Privacyverklaring van de Universiteit Gent
Op 18 mei 2018 keurde het Bestuurscollege van de UGent de Generieke Gedragscode voor de verwerking van persoonsgegevens en vertrouwelijke informatie goed. Hiermee bekrachtigt de UGent als verwerkingsverantwoordelijke haar algemeen gegevensbeschermingsbeleid waarin de veiligheid, nauwkeurigheid, zorgvuldigheid en verantwoordelijkheid van de verwerking van persoonsgegevens en vertrouwelijke informatie samen met de naleving van de Algemene Verordening Gegevensbescherming (AVG) centraal staan.
De doelstelling van de Algemene Verordening Gegevensbescherming is om elk individu te informeren over de mogelijke verwerkingen van zijn of haar persoonsgegevens en de bescherming ervan. Als universiteit verwerkt de UGent persoonsgegevens van medewerkers, studenten, externen (studiekiezers, alumni, contacten relaties) en specifieke persoonsgegevens in het kader van haar onderwijs- en onderzoeksopdracht. Hieronder vind je een overzicht van hoe de UGent omgaat met persoonsgegevens, welke rechten je hieromtrent kan uitoefenen, en waar je terecht kan voor meer informatie over privacy en informatieveiligheid aan de UGent.
Generieke Gedragscode voor de verwerking van persoonsgegevens en vertrouwelijke informatie
De Generieke Gedragscode voor de verwerking van persoonsgegevens en vertrouwelijke informatie aan UGent is een interne gedragscode die geldt voor elke medewerker, ongeacht of deze vrijwillig of contractueel aan de UGent verbonden is, en voor alle UGent-studenten. Wanneer de UGent samenwerkt met externe partners kunnen ook zij via een overeenkomst gebonden worden aan deze Generieke Gedragscode.
De Generieke Gedragscode bevat onder meer regels voor geoorloofde toegang tot, en geoorloofd gebruik van persoonsgegevens en vertrouwelijke gegevens. De Generieke Gedragscode is een aanvulling op andere bestaande reglementen, waarbij in dit kader in het bijzonder het ‘reglement voor correct gebruik van de ICT-infrastructuur van de Universiteit Gent’ vermeld dient te worden. Waar nodig kan ook de Generieke Gedragscode zelf aangevuld worden met gedragscodes toegespitst op specifieke toepassingen en verwerkingen. Tot slot voorziet de Generieke Gedragscode in mogelijke maatregelen en sancties die tegen personen kunnen worden genomen bij actieve, bewuste en herhaaldelijke inbreuken op de Gedragscode.
De Generieke Gedragscode kadert in het algemeen gegevensbeschermingsbeleid (het beleid voor rechtmatig en veilig verwerken van persoonsgegevens) dat aan de UGent gevoerd wordt. Om dit te garanderen stelde de UGent een Functionaris voor Gegevensbescherming (Data Protection Officer) aan die gemachtigd is om toe te zien op de rechtmatige en veilige verwerking van persoonsgegevens aan de UGent.
Welke persoonsgegevens worden verwerkt?
De Universiteit Gent verwerkt persoonsgegevens van personeelsleden, studenten, alumni, externe partners, bezoekers of andere groepen die betrokken zijn in het kader van het onderwijs, het wetenschappelijk onderzoek, de kwaliteitszorg en de bedrijfsvoering waarin de UGent voorziet. Deze persoonsgegevens kunnen door de UGent verwerkt en/of geregistreerd worden in het kader van de uitvoering van haar onderwijs- en onderzoeksopdracht.
Bijgevolg is het mogelijk dat de UGent volgende categorieën van persoonsgegevens verwerkt:
- Persoonlijke identificatiegegevens: naam; adres; woonplaats; geboorteplaats; bankrekeningnummer; telefoonnummer; geboortedatum; geslacht; e-mailadres
- Interactiegegevens zoals IP-adres; cookies; surf- en klikgedrag
- Beeldmateriaal zoals foto’s en video’s
- Informatie over de opleiding en vorming zoals de studiekeuze, studievoortgang en studieresultaten
- Gegevens verzameld in het kader van wetenschappelijk onderzoek.
Bovenstaande lijst is niet limitatief.
Waarom verwerkt de UGent persoonsgegevens?
De Universiteit Gent waakt erover dat de verwerking van persoonsgegevens beperkt blijft tot de beoogde doelstelling. De UGent verwerkt persoonsgegevens voornamelijk om volgende doeleinden te kunnen verwezenlijken.
