BESLUIT COLLEGE VAN BESTUUR

Transcriptie

1 BESLUIT COLLEGE VAN BESTUUR Nummer : 734 Paraaf: Onderwerp : Privacyreglement 2015 Besluit : Het College van Bestuur van Windesheim besluit tot vaststelling van het privacyreglement Het reglement vervangt het privacyreglement. Verwerking persoonsgegevens studenten zoals vastgesteld bij besluit 363 d.d. 24 augustus Status besluit : voorgenomen d.d. 27 januari 2015 vastgesteld d.d. 9 maart 2015 Consequenties t.a.v. Personeel : n.v.t. Huisvesting : n.v.t. Financiële aspecten : n.v.t. t.l.v. budget : Verantwoordelijk voor de uitvoering : n.v.t. CMR: Aangeboden ter : instemming d.d. 4 februari 2015 Instemming : verkregen d.d. 5 maart 2015 Communicatie Besluittekst Bijlagen Datum Door: Directeuren X X 10 maart 2015 CvB CMR X X 10 maart 2015 CvB Interne Audits X X 10 maart 2015 CvB Div-A X X 10 maart 2015 CvB Marketing en Communicatie X X 10 maart 2015 CvB College van Beroep voor de Examens X X 10 maart 2015 CvB

2 Privacyreglement 2015 Privacyreglement 2015 Christelijke Hogeschool Windesheim

3 Privacyreglement 2015 Pagina 2 Inhoudsopgave Inhoudsopgave... 2 Preambule bij het in 2004 vastgestelde Privacyreglement... 3 Artikel 1 Begripsbepalingen... 4 Artikel 2 Reikwijdte reglement... 5 Artikel 3 Doelstelling van dit reglement... 5 Artikel 4 Doelstelling verwerking persoonsgegevens betrokkenen... 5 Artikel 5 Grondslag verwerking persoonsgegevens... 5 Artikel 6 Categorieën betrokkenen... 5 Artikel 7 Categorieën gegevens... 6 Artikel 8 Bijzondere gegevens... 6 Artikel 9 De wijze waarop persoonsgegevens worden verkregen... 6 Artikel 10 De gevallen waarin opgenomen persoonsgegevens worden verwijderd... 6 Artikel 11 Rechtstreekse toegang tot de persoonsgegevens van betrokkenen... 7 Artikel 12 Categorieën van personen of instanties waaraan persoonsgegevens verstrekt kunnen worden... 7 Artikel 13 Rechten van betrokkenen... 8 Artikel 14 Verantwoordelijkheid... 8 Artikel 15 Geheimhouding en beveiliging... 9 Artikel 16 Controle op naleving... 9 Artikel 17 Inzage Privacyreglement... 9 Artikel 18 Rechtsbescherming... 9 Artikel 19 Evaluatie en wijziging... 9 Artikel 20 Inwerkingtreding... 9

4 Privacyreglement 2015 Pagina 3 Preambule bij het in 2004 vastgestelde Privacyreglement Per 1 september 2001 is de Wet Persoonsregistraties vervangen door de Wet Bescherming Persoonsgegevens (Stb. 2000, 302).Op grond van de inmiddels vervallen Wet Persoonsregistraties was Windesheim in het verleden verplicht om een Privacyreglement Persoonsregistratie Studenten te hebben. Volgens de nieuwe Wet Bescherming Persoonsgegevens bestaat er geen verplichting meer om een reglement vast te stellen. Toch heeft Windesheim besloten een nieuw Privacyreglement Bescherming Persoonsgegevens Studenten te vervaardigen, omdat met een reglement deze regels voor studenten inzichtelijker zijn. Het Privacyreglement Bescherming Persoonsgegevens Studenten is ook gebaseerd op het Bestuursreglement van de Christelijke Hogeschool Windesheim. Volgens artikel 21, sub f van dit reglement 1 is het College van Bestuur (CvB) verplicht regelingen op te stellen ter bescherming van de privacy van studenten van wie gegevens in databestanden en dossiers zijn opgenomen. Het CvB heeft deze bevoegdheid vervolgens in artikel 38, lid 2, sub c en e gemandateerd aan de directeur van de Gemeenschappelijke Studenten Administratie (GSA) 2. De directeur van de GSA is derhalve bevoegd tot het nemen van beslissingen aangaande het Privacyreglement Persoonsgegevens Studenten en de toegang tot persoonsgegevens uit de studentenadministratie met inachtneming van het reglement. In het Privacyreglement Bescherming Persoonsgegevens Studenten wordt o.a. geregeld welke persoonsgegevens van studenten er bij Windesheim worden verwerkt, aan wie deze persoonsgegevens eventueel mogen worden verstrekt en wat de rechten van studenten zijn met betrekking tot de verwerking van hun eigen persoonsgegevens. In aanvulling per januari 2015 Nadat dit reglement in augustus 2004 (met wijzigingen) is vastgesteld, heeft het reglement ongewijzigd dienst gedaan. In januari 2015 is het reglement op onderdelen aangevuld, zonder dat de kern ervan gewijzigd is. De wijzigingen van januari 2015 hebben als doel de ICT-ontwikkelingen van de laatste tijd in het het reglement te verwerken, zodat studenten de beschikking hebben over een actueel reglement. Al enige jaren werkt de Europese Unie aan een Privacyverordening. Het is de verwachting dat deze in de loop van 2015 wordt ingevoerd. Na invoering van deze verordening zal het vigerende Privacyreglement grondig worden herzien. 1 Met de invoering van een herzien Bestuurs- en beheersreglement in 2013 is artikel 38 vervallen. In het herziene Bestuurs- en beheersreglement valt dit Privacyreglement onder het algemeen geformuleerde artikel 6 lid 2 sub d en sub e. 2 Ook het bepaalde in artikel 38 lid 2 sub c en e Bestuursreglement is met de invoering van het herziene Bestuursen beheersreglement in 2013 niet meer van toepassing. De bescherming van de privacy van betrokkenen van wie gegevens in databasebestanden en dossiers zijn opgenomen, is in het gewijzigde Bestuurs- en beheersreglement niet expliciet benoemd en valt daarmee onder het bepaalde in de artikelen 10, 11 en 14.

