de Autoriteit Persoonsgegevens.  
  3. De Functionaris Gegevensbescherming en het FG-bureau zijn per e-mail bereikbaar via privacy [at] ru.nl
  4. De Functionaris Gegevensbescherming heeft de navolgende taken: 
    a. 
    Het ontwikkelen van beleid ten aanzien van verwerking van persoonsgegevens in overeenstemming met de geldende wet- en regelgeving en het adviseren van het College van Bestuur hierover. 
    b. Het (laten) uitvoeren en toetsen van Data Privacy Impact Assessments (DPIA). 
    c. 
    Het inventariseren van gegevensverwerkingen. 
    d. 
    Het ontwikkelen van interne regelgeving. 
    e. 
    Het bijhouden van het register van verwerkingsactiviteiten.
    f. 
    Behandeling van vragen en klachten van Betrokkenen aangaande de verwerking van persoonsgegevens door de Radboud Universiteit.
    g. 
    Voorlichten en adviseren.
    h.
     Toezien op de naleving van het beleid ten aanzien van verwerking van persoonsgegevens.
    i. 
    Het melden van datalekken bij de Autoriteit Persoonsgegevens.
  5. De Functionaris Gegevensbescherming en zijn plaatsvervanger zijn door het College van Bestuur gemachtigd om namens het College van Bestuur: 
    a. 
    Te fungeren als aanspreekpunt voor Betrokkenen in zaken betreffende de verwerking van hun persoonsgegevens en om verzoeken van Betrokkenen inzake de onder artikel 3:7 genoemde rechten in behandeling te nemen en af te wikkelen. 
    b.
     De afwegingen voor de grondslag gerechtvaardigd belang te beoordelen en bij twijfel deze voor te leggen aan het College van Bestuur.

Artikel 2:8 Register van verwerkingsactiviteiten

  1. In het register van verwerkingsactiviteiten wordt geregistreerd welke verwerkingsactiviteiten plaatsvinden binnen de Radboud Universiteit. De domeineigenaar zorgt voor een actueel register van verwerkingen binnen zijn domein. 
  2. Iedere verwerking van persoonsgegevens dient via de Decentrale Privacy Manager (contactpersoon) ter registratie bij het bureau van de FG (email: privacy [at] ru.nl ()) te worden aangemeld.  
  3. Bij de melding van een verwerkingsactiviteit worden de navolgende gegevens verstrekt:
    a. 
    De verwerkingsdoeleinden;
    b. 
    Wie toegang heeft tot de gegevens; 
    c. 
    De grondslag voor de verwerking; 
    d. 
    De herkomst van de betreffende Persoonsgegevens; 
    e. 
    Een beschrijving van de categorieën van Betrokkenen en van de categorieën van persoonsgegevens; 
    f. 
    De categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties en, zo nodig, documenten waaruit blijkt dat passende waarborgen zijn getroffen; 
    g. 
    De beoogde bewaartermijnen; 
    h. 
    Een beschrijving van de getroffen technische en organisatorische beveiligingsmaatregelen. 

Hoofdstuk 3. Beginselen en grondslagen 

 

Artikel 3:1 Beginselen van verwerking

De Radboud Universiteit verwerkt persoonsgegevens overeenkomstig de toepasselijke wet- en regelgeving. De (wijze van) verwerking van persoonsgegevens dient ten aanzien van Betrokkenen rechtmatig, behoorlijk, zorgvuldig en transparant te zijn. Persoonsgegevens van Betrokkenen worden beschermd tegen onwettelijk en ongeautoriseerd gebruik. De Radboud Universiteit beoogt een goede balans te hanteren tussen bescherming van de persoonlijke levenssfeer van Betrokkenen, functionaliteit en veiligheid.

Artikel 3:2 Grondslagen voor verwerking

  1. Persoonsgegevens worden binnen de Radboud Universiteit alleen verwerkt indien en voor zover aan ten minste aan één van de onderstaande, uit de geldende wet- en regelgeving voortvloeiende, voorwaarden is voldaan:
    a. 
    Betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;  
    b. 
    De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij Betrokkene partij is, of om op verzoek van Betrokkene vóór de sluiting van een overeenkomst maatregelen te treffen;
    c. 
    De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de Radboud Universiteit als verwerkingsverantwoordelijke rust;
    d. 
    De verwerking is noodzakelijk om de vitale belangen van Betrokkenen of andere natuurlijke personen te beschermen;
    e. 
    De verwerking is noodzakelijk om een taak van algemeen belang of aan de Radboud Universiteit opgedragen openbaar gezag te vervullen; 
    f. 
    De verwerking is noodzakelijk voor de behartiging van gerechtvaardigde belangen van de Radboud Universiteit of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van Betrokkene die tot de bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer Betrokkene een kind is. 
  2. In het register van verwerkingsactiviteiten wordt per categorie persoonsgegeven vastgelegd welke grondslag wordt gehanteerd.  
  3. Indien toestemming de grondslag is voor de verwerking van Persoonsgegevens, hebben betrokkenen een individuele keuze tot gegevensdeling.

