Saxion beschermt de privacy van al degenen die bij haar onderwijs- en onderzoeksactiviteiten betrokken zijn. Saxion is de verwerkingsverantwoordelijke voor jouw persoonsgegevens en ziet het als haar zorgplicht nauwgezet en transparant om te gaan met persoonsgegevens van al haar stakeholders.
1. Saxion en Privacy
Daarom treft Saxion organisatorische en technische maatregelen ter voorkoming van inbreuken op de privacy van haar studenten, studiekiezers en alumni, (oud-)medewerkers en sollicitanten, externen inclusief tijdelijke medewerkers, gasten en werkveldvertegenwoordigers.
Saxion wil een voorbeeldfunctie vervullen voor haar studenten die in de (toekomstige) eigen beroepspraktijk ook de verantwoordelijkheid in deze moeten nemen. Indien jouw persoonsgegevens voor een specifiek doel worden verzameld en niet uitdrukkelijk in deze privacyverklaring genoemd wordt, word je in een aparte privacyverklaring geïnformeerd over dat specifieke doel.
Als stakeholder (AVG: betrokkene) van Saxion, zoals medewerker, student, gast, bezoeker of externe relatie, heb je vanuit de Algemene Verordening Gegevensbescherming (AVG) recht om te weten welke persoonsgegevens Saxion van jou verwerkt, wat ermee gebeurt en waarom.
- Recht op inzage: Je hebt het recht om een volledig overzicht op te vragen van jouw persoonsgegevens die Saxion heeft vastgelegd. Via het webformulier onder punt 3 “Hoe maak je gebruik van je rechten?” kun je een overzicht aanvragen en aangeven in welke gegevens je precies inzage wilt hebben.
- Recht op correctie: Ben je van mening dat de gegevens, die Saxion van jou heeft vastgelegd, feitelijk onjuist of onvolledig of niet ter zake dienend zijn, dan kun je verzoeken om correctie van deze persoonsgegevens.
- Recht op bezwaar: Onder bepaalde omstandigheden heb je het recht bezwaar te maken tegen het gebruik van jouw gegevens door Saxion. Dit kan alleen als Saxion jouw gegevens verwerkt op basis van algemeen of gezamenlijk belang2 , niet als er sprake is van een wettelijke verplichting.
- Recht op vergetelheid: in bepaalde gevallen heb je het recht om vergeten te worden. Dit betekent dat je Saxion kunt verzoeken alle gegevens over jou te verwijderen. Dit recht geldt in de volgende situaties:
- Niet meer nodig: Saxion heeft jouw persoonsgegevens niet meer nodig voor de doeleinden waarvoor zij ze heeft verzameld of verwerkt.
- Intrekken toestemming: je hebt eerder (uitdrukkelijke) toestemming gegeven aan Saxion voor het gebruik van jouw gegevens, maar trekt die toestemming nu in.
- Bezwaar: je maakt bezwaar tegen de verwerking van jouw gegevens. Zo is er op grond van art. 21 van de AVG bijvoorbeeld een absoluut recht van bezwaar tegen direct marketing.
- Onrechtmatige verwerking: Saxion verwerkt jouw persoonsgegevens onrechtmatig. Bijvoorbeeld omdat er geen wettelijke grondslag is voor deze verwerking.
- Recht op beperking: De verwerking van je persoonsgegevens wordt tijdelijk stilgezet. Dit recht kun je bijvoorbeeld inroepen wanneer je niet zeker bent van de juistheid van de gegevens die Saxion over je verwerkt. Bij een ‘verzoek tot beperking’ worden je persoonsgegevens niet verwijderd. Het moet immers mogelijk blijven om de door jou verzochte beperking weer ongedaan te maken.
- Recht op dataportabiliteit: Je hebt recht op ‘overdraagbaarheid’ van jouw persoonsgegevens. Je kunt een kopie ontvangen van je persoonsgegevens zoals die geautomatiseerd door Saxion zijn verwerkt, zodat jij jouw gegevens kunt hergebruiken en doorgeven aan andere organisaties.
* Persoonsgegevens mogen alleen bewaard worden als er een wettelijke grondslag voor is. Er zijn 6 verschillende grondslagen. Op de website van de Autoriteit Persoonsgegevens is te vinden welke wettelijke grondslagen er zijn en in welke gevallen ze gebruikt mogen worden.
Let op: Heb je een actief account bij Saxion? Dien je verzoek dan in via de serviceportal3 of stuur je verzoek naar privacy@saxion.nl.
Let op: voordat jouw verzoek in behandeling genomen kan worden, dien je, binnen 4 weken na het indienen van het verzoek, je te legitimeren bij een servicepoint op één van de Saxion-vestigingen. Zo verzekert Saxion zich ervan dat de opgevraagde persoonsgegevens alleen bij de juiste persoon terecht komen. Indien je je niet binnen 4 weken hebt gelegitimeerd, verwijdert Saxion het verzoek. Vanaf het moment van legitimeren, reageert Saxion binnen 4 weken op jouw verzoek.
