AVG & Persoonsgegevens
Werken volgens de AVG
De AVG (Algemene Verordening Gegevensbescherming) is een Europese verordening die per 25 mei 2018 is ingegaan. Om te voldoen aan de AVG heeft de RUG verplichtingen bij het verwerken van persoonsgegevens. De RUG, moet net zoals elke andere organisatie, verantwoording kunnen afleggen over de verwerking van persoonsgegevens.
Waar moet je aan voldoen?
Wanneer je te maken krijgt met persoonlijke gegevens van anderen, is de AVG van toepassing. Iedere verwerking van persoonsgegevens moet voldoen aan de onderstaande beginselen uit de AVG:
-
Rechtmatigheid - persoonsgegevens mogen alleen worden verwerkt als daar een rechtsgeldige grondslag voor is.
-
Transparantie - de betrokkene moet op de hoogte zijn van de verwerking van de persoonsgegevens.
-
Behoorlijkheid - de organisatie respecteert de belangen en de rechten en vrijheden van de betrokkene bij het verwerken van persoonsgegevens.
-
Doelbinding - persoonsgegevens mogen alleen voor welbepaalde en gerechtvaardigde doelen worden verwerkt en niet zomaar voor andere doelen verwerkt worden.
-
Dataminimalisatie - er mogen niet meer persoonsgegevens worden verwerkt dan nodig voor het realiseren van de gerechtvaardigde doelen van de verantwoordelijke.
-
Datakwaliteit - de verwerkte persoonsgegevens moeten juist en actueel zijn.
-
Opslagbeperking - persoonsgegevens mogen niet langer worden bewaard dan nodig voor het realiseren van de gerechtvaardigde doelen van de verantwoordelijke. Het is daarom van belang dat wordt nagedacht over bewaartermijnen.
-
Beveiliging - persoonsgegevens dienen met technische en organisatorische maatregelen beschermd te zijn tegen verlies of onrechtmatige verwerking.
-
Vertrouwelijkheid - persoonsgegevens moeten in beginsel geheim gehouden worden.
-
Verantwoordelijkheid - de RUG moet de betrokkene en toezichthouders kunnen aantonen dat bovenstaande principes zijn toegepast.
Verantwoordelijke versus verwerker
Wie is de verantwoordelijke?
De verantwoordelijke is de organisatie, persoon of groep die het doel en de middelen van de verwerking bepaalt. De verantwoordelijke bepaalt bijvoorbeeld:
-
dát er gegevens moeten worden verwerkt,
-
voor welke doelen dit gebeurt,
-
hoe lang de gegevens bewaard moeten worden,
-
met wie de gegevens gedeeld mogen worden.
Een voorbeeld is de verwerking van persoonsgegevens voor het inschrijven van buitenlandse studenten. De RUG bepaalt dat buitenlandse studenten worden ondersteund bij het aanvragen van een verblijfsvergunning. In dat geval kiest de RUG ervoor de daarvoor noodzakelijke gegevens te verzamelen en die uit te wisselen met de IND.
Wie is de verwerker?
De verwerker is een persoon, bedrijf of groep die in opdracht van een verantwoordelijke persoonsgegevens verwerkt. Bijvoorbeeld een leverancier van een cloudapplicatie voor de onderwijsadministratie of de partij die de salarisadministratie van de RUG uitvoert.
Indien een verantwoordelijke een derde (de verwerker) inschakelt om persoonsgegevens te verwerken, zullen er afspraken moeten worden gemaakt over die verwerking. Dit gebeurt in een verwerkersovereenkomst.
Meer over de AVG op de website van de Authoriteit Persoonsgegevens.
Laatst gewijzigd: | 08 september 2023 08:51 |