Artikel 3:3 Verwerking van bijzondere categorieën van persoonsgegevens

Verwerking van bijzondere categorieën van persoonsgegevens is verboden, tenzij aan de in de geldende wet- en regelgeving genoemde voorwaarden is voldaan, dan wel sprake is van een van de in de geldende wet- en regelgeving genoemde uitzonderingsgronden. Tevens gelden er zwaardere eisen voor de beveiliging van bijzondere categorieën van persoonsgegevens. Een nationaal identificatienummer (BSN of onderwijsnummer) wordt alleen verwerkt als daarvoor een wettelijke grondslag bestaat.

Artikel 3:4 Passende technische en organisatorische maatregelen

  1. De Radboud Universiteit draagt zorg voor een passend beveiligingsniveau en treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen enige inbreuk of vorm van onrechtmatige verwerking, verlies of beschadiging. Maatregelen die in dat kader zoveel mogelijk worden toegepast zijn, onder andere versleuteling en pseudonimisering van persoonsgegevens, versleutelde communicatie en behandeling van de persoonsgegevens als zijnde vertrouwelijk. Deze maatregelen zijn nader uitgewerkt in het interne informatieveiligheidsbeleid.
  2. De Radboud Universiteit voert een Data Privacy Impact Assessment uit bij werkzaamheden of vóór de aanschaf van systemen die waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van natuurlijke personen. Bij de aanschaf van nieuwe systemen worden de beginselen van Privacy by Design en Privacy by Default gehanteerd. 
  3. Eenieder die binnen de Radboud Universiteit persoonsgegevens verwerkt, treft de nodige maatregelen teneinde inbreuken op of vormen van onrechtmatige verwerking of verlies van de door hem of haar te verwerken persoonsgegevens te voorkomen. Een voorbeeld van een maatregel is het toepassen van encryptie. 
  4. Werknemers zullen waargenomen zwakke plekken in systemen of diensten registreren en rapporteren. De Radboud Universiteit heeft een datalekmeldingsprocedure, zie https://www.ru.nl/privacy/ru/meldplicht-datalekken/. Beveiligingsincidenten moeten organisatiebreed, 7 dagen per week, 24 uur per dag, gemeld worden bij de ISC-Helpdesk (0243622222). CERT-RU coördineert en handelt meldingen van (mogelijke) datalekken af.

Artikel 3:5 Doelbinding

De Radboud Universiteit verwerkt Persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Persoonsgegevens zullen niet zonder toestemming van Betrokkenen verder worden verwerkt voor een doel dat daarmee niet verenigbaar is.

Artikel 3:6 Minimale gegevensverwerking

Persoonsgegevens worden verwerkt op een wijze die toereikend en ter zake dienend is en voorts beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.

Artikel 3:7 Juistheid  

Persoonsgegevens worden zo nodig geactualiseerd. Alle redelijke maatregelen worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren.

Artikel 3:8 Bewaartermijnen

Persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor de doeleinden waarvoor zij zijn verzameld of worden gebruikt. Als er voor de betreffende persoonsgegevens bewaartermijnen gelden op grond van geldende wet- en regelgeving of op grond van een besluit van het College van Bestuur, dan worden die aangehouden. Gelden er uiteenlopende termijnen, dan wordt de langste bewaartermijn gehanteerd. De Radboud Universiteit zal Persoonsgegevens na afloop van de bewaartermijn vernietigen dan wel anonimiseren of, indien de Persoonsgegevens bestemd zijn voor historische, statistische of wetenschappelijke doeleinden, archiveren.