Jouw persoonsgegevens worden voornamelijk verwerkt voor de vervulling van de publieke taken van Saxion op gebied van onderwijs en onderzoek. Saxion verwerkt persoonsgegevens zorgvuldig volgens de beginselen van de AVG en indien nodig aanpalende wetgeving. Teneinde hieraan te voldoen heeft Saxion een aantal uitgangspunten opgesteld.
- Rechtmatigheid: verwerking van persoonsgegevens is gebaseerd op een van de wettelijke grondslagen zoals genoemd in artikel 6 van de AVG. Saxion leeft bijgevolg alle wettelijke en normerende kaders na (i.c. Nederlandse en Europese regels) bij het verwerken van persoonsgegevens en brengt haar verantwoordelijkheid en die van anderen over de persoonsgegevens duidelijk in kaart. Saxion hanteert daarbij ook de in de sector geldende gedragscodes en past deze toe.
- Behoorlijkheid en transparantie: persoonsgegevens worden alleen verwerkt op een manier die behoorlijk en transparant is voor betrokkenen. Dit betekent dat inzichtelijk moet zijn in hoeverre en op welke manier persoonsgegevens worden verwerkt. Informatie en communicatie hierover moet eenvoudig toegankelijk en begrijpelijk zijn.
- Persoonsgegevens worden alleen verwerkt voor welbepaalde, specifieke en gerechtvaardigde doeleinden, die omschreven en vastgelegd zijn voordat men begint met de verwerking.
- Doelbinding: persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.
- Minimale gegevensverwerking: bij een verwerking van persoonsgegevens blijft de hoeveelheid en het soort gegevens beperkt tot de persoonsgegevens die noodzakelijk zijn voor het specifieke doeleinde. De gegevens dienen met het oog op dat doel toereikend, ter zake dienend en niet bovenmatig te zijn. De persoonsgegevensverwerking gebeurt op de minst ingrijpende wijze en dient in redelijke verhouding te staan tot het beoogde doeleinde.
- Juistheid: Saxion treft maatregelen om zoveel mogelijk te waarborgen dat de te verwerken persoonsgegevens juist en actueel zijn.
- Integriteit en vertrouwelijkheid: persoonsgegevens worden adequaat beveiligd volgens de geldende beveiligingsnormen.
- Opslagbeperking: Saxion verwerkt persoonsgegevens niet langer dan noodzakelijk is voor de doeleinden van de verwerking. Hierbij neemt Saxion de van toepassing zijnde bewaar- en vernietigtermijnen in acht.
- Accountability & auditable: Saxion kan aantonen dat zij alle beleidsdoelstellingen naleeft, conform wettelijke bepalingen. Intern toezicht en controle bewaakt deze verantwoordingsplicht en is uitvoerbaar volgens wettelijk geldende principes.
- Inzage in persoonsgegevens wordt waar nodig beperkt door autorisaties.
Saxion ontvangt en/of verzamelt persoonlijke gegevens wanneer deze noodzakelijk zijn voor het verlenen van diensten, het uitvoeren van transacties, het verstrekken van informatie, het verlenen van toegang of het beveiligen van gegevens. De gegevens die wij verzamelen zijn altijd afgestemd op het aangegeven doel, dat wil zeggen dat wij niet meer gegevens verzamelen dan die wij nodig hebben om dit doel te realiseren. Wij kunnen gegevens verzamelen over de volgende categorieën betrokkenen:
- Studenten
- Medewerkers, inclusief sollicitanten en oud-medewerkers
- Studiekiezers (instroom)
- Alumni en oud-studenten (uitstroom)
- Externen, inclusief gast-medewerkers
Persoonlijke gegevens worden in de meeste gevallen door de betrokkene zelf verstrekt. Binnen de hogeschool kunnen deze gegevens zo nodig vanuit een intern bronsysteem worden doorgestuurd naar of overgenomen in een ander systeem. Daarnaast ontvangen we ook persoonlijke gegevens uit systemen van derden.
5.1 Registraties verwerkingen
De persoonlijke gegevens die van jou worden verzameld, worden door de hogeschool gebruikt voor de bedrijfsvoering en voor het naar behoren uitvoeren van de wettelijke taken en plichten voor onderwijs en onderzoek. Onderstaand overzicht beschrijft de belangrijkste processen waarmee Saxion persoonsgegevens kan verzamelen, met voor elk proces de belangrijkste onderdelen:
- Onderwijs en onderwijsondersteuning: Aanmelding en inschrijving, opleiding, bijhouden van resultaten en studievoortgang, advies en begeleiding, verstrekken van leermiddelen, behandelen van geschillen, het kunnen uitvoeren van een accountantscontrole, afstuderen, adressen en smoelenboek (pasfoto), roosters en digitaal toets-systeem.