Onderwijsaangelegenheden
Dit omvat alle persoonsgegevens van (kandidaat-)studenten die aan de UGent een opleiding of vorming wensen te volgen en zich bijgevolg (online) inschrijven, (her)inschrijven en registreren . Deze gegevens worden nauwkeurig en veilig bewaard in een gegevensdatabank van de UGent. De (kandidaat-) studenten worden bij (online) inschrijvingsaanvraag, (her)inschrijving en registratie gewezen op deze regeling. Ze kunnen op elk moment via de daartoe beschikbare webtoepassing hun persoonlijke privacy-instellingen raadplegen en wijzigen.
De persoonsgegevens verzameld in het kader van onderwijsaangelegenheden worden hoofdzakelijk gebruikt voor het beheer van de studieloopbaan in het kader van het onderwijsgebeuren. Daaronder vallen alle administratief (en wettelijk) noodzakelijke verwerkingen van persoonsgegevens in functie van een kwaliteitsvolle uitvoering van de onderwijsopdracht van de UGent op basis van een wettelijke of contractuele grondslag, zoals onder meer:
- administratieve handelingen met betrekking tot (online) inschrijvingsaanvraag, (her)inschrijving, registratie, studiegeld, examen- en studievoortgangsbeslissingen overeenkomstig het Onderwijs- en examenreglement en studentenvoorzieningen
- verwerkingen in het kader van studieadvies, studiekeuzebegeleiding, studie- en trajectbegeleiding, psychosociale begeleiding op vraag van betrokkene en begeleiding m.b.t. beroepskeuze, de voorbereiding van (onderwijsgerelateerde) beleidsbeslissingen, kwaliteitszorg , organisatie-analyse en alumniwerking
- het verzenden van voor (kandidaat-)studenten relevante informatie in het kader van voormelde kwaliteitsvolle uitvoering van de onderwijsopdracht.
Naast wettelijke verplichte verwerkingen kunnen in het kader van studenten- en onderwijsadministratie ook bepaalde verwerkingen plaatsvinden, op voorwaarde dat de student hier bij inschrijving expliciet toestemming voor heeft gegeven (zoals bijvoorbeeld het ter beschikking stellen van studieresultaten aan de secundaire school voor de abituriëntenwerking).
Onderzoeksaangelegenheden
Onderzoek is een belangrijke pijler van de UGent. De resultaten van wetenschappelijk onderzoek hebben een impact op de brede samenleving, geven nieuwe impulsen aan het onderwijs en leggen de basis voor een vooruitstrevende kennismaatschappij, dit in het algemeen belang.
In het kader van wetenschappelijk onderzoek kunnen onderzoekers verbonden aan de UGent evenzeer persoonsgegevens verzamelen, verwerken, analyseren en beheren. Afhankelijk van de aard van het onderzoek kan dit ook gaan over gevoelige gegevens (bv. medische gegevens, etniciteit/ras, gegevens die betrekking hebben op het persoonlijke of seksuele leven,…). De Generieke Gedragscode voor verwerking van persoonsgegevens en vertrouwelijke informatie die van kracht is aan de UGent geeft alvast de algemene principes weer die ook moeten toegepast worden bij academisch onderzoek.
Daarnaast worden er aan de UGent ook persoonsgegevens verwerkt in GISMO, het onderzoeksinformatiesysteem van de Universiteit Gent (voluit: 'Geïntegrereerd InformatieSysteeM voor Onderzoek'). Het systeem ondersteunt twee doelstellingen: (1) databank van alle onderzoeksgerelateerde informatie (onderzoekers met hun loopbaan en expertise, projecten, publicaties en andere output, activiteiten, apparatuur etc.) en (2) ondersteuning voor onderzoeksgerelateerde workflows (aanvraag en management van projecten, registratie en beheer van onderzoeksoutput en -activiteiten, rapporten etc.). Persoonsgegevens vormen dus niet enkel de basis voor tal van toepassingen binnen de onderzoeksadministratie zoals het aanvragen en berekenen van financiering, het opmaken en visualiseren van een academisch cv, maar worden ook als onderdeel van beheersovereenkomsten met de overheid en financierders uitgewisseld (bijv. FRIS-portaal).
De omgang met persoonsgegevens binnen onderzoek aan de UGent is gekaderd binnen het bredere beleid van onderzoeksdatamanagement waarbij het op een ethische en kwaliteitsvolle manier verzamelen, beheren en bewaren van onderzoeksdata centraal staat. Op de website rond onderzoeksdatamanagement vindt u hierover meer informatie terug.
