Wij streven voor een online omgeving waar onderwijs, onderzoek, bedrijfsleven en overheid samenkomen.
Career Boost doet zijn uiterste best om de informatie op deze site zo actueel en volledig mogelijk te houden. Daarvoor gebruiken we cookies en hebben we soms persoonsgegevens nodig. Daarnaast gebruiken we fotografie en ander copyrighthoudend materiaal.
Career Boost hecht veel waarde aan de bescherming van persoonsgegevens, en is verantwoordelijk voor een rechtmatige, zorgvuldige en behoorlijke verwerking van jouw persoonsgegevens.
In dit Privacy Statement kun je lezen welke persoonsgegevens we verzamelen en hoe we die verwerken. Ook kun je in dit statement terugvinden welke rechten je hebt en hoe je deze verwezenlijkt. Wij dienen ons hierbij te houden aan de toepasselijke wet- en regelgeving, waaronder de Algemene Verordening Gegevensbescherming (AVG). Bij het verwerken van persoonsgegevens is ons beleid om transparant te zijn over waarom en hoe we persoonsgegevens verwerken.
Wil je meer weten over onze specifieke verwerkingsactiviteiten, ga dan naar de relevante secties van dit Privacy Statement. Dit statement is van toepassing op alle verwerkingen van persoonsgegevens door Dordrecht Academy.
In dit Privacy Statement komen de begrippen ‘persoonsgegevens’, ‘verwerken’ en ‘betrokkene(n)’ vaak voor. Wij zullen deze begrippen kort voor je toelichten. Uit de AVG volgt dat een persoonsgegeven alle informatie betreft over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Denk hierbij aan een naam, woonadres, ip-adres, maar ook een studentnummer. Gegevens over organisaties zijn geen persoonsgegevens volgens de AVG.
Het verwerken van persoonsgegevens betreft alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen. Betrokkenen zijn degenen van wie persoonsgegevens worden verwerkt. Voor de hogeschool zijn dit veelal studenten, maar ook medewerkers, alumni en relaties.
Om gegevens te beveiligen nemen wij passende fysieke, technische en organisatorische maatregelen. We hebben beleidsregels, procedures en trainingen rond gegevensbescherming, vertrouwelijkheid en security. Ook evalueren wij regelmatig de maatregelen die we hebben getroffen om de gegevens die we bewaren te beveiligen. Het werken in veilige systemen is een van onze belangrijkste uitgangspunten om de veiligheid van alle persoonsgegevens te borgen. Als wij gebruik maken van derde partijen bij de verwerking van persoonsgegevens, dan controleren wij of die partijen beschikken over een adequaat beveiligingsniveau.
Ondanks alle getroffen maatregelen kunnen zich incidenten voordoen waardoor de veilige verwerking van persoonsgegevens tijdelijk niet gegarandeerd is. Zo’n incident kan resulteren in een datalek. Een datalek is een incident met persoonsgegevens, waarbij het gaat om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie.
Voorbeelden van mogelijke datalekken zijn een gestolen werktelefoon of laptop, een verkeerd geadresseerde e-mail, maar ook het foutief autoriseren van medewerkers in systemen kan resulteren in een datalek.
Datalekken die leiden tot een risico voor de rechten en vrijheden van betrokkenen melden wij bij de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens is de onafhankelijke Nederlandse gegevensbeschermingsautoriteit die toezicht houdt op de verwerking van persoonsgegevens.
Mocht je een vermoeden hebben dat er sprake is van een datalek bij onze organisatie, neem dan direct contact op via: info@hogeronderwijsdrechtsteden.nl
Persoonsgegevens kunnen voor verschillende doeleinden worden verwerkt. Een van onze belangrijkste doelen is het verzorgen van onderwijs, waarvoor wij veel persoonsgegevens van studenten en medewerkers dienen te verwerken.
Er zijn ook situaties waarin wij persoonsgegevens verwerken vanwege een wettelijke verplichting. Voorbeelden hiervan zijn het verstrekken van gegevens aan Dienst Uitvoering Onderwijs (DUO) voor in- en uitschrijvingen en diplomagegevens van studenten, maar ook het verstrekken van salarisgegevens van medewerkers aan de Belastingdienst.