- Onderzoek en onderzoeksondersteuning: Onderzoeksadministratie en onderzoeksgegevens.
- Relatiebeheer: Campagne, contact, verzendlijsten en nieuwsbrieven, opleiding en afstudeerdatum, gericht op studiekiezers, alumni en deelnemers aan diverse activiteiten; gegevens van bedrijven, organisaties en personen waarmee de hogeschool verschillende vormen van samenwerkingen heeft, in de vorm van bijvoorbeeld een contract, bewerkersovereenkomst of samenwerkingsovereenkomst voor levering of ontvangst van diensten en producten
- Personeelszaken: Vaststellen van salarisaanspraken, regelen van aanspraken op uitkeringen in verband met de beëindiging van een dienstverband, interne en accountantscontrole en in verband met de bedrijfs-medische zorg
- Bedrijfsvoering en financiën: Financiële administratie, inkoopsysteem, betaalsystemen, IT- management en juridische procedures
- Facilitair: Toegang- en beheersystemen, cameratoezicht, identiteitsmanagement
- Generiek:
- Web content management
- Bibliotheeksysteem
- Archivering
- Beeldmateriaal voor communicatie-uitingen van de hogeschool
- Medezeggenschap
Registraties worden door de verantwoordelijke eenheid (academie of dienst) gemeld bij het Privacy team. De Privacy Officer houdt een verwerkingsregister bij. Saxion beschikt op deze manier over een compleet overzicht van registraties.
5.2 Categorieën van persoonsgegevens
Saxion verzamelt en verwerkt ten behoeve van eerder vermelde processen voornamelijk gewone persoonsgegevens, zoals NAW-, geboortedatum, contactgegevens (e-mail, telefoonnummer, etc).
Saxion verwerkt gevoelige persoonsgegevens voor specifieke doelen, zoals bijvoorbeeld studieresultaten ten behoeve van het volgen van de studievoortgang en financiële gegevens ten behoeve van het voeren van de debiteurenadministratie of de salarisadministratie.
Saxion verwerkt geen bijzondere gegevens, waaronder medische gegevens, gegevens over etniciteit, genetische gegevens en seksuele gerichtheid, tenzij er sprake is van een wettelijke verplichting (bijvoorbeeld BSN-nummer) of toestemming van de betrokkene(n). Hierbij horen specifieke gelegenheden, zoals introdagen, de invulling van het studentendecanaat/ studieloopbaanbegeleiding, beperkte gegevens over ziekte en verzuim, gegevens over fysieke of verstandelijke beperkingen en bijzondere omstandigheden rondom studievertraging.
Tevens kunnen wij jouw gegevens verzamelen wanneer je deze achterlaat op de websites van Saxion, teneinde jou op de hoogte te houden van diverse activiteiten van de hogeschool.
Saxion verzamelt daarnaast persoonsgegevens in het kader van wetenschappelijk onderzoek. Dit betreft gegevens van deelnemers aan het onderzoek. Hiervoor geldt dat gewerkt wordt conform de wet en geldende gedragscodes.
Saxion controleert de door Saxion beheerde computers (desktops, laptops en tablets) op malware, ransomeware en afwijkend gebruikersgedrag. Deze gegevens worden tevens gelogd. Er wordt hierbij zorgvuldig gekeken naar de balans tussen technische mogelijkheden om online risico’s op te sporen en de hogeschool te beschermen tegen online bedreigingen en de privacybescherming van Saxionmedewerkers en studenten.
Wanneer je van mening bent dat jouw persoonsgegevens, in strijd met de AVG worden verwerkt bij Saxion, kun je een klacht indienen bij de Functionaris Gegevensbescherming (FG) via het Meldpunt 'Klacht en Geschil'4 of stuur een bericht via functionarisgegevensbescherming@saxion.nl of privacy@saxion.nl. De FG is de schakel tussen Saxion en de externe toezichthouder; de Autoriteit Persoonsgegevens5. De FG handelt onafhankelijk en kan over jouw klacht overleg plegen of advies inwinnen bij de Autoriteit Persoonsgegevens. De FG van Saxion is geregistreerd bij de Autoriteit Persoonsgegevens onder FG-nummer FG000531. Onze FG is Romeo Kadir en is bereikbaar via functionarisgegevensbescherming@saxion.nl en/of r.kadir@saxion.nl.
Wanneer je het niet eens bent met de klachtenbehandeling door de FG van Saxion, kun je rechtstreeks een klacht indienen bij de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens behandelt de klacht of het verzoek en neemt hierover een besluit.