5 Privacyreglement 2015 Pagina 4 Artikel 1 Begripsbepalingen In dit reglement wordt verstaan onder: a. bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen; b. beheerder: degene die de leiding heeft over de dagelijks werkzaamheden met betrekking tot verwerking van de persoonsgegevens, in de regel de domein- en dienstdirecteuren; c. betrokkene: degene op wie een persoonsgegeven betrekking heeft; d. CHW: Christelijke Hogeschool Windesheim, zie ook: de hogeschool e. CvB: het College van Bestuur van de CHW; f. de hogeschool: de Christelijke Hogeschool Windesheim; g. derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke gemachtigd is om persoonsgegevens te verwerken; h. DIA: Dienst Informatievoorziening en Administraties; i. Functionaris: degene die door het CvB is gemachtigd de meldingen te doen bij het College Bescherming Persoonsgegevens; j. GSA: de Gemeenschappelijke Studentenadministratie van de CHW; k. toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt, dan wel deze aanvaarding intrekt, dat hem betreffende persoonsgegevens worden verwerkt; l. ontvanger: degene aan wie de persoonsgegevens worden verstrekt; m. persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; n. systeembeheerder: degene die het technische deel van de bestanden beheert: o. verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; in het kader van dit reglement: het College van Bestuur van de CHW; p. verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens; q. verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens; r. verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens; s. Wbp: de Wet Bescherming Persoonsgegevens.

6 Privacyreglement 2015 Pagina 5 Artikel 2 Reikwijdte reglement 1. Dit reglement is van toepassing op alle persoonsgegevens van betrokkenen, zoals vermeld in art. 6, binnen de hogeschool, die door de verantwoordelijke of in diens opdracht worden verwerkt, voor zover de gegevens uit deze registratie eenvoudig kunnen worden herleid tot individuele natuurlijke personen. 2. Dit reglement is niet van toepassing op persoonsgegevens verwerkt in dossiers van vertrouwenspersonen, de onderscheiden klachtencommissies en beroeps- en bezwarencommissies van de hogeschool. Dit reglement is eveneens niet van toepassing op persoonsgegevens verwerkt in dossiers van decanen, tenzij het een verwerking van persoonsgegevens betreft binnen het Studiesuccescentrum (SSC). 3. Alle persoonsgegevens opgeslagen in de in lid 2 genoemde dossiers zijn in beginsel vertrouwelijk en dienen daarom ook vertrouwelijk behandeld te worden. 4. Voor zover gegevens uit de in lid 2 genoemde dossiers aan derden verstrekt worden, kan dat alleen geschieden met instemming van de betrokkene, dan wel op basis van een bevoegdheid of plicht opgenomen in een wettelijke regeling of de desbetreffende hogeschoolregeling Artikel 3 Doelstelling van dit reglement Dit reglement heeft tot doel: a. Betrokkenen te informeren over de wijze waarop de hogeschool omgaat met persoonsgegevens; b. de persoonlijke levenssfeer van ieder van wie de persoonsgegevens worden verwerkt, te beschermen tegen misbruik van die gegevens en tegen opslag van onjuiste gegevens; c. te voorkomen dat persoonsgegevens van betrokkenen voor een ander doel worden gebruikt dan waarvoor zij zijn verzameld; d. de rechten van de betrokkenen te waarborgen. Artikel 4 Doelstelling verwerking persoonsgegevens betrokkenen De verwerking van persoonsgegevens heeft tot doel: a. het kunnen beschikken over informatie ten behoeve van de bedrijfsvoering van de hogeschool, onderscheidenlijk het uitvoering geven aan wettelijke taken, overeenkomstig het gestelde in artikel 19 lid 2 Vrijstellingenbesluit; b. adequaat kunnen voldoen aan de vraag gegevens te verstrekken aan personen of instanties met een publiekrechtelijke taak, voor zover die verplichting voortvloeit uit wetgeving en voor zover zij die gegevens behoeven voor de uitoefening van hun taak en de persoonlijke levenssfeer van de betrokkenen daardoor niet onevenredig wordt geschaad. Artikel 5 Grondslag verwerking persoonsgegevens De verwerking van persoonsgegevens van betrokkenen is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst. Verwerking van persoonsgegevens van scholieren en alumni is gebaseerd op toestemming. Artikel 6 Categorieën betrokkenen De persoonsgegevens van de volgende categorieën van bij de hogeschool ingeschreven personen kunnen worden verwerkt: a. Scholieren; b. aanmelders; c. studenten; d. extraneï; e. cursisten; f. alumni; g. bezoekers van conferenties en seminars.