Artikel 3:9 Verstrekking van persoonsgegevens

  1. Persoonsgegevens worden binnen de Radboud Universiteit alleen doorgegeven indien dit verenigbaar is met de doelstellingen van de gegevensverwerking. 
  2. De Radboud Universiteit verstrekt uitsluitend persoonsgegevens aan derde partijen, indien dit verenigbaar is met de doelstellingen van de gegevensverwerking en mede in belang is van de Radboud Universiteit. De Radboud Universiteit verstrekt geen persoonsgegevens aan derde partijen die de gegevens voor eigen doeleinden gaan gebruiken, tenzij de Radboud Universiteit wettelijk verplicht is om de betreffende gegevens te verstrekken of de Betrokkene daarvoor toestemming heeft verleend. In de privacyverklaring kunnen Betrokkenen lezen of er in hun situatie gegevens aan derde partijen worden verstrekt. 
  3. Indien gegevens aan derde partijen worden verstrekt met het doel die gegevens door deze derde te laten verwerken, dan worden de geldende afspraken met betrekking tot die verwerking vastgelegd in een verwerkersovereenkomst. 
  4. De Radboud Universiteit verstrekt Persoonsgegevens in beginsel alleen aan derde partijen binnen de Europese Economische Ruimte (EER). De Radboud Universiteit verstrekt Persoonsgegevens alleen aan Verwerkers die zich bevinden in een land buiten de EER, indien:
    a. 
    het derde land, gebied of internationale organisatie in kwestie een volgens de Europese  Commissie  passend beschermingsniveau biedt. De Radboud Universiteit volgt de algemene lijst van landen met passend beschermingsniveau gepubliceerd door de Europese Commissie; of
    b. 
    de doorgifte plaatsvindt op basis van passende waarborgen op grond van artikel 46 en 47 AVG; 
    c. 
    de doorgifte plaatsvindt op basis van een van de wettelijke uitzonderingen uit artikel 49 AVG.

Artikel 3:10 Privacyverklaring  

De Radboud Universiteit verwerkt Persoonsgegevens op een manier die ten aanzien van Betrokkenen behoorlijk en transparant is. Dit houdt in dat de Radboud Universiteit, zoveel mogelijk voorafgaand aan de verwerking, aan Betrokkenen inzichtelijk maakt in hoeverre en op welke manier diens Persoonsgegevens verwerkt worden. De Radboud Universiteit informeert Betrokkenen middels de privacyverklaring welke persoonsgegevens er door de Radboud Universiteit worden verzameld en voor welke doeleinden en op welke grondslagen dat gebeurt, hoe deze persoonsgegevens worden verwerkt, hoe lang deze worden bewaard en welke rechten Betrokkenen hebben als hun persoonsgegevens worden verwerkt en waar zij met vragen of verzoeken over hun privacy terecht kunnen.

Hoofdstuk 4. Rechten van Betrokkenen, vragen en klachten

De Radboud Universiteit respecteert de rechten die Betrokkenen op grond van de geldende wet- en regelgeving hebben. Zie ook https://www.ru.nl/privacy/ru/uitoefenen-recht/.

Artikel 4:1 Recht op informatie

De Radboud Universiteit informeert Betrokkenen via de privacyverklaring welke persoonsgegevens er door de Radboud Universiteit worden verzameld en voor welke doeleinden en op welke grondslagen dat gebeurt, hoe de persoonsgegevens van Betrokkene worden verwerkt, welke rechten Betrokkene heeft als zijn/haar persoonsgegevens worden verwerkt en waar Betrokkenen met vragen of verzoeken over hun privacy terecht kunnen.

Artikel 4:2 Inzagerecht

Betrokkenen hebben het recht om in te zien welke persoonsgegevens de Radboud Universiteit van hem/haar verwerkt.

Artikel 4:3 Correctie- en verwijderingsrecht

Betrokkenen hebben onder omstandigheden het recht zijn/haar persoonsgegevens te laten wijzigen of verwijderen indien de gegevens niet (langer) juist zijn, of indien de verwerking niet (langer) gerechtvaardigd is.

Artikel 4:4 Recht van bezwaar

  1. Als de Radboud Universiteit persoonsgegevens verwerkt op grond van een gerechtvaardigd belang of een taak van algemeen belang, hebben Betrokkenen het recht daar bezwaar tegen te maken.  
  2. Als Betrokkene bezwaar maakt tegen het gebruik van zijn/haar persoonsgegevens om hem/haar te informeren over activiteiten van de Radboud Universiteit en soortgelijke (“direct marketing”) verwerkingen, dan zal de Radboud Universiteit dit bezwaar altijd honoreren. De gegevens van Betrokkene zullen hier dan niet langer voor worden gebruikt. 
  3. Als Betrokkene bezwaar maakt tegen andere vormen van verwerking van zijn/haar persoonsgegevens, dan zal de Radboud Universiteit nagaan of aan dit bezwaar tegemoet kan worden gekomen. Als het door Betrokkene gestelde belang zwaarder weegt dan het belang dat de Radboud Universiteit heeft bij de (verdere) verwerking van de persoonsgegevens van Betrokkene, zal de Radboud Universiteit stoppen met de verwerking van deze gegevens. Als de Radboud Universiteit meent een zwaarder wegend gerechtvaardigd belang te hebben bij het voortzetten van de verwerking van de persoonsgegeven, zal dat toegelicht worden.

