Verwerking persoonsgegevens door EURIB

Algemeen
Met ingang van 25 mei 2018 geldt in de Europese Unie de Algemene verordening gegevensbescherming (AVG). Op grond van deze verordening heeft een organisatie die met persoonsgegevens werkt bepaalde plichten en heeft degene van wie de gegevens zijn bepaalde rechten. Dit privacyreglement – ‘Verwerking persoonsgegevens door EURIB’ – is onder meer bedoeld om je inzage te geven in onze verwerking van persoonsgegevens en om je te informeren over je rechten en onze plichten.

EURIB: onderwijsorganisatie
Ten aanzien van de verwerking persoonsgegevens onderscheiden we drie relatiegroepen: (potentiële) studenten, docenten en medewerkers. Van elk van deze groepen worden binnen EURIB diverse persoonsgegevens bijgehouden, die we hieronder toelichten.

Type persoonsgegevens
Ten aanzien van persoonsgegevens worden in het algemeen drie categorieën onderscheiden: gewone, bijzondere en/of strafrechtelijke persoonsgegevens. Gewone persoonsgegevens hebben betrekking op gegevens voor wat betreft naam, adres, werkadres, geslacht, telefoonnummer, e-mail adres e.d. Onder bijzondere persoonsgegevens wordt onder meer verstaan: gegevens waaruit je ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond kunt afleiden. Onder strafrechtelijke persoonsgegevens wordt onder meer verstaan: gegevens die te maken hebben met strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen. EURIB verzamelt en verwerkt alleen gewone persoonsgegevens en geen bijzondere en/of strafrechtelijke persoonsgegevens. Dit geldt voor alle, hierboven onderscheiden relatiegroepen.

Recht op verwerking
Een organisatie mag alleen persoonsgegevens verwerken als deze aan één van de door de AVG bepaalde grondslagen voldoet. EURIB verwerkt persoonsgegevens van studenten omdat dit noodzakelijk is voor de uitvoering van een met een klant gesloten overeenkomst (denk aan NAW-gegevens, opleidingsgegevens en werkervaringsgegevens). Wij hebben deze gegevens nodig om je bijvoorbeeld om je naam correct op certificaten en diploma’s te kunnen vermelden.

Gegevens van studenten

Als je je hebt ingeschreven voor deelname aan een onderwijsprogramma verwerken wij de volgende gegevens:

  • Persoonsgegevens: voornaam, achternaam, geslacht, academische graad/titel.
  • Bereikbaarheidsgegevens: adres, telefoonnummer, e-mail.
  • Factuuradresgegevens: (bedrijfs-) naam, afdeling (optioneel), adres, postcode en plaats, e-mail en een eventueel kostenplaatsnummer.
  • Eventueel lidmaatschap van beroepsverenigingen (optioneel); we vragen dit om te bepalen of er op je inschrijving mogelijk een kortingsregeling van toepassing is.
  • Je verzoek om de elektronische EURIB Nieuwsbrief te ontvangen. Indien je deze optie aanvinkt, voegen we je e-mailadres toe aan ons bestand van e-mailadressen van waaruit de EURIB Nieuwsbrief wordt verzonden. Ook kan je je via de EURB website op de EURIB Nieuwsbrief abonneren. Bij elke nieuwsbrief heb je de mogelijkheid om je er permanent voor af te melden (unsubscribe-optie). Hierbij zal je e-mailadres uit ons bestand van e-mailadressen worden verwijderd. Dit adressenbestand wordt gehost door MailChimp.
  • Inzage of de BTW op de kosten voor het programma waarvoor je je inschrijft, zakelijk aftrekbaar zijn (optioneel). Deze informatie hebben wij nodig om bij het uitblijven van betaling te kunnen bepalen welke regels er gelden voor de incasso van deze kosten.

Deze gegevens worden voor interne administratiedoelen verzameld. EURIB bewaart deze gegevens niet langer dan noodzakelijk voor het doel waarvoor deze zijn verstrekt dan wel op grond van de wet is vereist. Voor elk onderwijsprogramma wordt een deelnemerslijst opgesteld om het onderling contact tussen de studenten te bevorderen. In deze deelnemerslijsten staan van elke student de volgende gegevens: voor- en achternaam, bereikbaarheidsgegevens en gegevens over de bedrijfsnaam. Deze gegevens delen we dus met je medestudenten uit hetzelfde programma. Aan docenten worden ook deze deelnemerslijsten verstrekt, waarin de bereikbaarheidsgegevens van de studenten zijn weggelaten. Bij elke overeenkomst met een docent wordt vastgelegd dat deze de deelnemerslijsten na het verzorgen van zijn/haar college vernietigt, deze gegevens niet naar derden doorspeelt en zelf geen initiatief mag nemen om deelnemers buiten het programma om te benaderen.

