Privacyreglement. Verwerking persoonsgegevens studenten. Christelijke Hogeschool Windesheim, Zwolle

Transcriptie

1 1 Privacyreglement Verwerking persoonsgegevens studenten Christelijke Hogeschool Windesheim, Zwolle

2 2 Inhoudsopgave Preambule... 2 Artikel 1 Begripsbepalingen... 4 Artikel 2 Doelstelling van dit reglement... 4 Artikel 3 Doelstelling verwerking persoonsgegevens studenten... 5 Artikel 4 Grondslag verwerking persoonsgegevens studenten... 5 Artikel 5 Reikwijdte reglement... 5 Artikel 6 Categorieën van personen... 5 Artikel 7 Soorten van persoonsgegevens... 5 Artikel 8 De wijze waarop persoonsgegevens worden verkregen... 6 Artikel 9 De gevallen waarin opgenomen persoonsgegevens worden verwijderd... 6 Artikel 10 Rechtstreekse toegang tot de persoonsgegevens van studenten... 7 Artikel 11 Categorieën van personen of instanties waaraan persoonsgegevens van studenten kunnen worden verstrekt... 7 Artikel 12 Soorten van persoonsgegevens die kunnen worden verstrekt... 8 Artikel 13 Inzage... 7 Artikel 14 Rechten van betrokkenen... 7 Artikel 15 Rechtsbescherming... 9 Artikel 16 Verantwoordelijkheid... 9 Artikel 17 Geheimhouding en beveiliging... 8 Artikel 18 Controle Artikel 19 Hoofdlijnen van het beheer Artikel 20 Inwerkingtreding Bijlagen Bijlage 1 Bijlage 2 Lijst voor de selectie en vernietiging van archiefbescheiden van Rijksuniversiteiten Aanwijzingen voor de praktijk

3 3 Preambule Per 1 september 2001 is de Wet Persoonsregistraties vervangen door de Wet Bescherming Persoonsgegevens (Stb. 2000, 302).Op grond van de inmiddels vervallen Wet Persoonsregistraties was Windesheim in het verleden verplicht om een Privacyreglement Persoonsregistratie Studenten te hebben. Volgens de nieuwe Wet Bescherming Persoonsgegevens bestaat er geen verplichting meer om een reglement vast te stellen. Toch heeft Windesheim besloten een nieuw Privacyreglement Bescherming Persoonsgegevens Studenten te vervaardigen, omdat regels voor studenten met een reglement de regels inzichtelijker zijn. Het Privacyreglement Bescherming Persoonsgegevens Studenten is ook gebaseerd op het Bestuursreglement van de Christelijke Hogeschool Windesheim. Volgens artikel 21, sub f van dit reglement is het College van Bestuur (CvB) verplicht regelingen op te stellen ter bescherming van de privacy van studenten van wie gegevens in databestanden en dossiers zijn opgenomen. Het CvB heeft deze bevoegdheid vervolgens in artikel 38, lid 2, sub c en e gemandateerd aan de directeur van de Gemeenschappelijke Studenten Administratie (GSA). De directeur van de GSA is derhalve bevoegd tot het nemen van beslissingen aangaande het Privacyreglement Persoonsgegevens Studenten en de toegang tot persoonsgegevens uit de studentenadministratie met inachtneming van het reglement. In het Privacyreglement Bescherming Persoonsgegevens Studenten wordt o.a. geregeld welke persoonsgegevens van studenten er bij Windesheim worden verwerkt, aan wie deze persoonsgegevens eventueel mogen worden verstrekt en wat de rechten van studenten zijn met betrekking tot de verwerking van hun eigen persoonsgegevens.