Onder het kopje ‘welke persoonsgegevens verwerken wij en van wie’ kun je meer informatie vinden over welke persoonsgegevens wij verwerken en van wie. Daarnaast is beschreven met welke doeleinden de persoonsgegevens verwerkt worden.
Career Boost mag enkel persoonsgegevens verwerken als zij een ‘reden’ heeft die in de AVG staat. Zo’n reden heet een wettelijke grondslag. Artikel 6 van de AVG biedt ons zes mogelijke grondslagen om een verwerking op te baseren.
De eerste grondslag uit de AVG is toestemming. Toestemming kan gegeven worden door een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting. Dit kan onder andere bestaan uit het aanvinken van een check box of het indienen van een webformulier. De toestemming moet uitdrukkelijk zijn en gericht op het verwerkingsdoel van Dordrecht Academy. Stilzwijgende toestemming is niet voldoende.
Wij zullen je dus goed moeten informeren over wat jouw toestemming inhoudt, maar ook welke rechten je hebt en hoe je die kunt uitoefenen, zoals het intrekken van de toestemming. Toestemming kan namelijk ook weer worden ingetrokken en dat moet net zo gemakkelijk zijn als het geven van de toestemming. Voorbeelden van verwerkingen die wij baseren op de wettelijke grondslag van toestemming zijn:
In bepaalde gevallen dienen wij voor de uitvoering van een overeenkomst persoonsgegevens te verwerken. De verwerking van persoonsgegevens is noodzakelijk om uitvoer te geven aan de voorwaarden van het contract. Voorbeelden hiervan zijn:
Er bestaan wettelijke verplichtingen op basis waarvan wij persoonsgegevens moeten verwerken. Deze verplichtingen kunnen uit meerdere wetten voortvloeien, en hieronder vind je enkele voorbeelden:
In zeer uitzonderlijke gevallen kunnen wij je persoonsgegevens verwerken wanneer dit noodzakelijk is om vitale belangen te beschermen. Een vitaal
belang is aan de orde als het over een belang gaat dat essentieel is voor iemands leven of gezondheid, en je die persoon niet om toestemming kunt vragen om zijn of haar gegevens te verwerken. Een voorbeeld:
Career Boost kent slechts enkele taken van algemeen belang of openbaar gezag en zal zich niet snel kunnen beroepen op deze wettelijke grondslag. Deze grondslag mag dus enkel gebruikt worden voor de uitoefening van de in de wet vastgelegde taak van de onderwijsinstelling. Een voorbeeld hiervan is:
Career Boost kan tot slotte de wettelijke grondslag van het gerechtvaardigd belang gebruiken voor de verwerking van persoonsgegevens. Het gerechtvaardigd belang is vooral een belangenafweging. De verwerking moet noodzakelijk zijn voor de gerechtvaardigde belangen van de hogeschool en zwaarder wegen dan de privacybelangen van de betrokkene.
Bij deze toets zal allereerst moeten worden gekeken naar de proportionaliteit van de verwerking. Dit houdt in of het doel van de verwerking in verhouding staat tot de inbreuk op de privacy van de betrokkenen. Daarnaast dienen wij ook te toetsen of we het doel niet op een andere manier kan worden bereikt die minder ingrijpend is voor betrokkenen. In de AVG heet dit ‘subsidiariteit.’ Voorbeelden van verwerkingen op basis van gerechtvaardigd belang zijn:
Career Boost verwerkt van meerdere categorieën betrokkenen persoonsgegevens. We verbinden ons ertoe alleen te vragen om persoonsgegevens die strikt noodzakelijk zijn voor het betreffende doel.
Hieronder treft je een niet-limitatieve opsomming van de categorieën betrokken, de persoonsgegevens die wij van hen verwerken en de doeleinden. Dit zijn slechts voorbeelden, het kan dus zo zijn dat wij van de categorieën betrokkenen meer persoonsgegevens verwerken dan in deze lijst opgesomd is.
