Reglement bescherming persoonsgegevens

Wageningen University & Research gaat zorgvuldig, betrouwbaar en transparant om met persoonsgegevens. Integriteit vinden wij vanzelfsprekend. Wij beschermen de persoonsgegevens van onze medewerkers, studenten en relaties.

Binnen Wageningen University & Research (WUR) worden op verschillende manieren persoonsgegevens verwerkt. Dit reglement geeft een beschrijving van de taken, verantwoordelijkheden en procedures met betrekking tot de verwerking van persoonsgegevens binnen WUR en is van toepassing op alle verwerkingen door WUR. Het overkoepelende beleid met uitgangspunten is neergelegd in het Beleidsdocument bescherming persoonsgegevens. In dit reglement worden dezelfde begrippen gehanteerd als in de toepasselijke privacywetgeving. Dat betreft Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming, of “AVG”) en de Uitvoeringswet AVG.

Het college van bestuur van Wageningen University en het college van bestuur van Stichting Wageningen Research zijn gezamenlijk verantwoordelijk voor de verwerking van persoonsgegevens binnen WUR. De risicobeheersing op privacy en informatiebeveiliging vallen onder principe 9 van de Code Goed Bestuur.

Regelement bescherming persoonsgegevens

Welke persoonsgegevens verwerken wij?

WUR verwerkt veel verschillende soorten persoonsgegevens. WUR beperkt dit tot die persoonsgegevens die noodzakelijk zijn voor de doeleinden van de verwerking en zal de verwerking van persoonsgegevens op de voor betrokkenen minst ingrijpende wijze uitvoeren.

Welke gegevens WUR precies van u verwerkt hangt af van uw relatie met WUR. Van onze medewerkers verwerkt WUR alle gegevens die nodig zijn voor het goed uitvoeren van het dienstverband. Van onze studenten verwerkt WUR alle gegevens die nodig zijn voor het goed kunnen doorlopen van het onderwijsprogramma. Van onze klanten, leveranciers en andere relaties verwerkt WUR alle gegevens die nodig zijn voor het uitvoeren van gemaakte afspraken.

Via de verwerkingsoverzichten is in één oogopslag duidelijk welke persoonsgegevens wij van u verwerken:

  1. Overzicht medewerkers in loondienst
  2. Overzicht medewerkers buiten loondienst
  3. Overzicht studenten
  4. Overzicht relaties

Waarom verwerken wij persoonsgegevens?

Persoonsgegevens worden door WUR verwerkt voor de volgende doeleinden:

1. Het geven van onderwijs

Dit doel omvat het uitvoeren, bijstellen en controleren van interne en externe onderwijsprocessen, waaronder de aanmelding, inschrijving en uitschrijving van studenten, promovendi, extranei, contractanten, cursisten en alumni, het aanbieden van onderwijs, het verzorgen van tests, examens en tentamens, het aanbieden van faciliteiten aan studenten en het zorgdragen voor fraudepreventie.

2. Het uitvoeren van onderzoek

Dit doel omvat het acquireren, uitvoeren en controleren van intern en extern (contract)onderzoek, waaronder het vastleggen van informatie van proefpersonen en het communiceren over onderzoek.

3. Het voeren van onze interne administratie

Dit doel omvat het uitvoeren, bijstellen en controleren van de met de huidige, aanstaande of voormalige relatie verband houdende processen, zoals het personeelsbeleid, betaling van salaris en emolumenten, het berekenen en innen van collegegeld, examengeld en andere financiële bijdragen, het bieden van financiële en administratieve ondersteuning aan studenten en medewerkers en rechtsbescherming. Ook de bescherming van WUR’s data valt onder dit doel.

4. Het nakomen van contractuele afspraken

Dit doel omvat het aangaan, uitvoeren en beëindigen van overeenkomsten met opdrachtgevers, opdrachtnemers, samenwerkingspartners, leveranciers of afnemers.

5. Het bijdragen aan uw welzijn

Dit doel omvat het geven van advies, begeleiding en ondersteuning en het anderszins bijdragen aan het fysieke en mentale welzijn van studenten en medewerkers, maar ook de beveiliging van eigendommen, personen, terreinen en gebouwen.