Artikel 4:5 Recht op beperking, aanvulling, verwijdering of rectificatie

Betrokkenen hebben het recht een verzoek in te dienen tot beperking van de verwerking, aanvulling, verwijdering of rectificatie van hun gegevens. In geval van beperking geldt dat de Radboud Universiteit de verwerking van uw gegevens tijdelijk “bevriest”. De beperking wordt duidelijk in het bestand aangegeven. Betrokkenen kunnen dit recht inroepen in afwachting van de beoordeling van een correctieverzoek, als de gegevens verwijderd zouden moeten worden omdat de verwerking onrechtmatig is, maar de Betrokkene in plaats van verwijdering vraagt om verwerking van de gegevens te beperken, indien de Radboud Universiteit de gegevens niet langer nodig heeft terwijl zij de gegevens nog wel nodig heeft voor (de voorbereiding op) een rechtszaak of in afwachting van de beoordeling van een bezwaar.

Artikel 4:6 Recht op gegevensoverdraagbaarheid

Als de Radboud Universiteit persoonsgegevens verwerkt op grond van de toestemming van Betrokkene of een met Betrokkene gesloten overeenkomst, heeft Betrokkene aanzien van die gegevens het recht om deze door Betrokkene digitaal verstrekte gegevens (terug) te ontvangen in een gangbaar bestandsformaat.

Artikel 4:7 Intrekken van toestemming 

Indien de Radboud Universiteit persoonsgegevens verwerkt op basis van toestemming van Betrokkene, heeft Betrokkene veelal het recht om uw toestemming in te trekken. De Radboud Universiteit zal de verwerking dan staken. Het intrekken van de toestemming heeft geen terugwerkende kracht. Verwerkingen die al hebben plaatsgevonden blijven dus rechtmatig.

Artikel 4:8 Geautomatiseerde individuele besluitvorming;

  1. Betrokkenen hebben het recht om niet onderworpen te worden aan besluiten van gegevensverwerkende organisaties die uitsluitend berusten op geautomatiseerde verwerking (waaronder profilering). Dit is het geval wanneer dit besluit bijvoorbeeld rechtsgevolgen voor hen heeft.  
  2. Het onder lid 1 genoemde recht geldt niet wanneer het besluit noodzakelijk is voor uitvoering van een overeenkomst, wanneer het is toegestaan bij een Europese of nationale wet, of wanneer het berust op de uitdrukkelijke toestemming van Betrokkene. 
  3. In de onder lid 2 genoemde situaties zal de Radboud Universiteit passende maatregelen nemen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van Betrokkene. Hieronder zullen ten minste vallen het recht op menselijke tussenkomst, het recht van Betrokkene om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten.

Artikel 4:9 Beperkingen op rechten van Betrokkene;

De Radboud Universiteit kan de rechten van Betrokkene beperken op grond van wettelijke bepalingen. Daarbij moet deze beperking de wezenlijke inhoud van grondrechten en fundamentele vrijheden onverlet laten. De beperking moet een noodzakelijke en evenredige maatregel zijn ter waarborging van bijvoorbeeld de nationale of openbare veiligheid, doelstellingen van algemeen belang, de bescherming van Betrokkene of rechten en vrijheden van anderen.

Artikel 4:10 Recht van verzet

Bij het FG-bureau (via mijnprivacy [at] ru.nl ()) kan verzet worden aangetekend tegen: 

  1. iedere verwerking van persoonsgegevens; 
  2. iedere andere handeling of nalatigheid van een beheerder waardoor de persoonlijke levenssfeer van de geregistreerde kan worden aangetast.

Artikel 4:11 Uitoefening van de hiervoor genoemde rechten, vragen of klachten.

