Privacy bij de UM

Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden en gelden er striktere regels rond het werken met persoonsgegevens. In lijn met de AVG heeft de Universiteit Maastricht (UM) eigen beleidsregels en een Regeling Functionaris Gegevensbescherming vastgesteld. Om de AVG correct uit te kunnen voeren, is eenieders medewerking nodig. Heb of beheer jij bestanden waarin persoonsgegevens staan? Dan is het zaak je te verdiepen in wat de nieuwe wet voor jou betekent. Voor vragen kun je bij je leidinggevende of de informatiemanager van je eenheid of afdeling terecht.
 

Privacy

De AVG, Europabreed in Engels genoemd ‘EU General Data Protection Regulation’ (GDPR), harmoniseert de privacywetgeving in alle lidstaten. Hiermee is de privacy van alle EU-burgers beter beschermd, staan ze sterker in hun recht en gaan organisaties EU-breed hetzelfde om met data en privacy.

Algemene informatie over de AVG

De Autoriteit Persoonsgegevens (AP) heeft tot taak om toezicht te houden op de uitvoering van de AVG. De AP biedt daarnaast veel hulp en aanvullende informatie, zoals op de website hulpbijprivacy.
 Lees de complete Handleiding AVG      
 Lees de volledige tekst van  de AVG   

Wat betekent dit?

  • Verantwoordelijkheden organisaties
    Organisaties als de UM moeten bij de omgang met persoonsgegevens voldoen aan bepaalde voorwaarden. Bij correcte naleving zorgt dit ervoor dat persoonsgegevens enkel op een rechtmatige, behoorlijke en transparante wijze verwerkt worden door de UM. Dat is het streven.

  • Versterking van de privacyrechten
    De AVG zorgt voor versterking van de privacyrechten. Zo is er in sommige gevallen toestemming van betrokkenen vereist voor het gebruik van persoonsgegevens en kan deze toestemming ook worden ingetrokken.
  • Uitbreiding van de privacyrechten
    Bestaande privacyrechten zijn uitgebreid, bijvoorbeeld met het recht op vergetelheid; de mogelijkheid om persoonsgegevens te laten corrigeren of verwijderen.
  • Meer verantwoordelijkheid voor organisaties
    De AVG zorgt ook voor meer verantwoordelijkheden voor organisaties, zoals bijvoorbeeld de registratieplicht en verantwoordingsplicht. Daarnaast kunnen er forse boetes en andere sancties worden opgelegd .

Wat zijn persoonsgegevens?
Grofweg verstaan we onder persoonsgegevens díe gegevens die herleidbaar zijn tot een persoon. Voorbeelden zijn: naam en adres, emailadres, ip-adres, telefoonnummer, student- of personeelsnummer, studieresultaten of je bankrekeningnummer. Maar ook pseudoniemen, locatiegegevens en ieder ander element dat iets direct of indirect over de identiteit van een persoon kan prijsgeven.

Hoe heeft de UM de AVG geborgd?

De UM wil alle verwerkingen van persoonsgegevens vastleggen, de reden dat ze gebruikt worden weten en een goede beveiliging van de gegevens garanderen. De UM heeft een Functionaris Gegevensbescherming (FG) aangesteld. Zijn taak is het toezien op naleving van de AVG binnen de UM. Heb je vragen over de verwerking van jouw gegevens? Stuur dan een e-mail naar: fg[at]maastrichtuniversity[dot]nl of bel: 043-3883010.

Bekijk de video voor meer informatie over het werken met persoonsgegevens en wat privacy en de AVG betekenen:

Wat valt onder het verwerken van persoonsgegevens en de registratieplicht van de UM?

Volgens de AVG is het verwerken van persoonsgegevens: 'elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedures, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, enzovoort.’ Kortom, alles wat de UM doet met een persoonsgegeven, moet als een verwerking worden gezien.

Onder de registratieplicht valt bijvoorbeeld:

  • specifieke registraties m.b.t. personeelsbeleid, studenten- of PhD-programma’s, stagetrajecten etc. op afdelingsniveau of facultair niveau
  • gebruikmaken van brieven, lijstjes en rapportages waarin persoonsgegevens voorkomen; denk hierbij aan inschrijfgegevens van deelnemers aan evenementen
  • verdere verwerkingen van data uit de vele informatiesystemen die binnen de UM gebruikt worden (SAP, LMS, Syllabus+ etc.)
  • wetenschappenlijk onderzoek

Wat valt er bijvoorbeeld niet onder?