4 4 PRIVACYREGLEMENT Verwerking persoonsgegevens studenten Artikel 1 Begripsbepalingen In dit reglement wordt verstaan onder: - persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; - verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens; - bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen; - verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; in het kader van dit reglement: het College van Bestuur van de CHW; - betrokkene: degene op wie een persoonsgegeven betrekking heeft; - derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke gemachtigd is om persoonsgegevens te verwerken; - ontvanger: degene aan wie de persoonsgegevens worden verstrekt; - toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt; - verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens; - verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens; - de hogeschool, CHW: de Christelijke Hogeschool Windesheim; - WBP: de Wet Bescherming Persoonsgegevens; - GSA: de Gemeenschappelijke Studentenadministratie van de CHW; - CvB: het College van Bestuur van de CHW. Artikel 2 Doelstelling van dit reglement Dit reglement heeft tot doel: 1. de persoonlijke levenssfeer van ieder van wie de persoonsgegevens worden verwerkt, te beschermen tegen misbruik van die gegevens en tegen opslag van onjuiste gegevens; 2. te voorkomen dat persoonsgegevens van studenten voor een ander doel worden gebruikt dan waarvoor zij zijn verzameld.

5 5 Artikel 3 Doelstelling verwerking persoonsgegevens studenten De verwerking van persoonsgegevens geschiedt slechts voor: - het berekenen, vastleggen en innen van inschrijvingsgelden, en bijdragen of vergoedingen voor leermiddelen en activiteiten, waaronder begrepen het in handen van derden stellen van vorderingen; - de organisatie of het geven van het onderwijs, de begeleiding van studenten, dan wel het geven van studieadviezen; - het ter beschikking stellen van managementinformatie aan het College van Bestuur ten behoeve van beleid en beheer; - het doen uitoefenen van accountantscontrole; - de uitvoering of toepassing van andere relevante wetgeving; - het behandelen van geschillen. Artikel 4 Grondslag verwerking persoonsgegevens studenten De verwerking van persoonsgegevens van studenten is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst. Artikel 5 Reikwijdte reglement Dit reglement is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens van studenten, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. Artikel 6 Categorieën van personen De persoonsgegevens van de volgende categorieën van bij de hogeschool ingeschreven personen kunnen worden verwerkt: 1. aanmelders; 2. studenten; 3. extraneï; 4. oud-studenten. 5. cursisten; Artikel 7 Soorten van persoonsgegevens De volgende soorten van persoonsgegevens kunnen worden verwerkt: Identificerende gegevens: a. (geslachts)naam, voorletters, voornamen, roepnaam, geslacht, burgerlijke staat, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens; b. bij gehuwde vrouwen: desgewenst (geslachts)naam echtgenoot [zie art. 1 Besluit gevoelige gegevens; aan einde toegevoegd; volgens mij mogen deze gegevens wel opgenomen worden]; c. geboortedatum, geboorteland; d. geboorteplaats, nationaliteit; e. bank- en/of girorekeningnummer; f. correspondentieadres voor onvoorziene omstandigheden;

6 6 g. correspondentienummer ministerie OC&W te verstrekken door de IBG; h. onderwijsnummer, zodra wettelijk verplicht, te verstrekken door de IBG; i. godsdienst of levensovertuiging. Historiegegevens: j. diploma van de laatst gevolgde vooropleiding die toegang geeft tot het hoger onderwijs, als bedoeld in artikel 7.24, lid 2 van de Wet op het hoger onderwijs en wetenschappelijk onderzoek; k. profiel en vakkenpakket van de laatst gevolgde vooropleiding die toegang geeft tot het hoger onderwijs; l. maand en jaar waarin het aan de vooropleiding verbonden diploma is behaald; m. naam school/instelling waaraan de laatst gevolgde vooropleiding is gevolgd; n. aard genoten onderwijs. Inschrijvingsgegevens: o. instelling(en); p. eerste jaar van inschrijving aan de desbetreffende instelling(en); q. jaren van inschrijving als student; r. studentnummer bij de instelling(en); s. inschrijvingsvorm (voltijd/deeltijd/duaal); t. opleiding(en) hbo, afstudeerrichting(en), cursus(en); u. studiefase (propedeutische fase, postpropedeutische fase), vervolgfase voortgezette opleiding OSO. Studievoortgangsgegevens: v. (deel)cijfers; w. propedeutische fase, postpropedeutische fase; x. gegevens tempo-/prestatiebeurs; y. (bindend) studieadvies; z. redenen voor eventuele studievertraging; aa. datum behalen propedeutisch getuigschrift; bb. studieonderbreking. Beëindigingsgegevens: cc. beslissing omtrent beëindiging van de inschrijving (A-, B-, E-, P-, R- of Z-uitschrijving); dd. datum van uitschrijving bij de instelling; ee. datum van het behalen van het getuigschrift van het afsluitend examen; ff. datum beëindiging opleiding zonder afsluitend examen; gg. in voorkomende gevallen: datum van overlijden. College- en examengeldgegevens: hh. gegevens omtrent vordering en betaling verschuldigd college- en examengeld, incidentele bedragen (excursies, introdag, boekengeld etc.). Artikel 8 De wijze waarop persoonsgegevens worden verkregen De gegevens genoemd in artikel 7 worden door betrokkene verstrekt dan wel via de Informatie Beheer Groep aangeleverd en vervolgens door de GSA verzameld en actueel gehouden. Artikel 9 De gevallen waarin opgenomen persoonsgegevens worden verwijderd