6. Het beheren van relaties

Dit doel omvat het relatie- en alumnibeheer door WUR, waaronder het voorbereiden, verzenden en ontvangen van informatie en het organiseren en bijwonen van bijeenkomsten voor bijvoorbeeld samenwerkingspartners, scholieren en alumni.

Welke grondslagen hanteren wij voor het verwerken van persoonsgegevens?

Persoonsgegevens worden binnen WUR op de volgende wettelijke grondslagen verwerkt:

1. Toestemming

Dit is de grondslag voor de verwerking van uw persoonsgegevens voor welzijn en relatiebeheer en voor sommige onderzoeksdoeleinden, zoals bij proefpersonenonderzoek.

2. Overeenkomst

Het uitvoeren van een overeenkomst met u is de grondslag voor onderwijs-, administratieve en contractuele doeleinden, voorzover die niet behoren tot het uitvoeren van een wettelijke taak of het uitvoeren van een taak van algemeen belang.

3. Wettelijke taak

Het uitvoeren van een wettelijke taak of plicht van WUR is de grondslag voor de meeste onderwijsdoeleinden op grond van de Wet op het hoger onderwijs en wetenschappelijk onderzoek (WHW), maar is ook een belangrijke grondslag voor het voeren van onze administratie.

4. Vitaal belang

Het beschermen van vitale belangen van u of van anderen is de grondslag voor sommige welzijnsdoeleinden, bijvoorbeeld waar het gaat om cameratoezicht bij incidenten op de campus van WUR.

5. Algemeen belang

Het uitvoeren van een taak van algemeen belang is de grondslag voor veel onderzoekprojecten, zoals bij wettelijke onderzoekstaken of ander onderzoek dat een algemeen belang dient. Het algemeen belang dient ook als grondslag voor onderwijs- en welzijnsdoeleinden.

6. Gerechtvaardigd belang

Het behartigen van gerechtvaardigde belangen van WUR of van een derde is de grondslag voor alle genoemde doeleinden voorzover de verwerking niet onder een ander doel valt en voorzover het belang zwaarder weegt dan het belang van bescherming van uw persoonsgegevens. Dit speelt met name een rol bij sommige marketingactiviteiten en onderzoeksprojecten.

Wanneer aan betrokkenen om verstrekking van persoonsgegevens wordt gevraagd, dan zal WUR per situatie duidelijk maken of de verstrekking van de gegevens noodzakelijk of verplicht is en wat de mogelijke gevolgen zijn indien de gegevens niet worden verstrekt.

Welke aanvullende regels gelden voor specifieke verwerkingen?

Voor enkele specifieke verwerkingen gelden naast dit reglement aanvullende regels. Het gaat daarbij om de volgende verwerkingen:

1. Onderzoek

Voor het gebruik van persoonsgegevens in wetenschappelijk onderzoek volgt WUR de Gedragscode voor gebruik van persoonsgegevens in wetenschappelijk onderzoek van de VSNU.

2. Evenementen

Bij de registratie voor een evenement dat georganiseerd wordt door WUR, verwerkt WUR op basis van uw toestemming de persoonsgegevens die u verstrekt bij aanmelding en bij eventueel vervolgcontact. Deze gegevens zijn nodig voor het administreren van uw aanmelding en voor het organiseren van het evenement. De persoonsgegevens worden zo spoedig mogelijk na afloop van het evenement verwijderd, tenzij u toestemming geeft voor verdere verwerking, zoals inschrijving voor WUR’s nieuwsbrieven.

3. Gebruik van onze websites

Bij het gebruik van de websites van WUR kunnen persoonsgegevens en cookies worden verzameld. De regels met betrekking tot het verwerken van persoonsgegevens via de websites en applicaties staan in het Privacy & Cookie Statement.

4. Online vergadertools

Voor het gebruik van online vergadertools en het maken van opnames door en van medewerkers en studenten gelden specifieke regels, die in ons Beleid online vergadertools zijn te vinden.