7 Privacyreglement 2015 Pagina 6 Artikel 7 Categorieën gegevens 1. Persoonsgegevens en bijzondere persoonsgegevens worden alleen verwerkt voor zover zij gezien de doeleinden toereikend, ter zake dienend en niet bovenmatig zijn. 2. Per verwerking wordt in de meldingen gebruik persoonsgegevens, gepubliceerd op Sharenet en windesheim.nl, aangegeven welke soorten van persoonsgegevens worden verwerkt en op welke wijze deze gegevens worden verkregen. 3. De volgende soorten van persoonsgegevens kunnen worden verwerkt: a. Identificerende gegevens: b. Historiegegevens: c. Aanmeldgegevens; d. Inschrijvingsgegevens: e. College-,examengeld- en cursusgeldgegevens: f. studievoortgangsgegevens: g. Beëindigingsgegevens: h. Alumnigegevens. Artikel 8 Bijzondere gegevens 1. De verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging is verboden behoudens het bepaalde in leden 2 en 3 van dit artikel. Hetzelfde geldt voor strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag. 2. Het verbod gegevens betreffende iemands godsdienst of levensovertuiging te verwerken als bedoeld in lid 1, is niet van toepassing indien de verwerking geschiedt met het oog op de doelstelling van de hogeschool en deze verwerking voor de verwezenlijking van haar grondslag van belang is en de gegevens met uitdrukkelijke toestemming van de betrokkene zijn verkregen. 3. Het verbod om persoonsgegevens betreffende iemands gezondheid m.b.t. een functiebeperking te verwerken als bedoeld in lid 1, is niet van toepassing indien de verwerking geschiedt met het doel betrokkene een bevoorrechte positie toe te kennen teneinde feitelijke ongelijkheden op te heffen of te verminderen, slechts indien dit voor dat doel noodzakelijk is. Artikel 9 De wijze waarop persoonsgegevens worden verkregen De gegevens genoemd in artikel 7 worden door betrokkene verstrekt dan wel via de Dienst Uitvoering Onderwijs (DUO) of door de hogeschool gegenereerd en vervolgens door de hogeschool verzameld en actueel gehouden. Artikel 10 De gevallen waarin opgenomen persoonsgegevens worden verwijderd 1. Uiterlijk twee jaar na aanmelding worden alle persoonsgegevens van de betrokkene verwijderd, tenzij de aanmelding wordt omgezet in een inschrijving. 2. Indien de aanmelding wordt omgezet in een inschrijving, worden alle persoonsgegevens van de betrokkene twee jaar na beëindiging van de studie verwijderd. 3. Van scholieren worden uiterlijk twee jaar na de laatste activiteit alle persoonsgegevens van de betrokkene verwijderd. 4. Anders dan in leden 1 tot en met 3 is bepaald, worden de persoonsgegevens niet verwijderd indien een langere bewaartermijn noodzakelijk is ter voldoening van een wettelijke bewaarplicht of als er