7 7 Uiterlijk twee jaar na beëindiging van de studie worden alle persoonsgegevens van de betrokkene verwijderd, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht (zie de als bijlage opgenomen Lijst voor de selectie en vernietiging van Archiefbescheiden van Rijksuniversiteiten, onderdeel Selectielijst Studentenadministratie ). Artikel 10 Rechtstreekse toegang tot de persoonsgegevens van studenten Toegang tot de persoonsgegevens van studenten, zowel voor inzage als voor onderhoud, hebben: 1. de als zodanig aangewezen applicatiebeheerders van de dienst Informatie & Communicatie Technologie van de CHW; 2. de medewerkers van de GSA; 3. de medewerker voor de Hogeschool Keuze Modulen (in dienst van OSIS); 4. de medewerkers van de onderwijsadministraties van de bedrijfsbureaus van de opleidingen; 5. de als zodanig aangewezen medewerkers van de dienst Financieel Economische Zaken. lid 2 Toegang tot de persoonsgegevens van studenten, alleen voor inzage, hebben: degenen, waaronder begrepen derden, die leiding geven aan of belast zijn met de in artikel 3 bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken: - de directeuren van de opleidingen, maar alleen de gegevens van degenen die in hun cluster onderwijs volgen en alleen voor zover de gegevens noodzakelijk zijn voor een goede uitoefening van hun functie; - docenten, maar alleen de gegevens van degenen aan wie zij onderwijs geven en alleen voor zover de gegevens noodzakelijk zijn voor de goede uitoefening van hun functie; - studentendecanen, voorzover noodzakelijk voor de uitoefening van hun functie; - de dienst Onderwijs, Studentzaken en Internationale Samenwerking (OSIS); statistische gegevens voor de rendementen. lid 3 De technisch systeembeheerder zal via een coderings- en wachtwoordbeveiliging in het systeem de verschillende functionarissen toegang geven tot bepaalde gedeelten van de persoonsgegevens of tot alle persoonsgegevens al naar gelang hun werkzaamheden dit vereisen. Artikel 11 Categorieën van personen of instanties ten behoeve waarvan verwerking van persoonsgegevens van studenten kan plaats vinden Verwerking van persoonsgegevens van studenten vindt niet eerder plaats na verkregen toestemming van de directeur van de GSA: 1. op verzoek en ten behoeve van de betrokkene, maar uitsluitend de eigen gegevens; 2. in de gevallen bedoeld in artikel 8, onder a, c en d, of artikel 9, derde lid, van de WBP. Dit houdt in: - dat de betrokkene voor de verwerking ondubbelzinnig toestemming heeft verleend, hetzij - dat de verwerking van persoonsgegevens noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke is onderworpen. Hieronder valt in elk geval het verstrekken van gegevens aan: - Ministerie van OC & W; - Inspectie voor het Hoger Onderwijs; - IBG: - CFI; - HBO-Raad; - overige instellingen voor zover de wet dit vereist hetzij