Voor door de NVAO-geaccrediteerde programma’s is EURIB per 1 januari 2018 wettelijk verplicht om de naams- en BSN-gegevens van een student door te geven aan de Dienst Uitvoering Onderwijs (DUO), een uitvoeringsorgaan van het ministerie van Onderwijs, Cultuur en Wetenschap (OCW). Daartoe vraagt EURIB van deze studenten een (digitale) kopie paspoort alsmede gegevens over de genoten vooropleiding in de vorm van kopieën van diploma’s. Deze gegevens worden voor onbepaalde tijd offline bewaard. Indien een student een geaccrediteerd programma voortijdig beëindigd, worden deze gegevens (kopie paspoort + kopieën van diploma’s) per omgaande verwijderd. Elke (potentiële) student heeft recht op inzage van zijn of haar persoonsgegevens die EURIB heeft opgeslagen. Op jouw verzoek kunnen deze gegevens door EURIB worden verwijderd, mits dit de administratieve afhandeling van een lopende inschrijving niet in de weg staat.

De website van EURIB gebruikt cookies. Als bezoeker word je hierop geattendeerd en heb je mogelijkheid het gebruik van cookies uit te schakelen. In onze cookiemelding kun je meer lezen over ons cookiebeleid.

Gegevens van docenten

EURIB verwerkt persoonsgegevens van docenten om met hen zakelijke overeenkomsten te sluiten en hen van feedback te voorzien op de door hun verzorgde colleges. Voor docenten betreft dit de volgende gegevens:

  • Persoonsgegevens: voornaam, achternaam, geslacht, academische titel.
  • Bereikbaarheidsgegevens: adres, telefoonnummer, e-mail.
  • Identificatiegegevens: kopie identificatiedocument.
  • Bedrijfsgegevens: (bedrijfs-) naam, afdeling (optioneel), adres, postcode en plaats en e-mail.
  • Bankrekeningnummergegevens.
  • De ‘fiscale sfeer’ waarin een docent zijn of haar declaratie indient (privé in de IB-sfeer, zakelijk met of zonder BTW en of daarbij sprake is van een aanmerkelijk belang). Deze gegevens zijn mede nodig voor het goed kunnen interpreteren van de Verklaring ArbeidsRelatie (VAR) en of de CRKBO-regeling van toepassing is. Van gastdocenten die op persoonlijke titel in de inkomstenbelastingsfeer hun honorarium declareren, worden aan het eind van elk kalenderjaar zijn of haar NAW-gegevens, alsmede zijn of haar bankrekeningnummer en IBAN-nummer doorgegeven aan de Belastingdienst (de zogeheten ‘IB-47 gegevens’). Dit betreft een wettelijke verplichting.
  • Evaluaties van studenten van het door de docent gegeven college. Deze gegevens worden teruggekoppeld aan de docent, alsmede de gemiddelde scores van alle docenten uit het desbetreffende onderwijsprogramma.

Deze gegevens worden voor interne administratiedoelen verzameld. EURIB bewaart deze gegevens niet langer dan noodzakelijk voor het doel waarvoor deze zijn verstrekt dan wel op grond van de wet is vereist. Op verzoek van een docent kunnen deze gegevens door EURIB worden verwijderd, mits dit de administratieve afhandeling van een opdrachtverstrekking niet in de weg staat.

Gegevens van medewerkers

EURIB verwerkt persoonsgegevens van medewerkers voor de salaris-, vakantie- en ziekteverzuimadministratie. Dit betreft:

  • Persoonsgegevens: voornaam, achternaam, geslacht, geboortedatum, geboorteplaats, BSN-nummer.
  • Sollicitatie-/werknemersgegevens: CV bij sollicitatie, kopie identificatiedocument.
  • Vakantiedata: registratie van vakantieverlof, alsmede bijzonder verlof.
  • Ziekteverzuim: registratie van het aantal dagen ziekteverzuim.

Deze gegevens worden voor interne administratiedoelen verzameld. EURIB bewaart deze gegevens niet langer dan noodzakelijk voor het doel waarvoor deze zijn verstrekt dan wel op grond van de wet is vereist. Op verzoek van een medewerker kunnen deze gegevens door EURIB worden verwijderd, mits dit de wettelijke registratieplicht en administratieve afhandelingen van salarisbetalingen e.d. niet in de weg staat. EURIB heeft een verwerkersovereenkomsten van persoonsgegevens voor de personeelsadministratie afgesloten met de daartoe relevante partijen. CV’s van sollicitanten worden maximaal twee jaar bewaard.