8 Privacyreglement 2015 Pagina 7 toestemming is verleend voor het langer gebruik van de persoonsgegevens in het kader van alumnibeheer. Deze bewaartermijnen zijn terug te vinden in de selectielijst Windesheim. 5. De met instemming van de alumnus verzamelde of gegenereerde persoonsgegevens worden op verzoek van de betreffende alumnus verwijderd, maar in ieder geval na vijftig jaren na uitschrijving. Artikel 11 Rechtstreekse toegang tot de persoonsgegevens van betrokkenen 1. Toegang tot de persoonsgegevens van betrokkenen, alleen voor inzage, hebben: a. degenen, waaronder begrepen derden, die leiding geven aan of belast zijn met de in artikel 3 bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken: b. de directeuren en managers van de opleidingen voor zover de gegevens noodzakelijk zijn voor een goede uitoefening van hun functie; c. docenten voor persoonsgegevens van betrokkenen, voor zover de gegevens noodzakelijk zijn voor een goede uitoefening van hun functie; d. studentendecanen, studentpsychologen en medewerkers van het studiesuccescentrum voor zover noodzakelijk voor de uitoefening van hun functie; e. Studenten bij Windesheim kunnen de (geslachts)naam, voornaam en adres van andere studenten inzien ten behoeve van onderlinge communicatie en autorisatiedoeleinden. 2. Naast inzage hebben de in dit lid genoemde groepen voor onderhoud toegang tot de persoonsgegevens van betrokkenen: a. de als zodanig aangewezen functioneel beheerders van DIA; b. de medewerkers van de GSA; c. de medewerker voor Kies op Maat (KOM); d. de medewerkers van de onderwijsadministraties van de bedrijfsbureaus van de opleidingen; e. de als zodanig aangewezen medewerkers van de dienst Financiële Administratie. f. Docenten voor zover het invoer van resultaten betreft g. Student- en studieloopbaanbegeleiders; h. Medewerkers van Div-A. 3. Toegang tot de persoonsgegevens is geregeld conform de vigerende autorisatie- en authenticatierichtlijnen. Artikel 12 Categorieën van personen of instanties waaraan persoonsgegevens verstrekt kunnen worden 1. Behalve aan degenen die toegang hebben tot het bestand, worden persoonsgegevens uit het bestand door de beheerder verstrekt aan: a. De betrokken, op diens eigen verzoek, maar uitsluitend de eigen gegevens; b. In de gevallen bedoeld in artikel 8, onder a, c en d, of artikel 9, derde lid, van de Wbp. Hieronder valt in elk geval het verstrekken van gegevens aan: 1) Ministerie van OC&W; 2) Inspectie voor het Hoger Onderwijs; 3) Dienst Uitvoering Onderwijs (DUO); 4) Vereniging Hogescholen; 5) Toeleverende scholen MBO en VO; 6) Cloudleveranciers 7) Studiekeuze 123 ten behoeve van de Nationale Studenten Enquête; 8) Immigratie en Naturalisatie Dienst (IND) ten behoeve van verblijfsvergunningsplichtige studenten 9) overige instellingen voor zover de wet dit vereist hetzij a) dat de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene, hetzij b) dat in geval van verdere verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden de nodige voorzieningen zijn getroffen ten