Personeelsaangelegenheden
Voor de organisatie van personeelsaangelegenheden zoals de werving en selectie, de salarisadministratie en de loopbaanbegeleiding van UGent-medewerkers worden er aan de UGent persoonsgegevens verwerkt op basis van een wettelijke verplichting, voor de uitvoering van een contractuele overeenkomst met de betrokkene of in het gerechtvaardigd belang van de universiteit.
Afhankelijk van het HR-proces zijn diverse persoonsgegevens nodig. Bij aanvang van de tewerkstelling bepaalt het diploma het functieniveau binnen de UGent en de persoonsgegevens worden gebruikt in het groeipad van de loopbaan via vorming, begeleiding en functionering. Om een correcte verloning te berekenen, heeft de UGent niet alleen de identificatiegegevens van de medewerker nodig, maar ook de gezinssamenstelling. De specifieke tewerkstellings- en loopbaangegevens worden eveneens aan de overheidsinstanties doorgegeven, zoals aan Dimona voor de sociale zekerheid en aan Capello voor het actualiseren van de pensioengegevens. De UGent verstrekt aan de hand van de persoonlijke gegevens individuele attesten met betrekking tot stappen in de loopbaanontwikkeling (tewerkstellingsattest, C4, C131, A1) en die de medewerker nodig heeft om zijn statuut te bewijzen bij diverse overheidsinstanties en andere werkgevers (attest belasting, attest gewaarborgd wonen, attest visum).
Ook bij het beëindigen van de tewerkstelling aan de UGent worden persoonsgegevens verwerkt. Zo worden persoonsgegevens van personeelsleden verwerkt om onder andere het einde van de dienst van een personeelslid te beheren en om de goede werking van de UGent te waarborgen.
Bedrijfsvoering
Aan de UGent worden verschillende verwerkingen van persoonsgegevens in het kader van bedrijfsvoering uitgevoerd zoals het bijhouden van de financiële administratie, het beheren van contacten en contracten, het verzekeren van de veiligheid en gezondheid van studenten, personeel en bezoekers, het toegangsbeheer tot de gebouwen van en rond de UGent, het kunnen uitvoeren en verbeteren van beleid, van organisatie-analyses, van managementrapportages en audits, het verzorgen van zorgvuldige geschillenbeslechting en klachtenafhandeling, enzovoort.
Wie heeft toegang tot persoonsgegevens?
Deze persoonsgegevens zijn niet vrij toegankelijk. Enkel bepaalde medewerkers van de Universiteit Gent hebben toegang tot je persoonsgegevens en dit op een strikte “need-to-know”-basis. De raadpleging kan dus enkel als dit noodzakelijk is voor de uitoefening van hun functie en alleen voor de doeleinden vermeld in deze privacyverklaring. Bovendien verbindt de Generieke Gedragscode alle personen die persoonsgegevens of vertrouwelijke informatie verwerken in het kader van activiteiten die binnen de werkingssfeer van UGent vallen tot zeer duidelijke en strikte principes. Zo stelt de Gedragscode dat het niveau van detail van de persoonsgegevens niet meer en de bewaarduur niet langer mag zijn dan nodig om het beoogde doel te bereiken, dit zowel voor manuele als ICT-toepassingen.
De UGent waakt erover dat persoonsgegevens niet worden doorgegeven aan derden, tenzij de betrokkene expliciet met de overdracht instemde, er een wettelijke grondslag of verplichting is, de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde, of indien dit noodzakelijk is om uitvoering te kunnen geven aan een overeenkomst met de betrokkene.
Wanneer de UGent een opdracht geeft aan een externe partner of samenwerkt met externe partners en hierbij persoonsgegevens verwerkt kunnen worden, zal er steeds voorzien worden in een verwerkersovereenkomst om te waarborgen dat ook deze externe partij op een rechtmatige, vertrouwelijke en zorgvuldige manier zal omgaan met de mogelijk verstrekte persoonsgegevens.
De veiligheid van persoonsgegevens
Informatiebeveiliging is een noodzakelijke voorwaarde voor bescherming van persoonsgegevens. De Universiteit Gent zorgt daarom voor passende technische en organisatorische maatregelen om de confidentialiteit van persoonsgegevens te garanderen, en ze te beveiligen tegen enige vorm van verlies of onrechtmatige verwerking.