5. Cameratoezicht

Op de terreinen en in de gebouwen van WUR vindt cameratoezicht plaats om de beveiliging te borgen. De regels met betrekking tot het cameratoezicht staan in het Reglement cameratoezicht.

6. Gebruik van WUR-faciliteiten

Het Netwerkreglement voor medewerkers en het Netwerkreglement voor studenten bevatten regels rond gebruik van netwerkfaciliteiten, apparatuur, software en gegevens van WUR. Onderdeel van beide reglementen is dat WUR onderzoek kan doen naar misbruik van de faciliteiten en voor dat doel persoonsgegevens kan verwerken.

Buiten deze specifieke regelingen kent WUR richtlijnen, best practices en standaarden voor de verwerking van persoonsgegevens in specifieke situaties. Deze informatie is beschikbaar via intranet (login vereist) en door het privacyteam te mailen.

Hoe beveiligen wij uw gegevens?

WUR behandelt alle persoonsgegevens vertrouwelijk en hanteert voor bijzondere persoonsgegevens een hoge risicoclassificatie. Beveiliging van persoonsgegevens binnen WUR en de door haar ingeschakelde verwerkers vindt plaats aan de hand van algemeen geaccepteerde normen en best practices. Het Informatiebeveiligingsbeleid bevat WUR’s uitgangspunten rond informatiebeveiliging, waaronder security-by-design en security-by-default. De algemene normen NEN-ISO/IEC 27001 27002 worden gehanteerd als best practice voor informatiebeveiliging. Het Juridisch Normenkader Cloudservices Hoger Onderwijs wordt gehanteerd als best practice voor cloud-diensten en outsource-contracten.

WUR heeft de toegang tot persoonsgegevens op een passende wijze elektronisch en fysiek beveiligd tegen onbevoegde toegang of onrechtmatige verwerking. De specifieke beveiligingsmaatregelen staan steeds in verhouding tot de aard van de persoonsgegevens en de toepasselijke risicoclassificatie. WUR’s beveiligingsareaal omvat in het bijzonder de volgende maatregelen:

  1. Persoonsgegevens en de applicaties waarmee persoonsgegevens worden verwerkt zijn op alle niveaus in de informatieketen beschermd tegen risico’s op verlies van beschikbaarheid, inbreuk op de integriteit van de persoonsgegevens en onrechtmatige verwerking (waaronder hacking, phishing en ransomware).
  2. Persoonsgegevens worden zoveel als mogelijk versleuteld en gepseudonimiseerd verwerkt, in het bijzonder waar het betreft de verwerking van persoonsgegevens in onderzoeksprojecten.

Met wie delen wij uw gegevens?

Delen van persoonsgegevens met personen of organisaties buiten WUR kan in verschillende situaties plaatsvinden.

In de eerste plaats schakelt WUR verwerkers in, die persoonsgegevens verwerken onder verantwoordelijkheid van WUR. Hierbij kan worden gedacht aan softwareleveranciers, hosting providers, onderhoudsbedrijven en beveiligingsbedrijven. WUR heeft met deze verwerkers afspraken gemaakt over de verwerking en beveiliging van WUR’s persoonsgegevens.

WUR kan ook persoonsgegevens doorgeven aan haar partners en instanties, zoals aan andere onderwijs- en overheidsinstellingen, samenwerkingspartners, stageorganisaties, studentenwoningcorporaties en studie- en studentenverenigingen.

WUR is terughoudend met het delen van persoonsgegevens en toetst iedere doorgifte aan de uitgangspunten van de AVG. Met alle ontvangers maakt WUR afspraken over de verwerking en beveiliging van persoonsgegevens.

Hoe gaan wij om met doorgifte van uw gegevens buiten de EER?

WUR verstrekt persoonsgegevens alleen aan organisaties buiten de Europese Economische Ruimte wanneer dit is toegestaan onder de AVG. Dit kan op basis van een adequaatheidsbesluit van de Europese Commissie dat het land of de organisatie een passend beschermingsniveau waarborgt, op basis van Binding Corporate Rules, of op basis van de Standard Contractual Clauses van de Europese Commissie.