Hieronder kan er per categorie bekeken worden welke persoonsgegevens er onder andere verwerkt worden en voor welke doeleinden.
Categorie met voorbeelden:
Identificatiegegevens: Naam, geboortedatum, geboorteplaats, studentnummer
Contactgegevens: E-mailadres, woonadres, telefoonnummer
Beeldmateriaal: Foto’s, video’s
Financiële gegevens: Bankrekeningnummer, betalingen
Studiegegevens: Opleiding, diploma’s, cijferlijsten, brieven examencommissie
Onderzoeksgegevens: Vragenlijsten, datasets
Arbeidsgegevens: Curricula vitae, motivatiebrieven, arbeidsovereenkomsten, burgerservicenummers
Digitale gegevens: Cookies, IP-adressen, account logs
Career Boost gaat zeer zorgvuldig om bij het verstrekken van persoonsgegevens aan derde partijen. Jouw persoonsgegevens worden niet verhuurd, noch verkocht aan andere partijen. Er zijn echter situaties denkbaar dat wij jouw persoonsgegevens toch met derden dienen te delen. Hierbij kun je denken aan een verbetering van onze primaire dienstverlening, het verzorgen van goed onderwijs.
Binnen Career Boost maken wij hiervoor onder andere gebruik van meerdere softwarepakketten van externe bedrijven, zoals voor ons Learning Management System. Wij dienen hiervoor noodzakelijkerwijs studentgegevens met de externe partij uit te wisselen.
Wij houden hierbij rekening met dataminimalisatie. Dataminimalisatie houdt in dat bij het verzamelen en verwerken van persoonsgegevens niet meer gegevens mogen worden gebruikt dan nodig is om het doel waarvoor ze gebruikt zullen worden te bereiken.
We wisselen in bepaalde gevallen ook persoonsgegevens uit met andere onderwijsinstellingen, zoals bij een uitwisselingsprogramma. Het kan echter ook voorkomen dat wij jouw gegevens moeten delen met instanties vanwege een wettelijke verplichting.
Voorbeelden hiervan zijn het uitwisselen van studentgegevens met DUO, maar het kan ook zo zijn dat wij een verzoek tot verstrekking van persoonsgegevens ontvangen vanuit opsporingsinstanties, of van een toezichthouder. In dergelijke gevallen gaan we wel altijd eerst na of we wettelijk verplicht zijn om aan het verzoek gehoor te geven.
Career Boost maak schriftelijke afspraken met derde partijen over de verwerking en beveiliging van persoonsgegevens. Zo sluiten wij verwerkersovereenkomsten en gegevensuitwisselingsovereenkomsten met externe partijen, waarmee we grip houden op de verwerking van persoonsgegevens.
Hierbij proberen wij de gegevens zoveel mogelijk te laten verwerken binnen de Europese Economische Ruimte. Als daarop een uitzondering gemaakt moet worden, nemen wij maatregelen om een passend beschermingsniveau te garanderen voor de doorgifte van persoonsgegevens.
Je kunt op de website van de Autoriteit Persoonsgegevens meer informatie vinden over de doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte.
Wij bewaren jouw persoonsgegevens niet langer dan strikt noodzakelijk voor de doeleinden waarvoor wij de persoonsgegevens hebben verzameld. Wij baseren ons daarbij op de Selectielijst hogescholen.
Deze lijst bevat een opsomming en toelichting van de belangrijkste processen van een hogeschool. Bij deze processen zijn de voornaamste informatieobjecten geïnventariseerd en voorzien van een onderbouwde bewaartermijn. Dat kan bijvoorbeeld een wettelijke bewaarplicht zijn.
Wij zullen je dan echter wel binnen één maand laten weten dat het langer gaat duren en waarom. Ook kunnen we je vragen om identificatie, zodat wij zeker weten dat het verzoek inderdaad afkomstig is van de betrokkene zelf. Hiermee wordt voorkomen dat persoonsgegevens aan de verkeerde persoon worden verstrekt of dat de persoonsgegevens ten onrechte worden gewijzigd. Dit kan namelijk resulteren in een datalek.