Dit wordt gereflecteerd in het modulaire informatieveiligheidsbeleid dat aan de UGent wordt gevoerd. Dit beleid is gebaseerd op de internationaal erkende standaard voor informatiebeveiliging ISO/IEC 27001 en omvat policies, richtlijnen en procedures (bijvoorbeeld praktische richtlijnen voor veilig werken met IT-middelen). Het beleid wordt op regelmatige basis aangevuld en geactualiseerd. Bovendien worden op basis van risicoanalyses controles en audits uitgevoerd op geselecteerde toepassingen of verwerkingen. Het beleid wordt ten slotte aangevuld met een informatieveiligheidsplan, dat om de drie jaar wordt vastgelegd.
De UGent onderstreept in haar Generieke Gedragscode de algemene principes van de AVG. Die principes houden rechtstreeks of onrechtstreeks verband met informatiebeveiliging:
- Zelfverantwoordingsplicht: wie persoonsgegevens verwerkt, draagt actief verantwoordelijkheid voor deze gegevens en documenteert onder meer de specifieke beveiligingsmaatregelen die genomen zijn.
- Vertrouwelijkheid en integriteit: elkeen gaat vertrouwelijk om met persoonsgegevens en vertrouwelijke informatie, en neemt de veiligheid van zowel data als apparatuur in acht. Een inbreuk (datalek, diefstal, verlies…) wordt onmiddellijk intern en wanneer vereist ook extern gerapporteerd.
- Rechtmatigheid, behoorlijkheid en transparantie: elke gebruiker communiceert transparant over het feit dat hij/zij met bepaalde gegevens werkt. De toegang tot persoonsgegevens wordt beperkt tot personen die rechtmatige toegang moeten hebben tot deze gegevens.
- Doelbinding: de doeleinden waarvoor bepaalde gegevens verwerkt worden, worden duidelijk vastgelegd en gedocumenteerd. Ander – oneigenlijk – gebruik is niet toegelaten.
- Minimale gegevensverwerking: er worden niet meer gegevens verwerkt dan strikt noodzakelijk.
- Juistheid: de gegevens zijn correct, en bij vaststelling van fouten worden deze meteen gecorrigeerd.
- Opslagbeperking: gegevens worden niet langer dan noodzakelijk bewaard. De termijn wordt bij dataverzameling aangegeven.
Welke rechten heeft een betrokkene in het kader van de verwerking van persoonsgegevens?
Afhankelijk van het doeleinde en de rechtsgrond op basis waarvan de Universiteit Gent persoonsgegevens verwerkt, kunnen de betrokken individuen volgende rechten uitoefenen:
- Het recht om te vragen welke persoonsgegevens er verwerkt worden en, in het geval deze gegevens niet direct aan de UGent zijn verstrekt, informatie over de bron van deze gegevens na te vragen;
- Het recht om te verzoeken gegevens te corrigeren wanneer zij foutief zijn;
- Het recht om te vragen ‘vergeten te worden’ indien aan een aantal voorwaarden is voldaan;
- Het recht om te vragen bepaalde gegevens aan te leveren die betrokkene kan overdragen aan een andere organisatie;
- Het recht om bezwaar aan te tekenen tegen de verwerking van persoonsgegevens in het kader van volledig geautomatiseerde verwerkingen (bijv. direct marketing).
Hoe kan je als betrokkene deze rechten uitoefenen?
Voor verdere vragen over de verschillende rechten en plichten op het gebied van privacy, of indien je meent dat je persoonsgegevens onterecht en/of onjuist worden verwerkt door de Universiteit Gent, kan je terecht bij de Functionaris Gegevensbescherming (Data Protection Officer) van de UGent via privacy@ugent.be.
Om zekerheid te verkrijgen over de gegrondheid van een aanvraag of de identiteit van een aanvrager kan de UGent om aanvullende informatie vragen. De UGent behoudt zich het recht voor om, mits gemotiveerde redenen, geen gevolg te geven aan een aanvraag. Dit is bijvoorbeeld wanneer een aanvraag kennelijk ongegrond of buitensporig is.
Als je meent dat er onvoldoende gevolg werd gegeven aan een verzoek of klacht, kan je je wenden tot de Vlaamse toezichthouder:
Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens
Koning Albert II-laan 15
1210 Brussel
Telefoon: +32 (0)2 553 50 47
Contact
Wijzigingen aan de privacyverklaring
Onderhavige privacyverklaring kan worden aangepast om te blijven voldoen aan de toepasselijke regelgeving.