Hoe lang bewaren wij uw gegevens?

Persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt. Bewaartermijnen kunnen soms wettelijk zijn vastgelegd, zoals bij financiële gegevens en studieresultaten. WUR heeft haar bewaar- en archiefbeleid gebaseerd op basis van de Selectielijst Universiteiten en Universitair Medische Centra (2020).

WUR zal de door haar verwerkte persoonsgegevens na het verlopen van de geldende bewaartermijn vernietigen of, indien de persoonsgegevens bestemd zijn voor historische, statistische of wetenschappelijke doeleinden, beveiligd, waar mogelijk gepseudonimiseerd of geanonimiseerd, archiveren.

Hoe kunt u uw rechten uitoefenen?

Een betrokkene kan verzoeken om inzage, verbetering, aanvulling, verwijdering, overdracht of afscherming van de hem/haar betreffende persoonsgegevens. Een dergelijk verzoek kan worden ingediend via de procedure als omschreven op de Integriteit en privacy-pagina van WUR. Een verzoek met betrekking tot persoonsgegevens van een minderjarige moet worden ingediend door de wettelijke vertegenwoordiger.

Op een verzoek wordt uiterlijk binnen vier weken gereageerd. Daarbij wordt aangegeven of het verzoek gegrond is, en indien van toepassing, welke eventuele vervolgacties worden genomen en binnen welke termijn. Iedere eerste aanvraag kan kosteloos worden ingediend. Bij misbruik zullen de kosten die WUR in verband met het verzoek heeft gemaakt worden doorbelast aan de indiener.

Voor verwerking van persoonsgegevens in onderzoek gelden specifieke regels rond de rechten van betrokkenen. WUR zal hier in de informatie voorafgaand aan uw deelname verdere uitleg over geven.

Hoe kunt u een vraag, klacht of bezwaar indienen?

In sommige gevallen kunt u bezwaar aantekenen tegen verwerking van uw persoonsgegevens door WUR, namelijk als deze verwerking plaatsvond op grond van:

  • de vervulling van een publiekrechtelijke taak;
  • de behartiging van het gerechtvaardigd belang van WUR of van een derde aan wie de gegevens worden verstrekt;
  • verwerking voor wetenschappelijke, historische of statistische doeleinden, tenzij het een onderzoek van algemeen belang betreft;
  • gebruik van zijn persoonsgegevens voor direct marketing en profileringsdoeleinden.

Buiten bovengenoemde verzoeken en bezwaaropties, kan eenieder een klacht indienen over de verwerking van persoonsgegevens door WUR.

De klacht of het bezwaarschrift kan digitaal worden ingediend via het emailadres van het privacyteam van WUR. Een bezwaar of klacht met betrekking tot persoonsgegevens van een minderjarige moet worden ingediend door de wettelijke vertegenwoordiger.

Op een klacht of bezwaar wordt uiterlijk binnen vier weken gereageerd. Daarbij wordt zo mogelijk aangegeven of het bezwaar of de klacht gegrond is, welke eventuele vervolgacties worden genomen en binnen welke termijn. Indien het bezwaar of de klacht gegrond is, treft WUR maatregelen die nodig zijn om de verwerking te beëindigen. Bij misbruik zullen de kosten die WUR in verband met de klacht of het bezwaar heeft gemaakt worden doorbelast aan de indiener.

Wie is onze functionaris voor de gegevensbescherming?

De functionaris voor de gegevensbescherming van WUR houdt toezicht op de naleving van de privacywetgeving en adviseert over de toepassing daarvan.

De functionaris voor de gegevensbescherming van WUR is bereikbaar via email.

Dit reglement treedt in de plaats van alle voorgaande reglementen betreffende de bescherming van persoonsgegevens en kan worden aangehaald als “Reglement Bescherming Persoonsgegevens Wageningen University & Research”. Het reglement heeft de instemming verkregen van de medezeggenschapsorganen en is vastgesteld op 8 maart 2022.

In gevallen waarin dit reglement niet voorziet beslist de raad van bestuur van WUR.