9 Privacyreglement 2015 Pagina 8 einde te verzekeren dat de verdere verwerking uitsluitend geschiedt ten behoeve van deze specifieke doeleinden. c) in de gevallen bedoeld in artikel 8, onder e en f van de Wbp, uitsluitend voor zover het betreft naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens en nadat het voornemen daartoe aan de betrokkene of diens wettelijk vertegenwoordiger is medegedeeld en deze gedurende een redelijke termijn in de gelegenheid is geweest het recht van verzet uit te oefenen. Dit betekent dat gegevens kunnen worden verwerkt: (1) indien de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt dan wel (2) indien de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleren. 2. Overige gegevensverstrekking geschiedt uitsluitend met toestemming van de betrokkene. 3. De soorten van persoonsgegevens die ten behoeve van de in dit artikel genoemde instanties kunnen worden verwerkt zijn de gegevens tot de verstrekking waarvan de verantwoordelijke op grond van de wet of een overeenkomst verplicht is. Artikel 13 Rechten van betrokkenen 1. Elke betrokkene heeft het recht te verzoeken: a. inzage te krijgen en de herkomst te vernemen - middels een schriftelijk overzicht van de persoonsgegevens die omtrent hem / haar worden verwerkt; b. indien de gegevens uit het overzicht feitelijk onjuist, voor het doel van de registratie onvoldoende of niet ter zake dienend zijn dan wel in strijd met een wettelijk voorschrift, deze gegevens te verbeteren, aan te vullen of te verwijderen; c. of hem/haar betreffende gegevens in het jaar voorafgaande aan het verzoek uit het systeem aan derden zijn verstrekt; d. om een verklaring met bepaalde persoonsgegevens uit het bestand, waarvan de betrokkene aantoont deze nodig te hebben om aan derden te kunnen overleggen. 2. Een verzoek wordt schriftelijk aan de beheerder gedaan; deze voldoet binnen een maand na ontvangst schriftelijk aan het verzoek als bedoeld onder 1a, c, en d en bericht binnen twee maanden na ontvangst of, dan wel in hoeverre aan het verzoek onder 1b zal worden voldaan. 3. Indien de beheerder twijfelt aan de identiteit van de verzoeker, dan vraagt hij zo spoedig mogelijk aan de verzoeker schriftelijk nadere gegevens inzake zijn identiteit te verstrekken of, ingeval het een verzoek als bedoeld onder 1a of d betreft, of hij het overzicht in persoon kan afhalen onder overlegging van een identiteitsbewijs. Door dit verzoek van de beheerder wordt de termijn opgeschort tot het tijdstip dat het gevraagde bewijs is geleverd. Artikel 14 Verantwoordelijkheid 1. Het College van Bestuur van de Christelijke Hogeschool Windesheim is in het kader van de Wbp verantwoordelijk voor de verwerking van persoonsgegevens van betrokkene en in die hoedanigheid verantwoordelijk voor de naleving van dit privacyreglement. 2. Onverminderd het bepaalde in het eerste lid is elke domein- en dienstdirecteur verantwoordelijk voor de naleving van dit reglement binnen zijn afdeling. 3. Een betrokkene bij de hogeschool is tot het tijdstip waarop zijn identificerende persoonsgegevens worden verwijderd, verantwoordelijk voor de tijdige aanlevering van mutaties van zijn persoonsgegevens.

10 Privacyreglement 2015 Pagina 9 Artikel 15 Geheimhouding en beveiliging 1. Functionarissen die uit hoofde van hun functie persoonsgegevens verwerken, zijn gehouden deze persoonsgegevens niet anders te gebruiken dan voor de uitoefening van hun functie nodig is en zij zijn verantwoordelijk voor een zorgvuldige omgang met deze gegevens zodat onbevoegden hier geen kennis van kunnen nemen. 2. De dienst DIA draagt zorg voor de technische beveiligingsmaatregelen die nodig zijn om onbevoegde toegang en wijziging van persoonsgegevens te voorkomen. 3. Maatregelen ten behoeve van toegang tot gegevens zijn door DIA vastgelegd in de autorisatie- en authenticatierichtlijnen. Artikel 16 Controle op naleving 1. De functionaris gegevensbescherming en/of de externe accountant, in het kader van de reguliere controle, voert controle uit op de naleving van de in dit reglement opgenomen bepalingen. 2. Deze controle omvat het nagaan of de opzet van de organisatie, met inbegrip van de procedures, in overeenstemming is met het gestelde in dit reglement en het nagaan op willekeurige tijdstippen of door betreffende functionarissen het reglement en de procedures worden nageleefd. 3. Indien daartoe aanleiding bestaat, rapporteert de functionaris gegevensbescherming en/of de externe accountant zijn bevindingen aan het College van Bestuur, die het verslag integraal doorstuurt aan de medezeggenschapsraad. Artikel 17 Inzage Privacyreglement Het reglement is voor betrokkenen beschikbaar via Sharenet en de webpagina s van de hogeschool. Artikel 18 Rechtsbescherming Betrokkene kan tegen een beslissing op een verzoek als bedoeld in artikel 13, lid 1, 2 of 3, tegen een weigering om een dergelijke beslissing te nemen of tegen het niet tijdig nemen van een dergelijke beslissing in beroep bij de arrondissementsrechtbank te Zwolle. Artikel 19 Evaluatie en wijziging 1. Het College van Bestuur draagt zorg voor een regelmatige evaluatie van dit reglement. De evaluatie vindt ten minste eenmaal in de drie jaar plaats. 2. De wijziging van dit reglement wordt door het College van Bestuur vastgesteld en behoeft de instemming van de Centrale Medezeggenschapsraad. Artikel 20 Inwerkingtreding 1. Deze gewijzigde regeling treedt in werking met ingang van het studiejaar en komt in de plaats van het tot dan geldende Privacyreglement. Verwerking persoonsgegevens studenten. 2. Dit reglement kan worden aangehaald als Privacyreglement Vastgesteld bij besluit 734 van het College van Bestuur d.d. 9 maart 2015, na verkregen instemming van de CMR d.d. 5 maart 2015.