  1. Indien Betrokkene uitvoering wenst te geven aan een van de hiervoor genoemde rechten, kan hij/zij zich wenden tot de Functionaris Gegevensbescherming, via het e-mailadres: mijnprivacy [at] ru.nl.   
  2. De Functionaris Gegevensbescherming kan in dit kader aan Betrokkene vragen om nader bewijs van zijn/haar identiteit. Dit om te voorkomen dat persoonsgegevens aan de verkeerde partij verstrekken of ten onrechte wijzigingen aan te brengen in de persoonsgegevens of de wijze waarop die persoonsgegevens door ons worden verwerkt.   
  3. De Radboud Universiteit brengt Betrokkenen voor het uitoefenen van uw hiervoor genoemde rechten, behoudens misbruik, geen kosten in rekening.  
  4. De Radboud Universiteit zal in beginsel binnen een maand reageren op uw verzoek. Mocht de behandeling van het verzoek meer tijd kosten, dan wordt Betrokkene hierover binnen een maand geïnformeerd. Het kan zijn dat vanwege de complexiteit van de verzoeken en/of het aantal verzoeken de beantwoordingstermijn in totaal oploopt tot maximaal drie maanden.  
  5. Er kunnen omstandigheden zijn die maken dat aan een bepaald verzoek geen gehoor kan worden geven. Ieder verzoek zal individueel beoordeeld worden. Mochten we aan een bepaald verzoek geen gehoor (kunnen)  geven, dan zal dit gemotiveerd aan Betrokkene kenbaar gemaakt worden. Het recht van bezwaar tegen gebruik van gegevens voor direct marketing doeleinden is wel absoluut. Afmeldingen voor eventuele commerciële uitingen worden dus hoe dan ook gehonoreerd  

Hoofdstuk 5. Cameratoezicht

Artikel 5:1 Cameratoezicht

Het gebruik van cameratoezicht geldt als een vorm van verwerking van persoonsgegevens. Hiervoor gelden binnen de Radboud Universiteit de volgende additionele voorwaarden: 

  1. cameratoezicht vindt uitsluitend plaats: 
    i. ter bescherming van de veiligheid en gezondheid van personen;
    ii. voor toezicht in gebouwen en op terreinen op de campus;

    iii. ter bewaking van zaken die zich in de gebouwen en op de terreinen van de campus bevinden 
  2. waar camera's zijn geplaatst, is dat duidelijk aangegeven. 
  3. met betrekking tot het bewaren van de door middel van het cameratoezicht vastgelegde gegevens geldt dat er uitsluitend beelden worden opgeslagen wanneer een camera is geplaatst ter bewaking van zaken die zich in de gebouwen en op de terreinen van de campus bevinden. De door middel van cameratoezicht vastgelegde gegevens worden niet langer dan vier weken bewaard, tenzij er incidenten zijn vastgelegd. 
  4. indien er beelden worden opgeslagen, zijn deze uitsluitend toegankelijk voor leden van het College van Bestuur, het hoofd van de dienst beveiliging en parkeertoezicht, voor de bevoegde decaan of (cluster)directeur en, bij afwezigheid van de hiervoor genoemden, voor de twee aangewezen vervangers van elk van de genoemde functionarissen. De betreffende onderdeelcommissies (OC's) of, bij faculteiten, de facultaire gezamenlijke vergaderingen (FGV's), dienen ten aanzien van de vervangers vooraf in te stemmen met de vervangende functionarissen. 
  5. indien er een uitbreiding van het cameratoezicht plaatsvindt, de toepassing van een camera gewijzigd of een camera verwijderd wordt, zal de desbetreffende onderdeelcommissie (OC) of, bij faculteiten, de facultaire gezamenlijke vergadering (FGV) vooraf om instemming gevraagd worden.  
  6. de ondernemingsraad (OR) en de universitaire studentenraad (USR) ontvangen jaarlijks een overzicht van de actuele cameratoepassingen. Hierin staat de locatie van de camera's vermeld, de toepassing ervan en wordt aangegeven voor welke functionarissen de monitoren en eventueel opgeslagen beelden toegankelijk zijn.

Hoofdstuk 6 – Slotbepalingen

Artikel 6:1  Hardheidsclausule

Over aangelegenheden waarin dit reglement niet voorziet, beslist het College van Bestuur.

Artikel 6:2 Citeertitel

Deze regeling kan worden aangehaald als Regeling Bescherming Persoonsgegevens Radboud Universiteit.

Artikel 6:3 Publicatie en bekendmaking

Deze regeling wordt bekendgemaakt op de website en zal te raadplegen zijn via https://www.ru.nl/privacy/.

Artikel 6:4 Inwerkingtreding 

Deze regeling is vastgesteld door het College van Bestuur op 18 juni 2019 en treedt na raadpleging van de OR en USR, op [datum], onder intrekking van het Reglement Bescherming Persoonsgegevens Radboud Universiteit Nijmegen, in werking met ingang van die datum.

Artikel 6:5 Contactpersoon

Bij vragen over de bescherming van persoonsgegevens binnen de Radboud Universiteit, of deze regeling, dan kunnen zij zich per e-mail wenden tot het bureau van de Functionaris Gegevensbescherming via privacy [at] ru.nl.