Diversen

Functionaris gegevensbescherming
Een functionaris gegevensbescherming (FG) is binnen een organisatie degene die verantwoordelijk is voor de verwerking van persoonsgegevens die in de praktijk plaatsvindt. Een organisatie is verplicht een FG aan te stellen, indien:
• Een organisatie een overheidsinstantie of overheidsorgaan is.
• Een organisatie op grote schaal bijzondere en/of strafrechtelijke persoonsgegevens verwerkt en dit een kernactiviteit van de organisatie is.
• Een organisatie op grote schaal aan regelmatige of stelselmatige observatie van betrokkenen doet en dit een kernactiviteit van de organisatie is.
EURIB voldoet niet aan deze voorwaarden en heeft daarom geen FG aangesteld. De algemeen directeur van EURIB neemt de taken van een functionaris gegevensbescherming waar.

Data Protection Impact Assessment (DPIA)
Een data protection impact assessment (DPIA) is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Een DPIA is alleen verplicht als de gegevensverwerking een hoog privacyrisico oplevert voor de degenen waarvan we persoonsgegevens verwerken. Een organisatie moet een DPIA uitvoeren als de verwerking van persoonsgegeven aan twee of meer van negen criteria voldoet. Hieronder worden deze criteria opgesomd en is per criterium aangegeven of EURIB wel of niet aan dit criterium voldoet:

  • EURIB beoordeelt mensen niet systematisch en uitvoerig op basis van persoonskenmerken;
  • EURIB neemt geen geautomatiseerde beslissingen met rechtsgevolgen;
  • EURIB doet niet aan stelselmatige en grootschalige monitoring;
  • EURIB verwerkt geen gevoelige gegevens of gegevens van zeer persoonlijke aard;
  • EURIB verwerkt niet op grote schaal persoonsgegevens;
  • EURIB gebruikt voor de verwerking van persoonsgegevens geen gekoppelde databases;
  • EURIB verwerkt geen gegevens over kwetsbare personen;
  • EURIB gebruikt voor het verwerken van persoonsgegevens geen nieuwe technologieën, zoals ‘internet of things’-toepassingen;
  • EURIB verwerkt wel persoonsgegevens om mogelijk een recht, dienst of contract te blokkeren.

‘Privacy by design’ en ‘privacy by default’
De registratie van persoonsgegevens bij EURIB is standaard privacyvriendelijk ontworpen. Wij vragen niet meer gegevens dan strikt noodzakelijk om onze dienstverlening adequaat uit te kunnen voeren. We bewaren gegevens niet langer dan strikt noodzakelijk en we hebben de interne toegang tot de gegevens beperkt tot de functionarissen die deze gegevens nodig hebben om hun werkzaamheden te kunnen uitvoeren. EURIB verwerkt geen persoonsgegevens die een risico inhouden voor de rechten en vrijheden van de mensen van wie wij persoonsgegevens verwerken.

Maatregelen om persoonsgegevens te beveiligen
EURIB heeft de noodzakelijke technische maatregelen en organisatorische maatregelen genomen voor de beveiliging van persoonsgegevens. De medewerkers van EURIB hebben de verplichting vertrouwelijk met je persoonsgegevens om te gaan. EURIB heeft met partijen die persoonsgegevens van EURIB werken, verwerkersovereenkomsten afgesloten.

Informatieplicht
Dit document ‘Verwerking persoonsgegevens door EURIB’ heeft als doel betrokkenen te informeren welke gegevens EURIB voor welk doel en met welke grondslag verzamelt en verwerkt. Deze privacyverklaring voldoet aan de informatie-eisen van de AVG. EURIB zal persoonsgegevens niet verwerken voor andere doelen dan waarvoor de persoonsgegevens zijn verzameld.

Je hebt in het kader van de AVG de volgende rechten:

  • Het recht om te weten of en welke persoonsgegevens door EURIB van je verwerkt worden;
  • Het recht op inzage en afschrift van die gegevens (voor zover de privacy van een ander daardoor niet wordt geschaad);
  • Het recht op correctie, aanvulling of verwijdering van gegevens indien dat nodig mocht zijn;
  • Het recht om je in bepaalde gevallen tegen de verwerking van je gegevens te verzetten.

Als je van deze rechten gebruik wilt maken, dan kun je dat bij ons kenbaar maken via de mail. Je belangen kunnen ook door een vertegenwoordiger worden behartigd, zoals een schriftelijk gemachtigde, een curator of mentor. Mocht je het niet met ons privacybeleid eens zijn, dan kun je daarover met ons in contact treden en/of een klacht indienen bij de relevante privacytoezichthouder.

Opgemaakt te Rotterdam op 18 mei 2018.