  • inschrijving voor de afdelingsbarbecue
  • persoonlijke contacten in je adreslijst
  • desondanks is het wel verstandig om ook hier veilig mee om te gaan!

Wat wordt er nu van medewerkers verwacht?

maak een inventarisatie van alle (nieuwe) verwerkingen en hou de gehele inventarisatie up to datebepaal samen met je informatiemanager welke verwerkingen van persoonsgegevens opgenomen moeten worden in bovengenoemde inventarisatie

Ga jij een formulier maken of een enquête waarin je de deelnemers om allerlei persoonsgegevens vraagt? Lees dan eerst de 'do's en dont's' voordat je aan de slag gaat.

Privacy

Voorkomen is beter dan genezen

Door veilig om te gaan met persoonsgegevens kun je bijdragen aan een veilige en betrouwbare verwerking van persoonsgegevens binnen de UM. Kijk op www.maastrichtuniversity.nl/informatiebeveiliging voor het huidige beleid, de Acceptable Use Policy waar wij ons allemaal aan moeten houden en tips en trucs rondom wachtwoorden, e-mail, het gebruik van tablets en Smartphones, etc

Algemene tips over Cybersecurity:
De UM participeert in de CyberSave Yourself campagne die binnen SURF wordt ontwikkeld. Op www.cybersafeyourself.nl  is veel informatie en ook een game te vinden.

Datalekken

We spreken van een datalek indien er een inbreuk op de informatie die de UM onder zich heeft heeft plaatsgevonden waarbij persoonsgegevens betrokken zijn. Indien een risico voor betrokkenen niet uitgesloten kan worden, moet de UM het datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens (AP), dus direct handelen is noodzakelijk. Zonder uitstel dient dit intern meteen gemeld te worden via de verderop in deze pagina genoemde gegevens (Servicedesk ICTS of meldformulier).

Waar moet je nu aan denken bij een datalek?

Dit kan een verkeerd geadresseerd mailtje zijn, het klikken op een phishinglink, een laptop die gestolen wordt, het per ongeluk verwijderen van gegevens zonder back-up en nog talloze andere situaties. Bij twijfel is altijd het devies om contact op te nemen via de voornoemde weg.

Wat moet je nu concreet doen bij een datalek?

Als je telefoon, tablet of laptop is gestolen, of als je een ander datalek, virusbesmetting, phishing mail of een ander beveiligingsincident constateert meld dit dan zo snel mogelijk bij Servicedesk ICTS via Servicedesk-ICTS[at]maastrichtuniversity[dot]nl of bel op werkdagen: 043 - 388 55 55, van 8.00 - 17.00 uur.

De meeste voorbeelden hier genoemd gelden als datalek onder de AVG zodra er persoonsgegevens bij betrokken zijn, en dat is meestal het geval. De afweging of er persoonsgegevens bij betrokken zijn én of er gemeld dient te worden is een afweging van de Informatiemanager in samenspraak met de FG.

Vragen over de verwerking van jouw persoonsgegevens?

Als je specifieke vragen hebt over jouw persoonsgegevens die (mogelijk) verwerkt worden door de UM, dan kun je deze vragen stellen aan jouw reguliere contactpersoon bij de UM. Heb je algemene vragen? Stuur dan een e-mail naar privacy[at]maastrichtuniversity[dot]nl of stuur een e-mail naar: fg[at]maastrichtuniversity[dot]nl of bel: 043-3883010 als je de FG rechtstreeks wilt spreken.

Gebruik dit formulier om een datalek door te geven.

Belangrijk om te vermelden:
  wanneer en waar heeft het incident plaatsgevonden
  om welk type persoonsgegevens gaat het en hoeveel personen zijn hierbij betrokken
  of er gebruik wordt gemaakt van encryptie en/of pseudonimisering (codering van betrokkenen);
  of er gebruik wordt gebruikgemaakt van sterke wachtwoorden en of deze wachtwoorden inmiddels zijn aangepast.