8 8 - dat de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene, hetzij - dat in geval van verdere verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden de nodige voorzieningen zijn getroffen ten einde te verzekeren de verdere verwerking uitsluitend geschiedt ten behoeve van deze specifieke doeleinden. 3. in de gevallen bedoeld in artikel 8, onder e en f van de WBP, uitsluitend voor zover het betreft naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens en nadat het voornemen daartoe aan de betrokkene of diens wettelijk vertegenwoordiger is medegedeeld en deze gedurende een redelijke termijn in de gelegenheid is geweest het recht van verzet uit te oefenen. Dit dat gegevens kunnen worden verwerkt: - indien de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt dan wel - indien de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert. Artikel 12 Soorten van persoonsgegevens die kunnen worden verwerkt De soorten van persoonsgegevens die ten behoeve van de in artikel 11, lid 2 genoemde instanties kunnen worden verwerkt zijn de gegevens tot de verstrekking waarvan de verantwoordelijke op grond van de wet of een overeenkomst verplicht is. Artikel 13 Inzage Het reglement is voor betrokkenen beschikbaar via het intranet van de hogeschool. Het reglement voorts ter inzage bij de balie van de GSA, kamer G118. Artikel 14 Rechten van betrokkenen Verzoek om inzage De betrokkene heeft het recht zich tot de directeur van de GSA te wenden met het verzoek hem mede te delen of hem betreffende persoonsgegevens worden verwerkt. Indien zodanige gegevens worden verwerkt, bevat de mededeling een volledig overzicht daarvan in begrijpelijke vorm, een omschrijving van het doel of de doeleinden van de verwerking, de categorieën van gegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën van ontvangers, evenals de beschikbare informatie over de herkomst van de gegevens. lid 2 Verzoek om correctie Degene aan wie overeenkomstig inzage is gegeven in de hem betreffende persoonsgegevens, kan de directeur van de GSA verzoeken deze te verbeteren, aan te vullen, te verwijderen, of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek dient de aan te brengen wijzigingen te bevatten. lid 3 Recht van verzet

9 9 De betrokkene kan tegen de verwerking van zijn persoonsgegevens bij de directeur van de GSA verzet aantekenen in verband met zijn bijzondere persoonlijke omstandigheden. Indien het verzet gerechtvaardigd is, wordt de verwerking van de persoonsgegevens terstond beëindigd. lid 4 Een verzoek als bedoeld in, 2 of 3 dient te worden gedaan aan de directeur van de GSA. Betrokkene wordt binnen vier weken schriftelijk medegedeeld of hem betreffende persoonsgegevens worden verwerkt, of en in hoeverre aan het verzoek om correctie wordt voldaan, dan wel of het verzet gerechtvaardigd is. Een weigering om aan een verzoek als bedoeld in lid 2 te voldoen is met redenen omkleed. Artikel 15 Rechtsbescherming Betrokkene kan tegen een beslissing op een verzoek als bedoeld in artikel 14,, 2 of 3, tegen een weigering om een dergelijke beslissing te nemen of tegen het niet tijdig nemen van een dergelijke beslissing in beroep bij de arrondissementsrechtbank te Zwolle. Artikel 16 Verantwoordelijkheid Het College van Bestuur van de Christelijke Hogeschool Windesheim is in het kader van de WBP verantwoordelijke voor de verwerking van persoonsgegevens van studenten en in die hoedanigheid verantwoordelijk voor de naleving van dit privacyreglement. lid 2 Onverminderd het bepaalde in het eerste lid is elke afdelingsdirecteur verantwoordelijk voor de naleving van dit reglement binnen zijn afdeling. lid 3 Een student van de hogeschool is tot het tijdstip waarop zijn geregistreerde persoonsgegevens worden verwijderd, verantwoordelijk voor de tijdige aanlevering van mutaties van zijn persoonsgegevens, waarvan de betreffende beheerder geen kennis kan of hoeft te nemen. Artikel 17 Geheimhouding en beveiliging Functionarissen die uit hoofde van hun functie persoonsgegevens verwerken, zijn gehouden deze persoonsgegevens niet anders te gebruiken dan voor de uitoefening van hun functie nodig is en niet aan onbevoegden mede te delen. lid 2 De applicatiebeheerders van de dienst Informatie & Communicatie Technologie dragen er zorg voor dat onbevoegden niet de gelegenheid krijgen van de geregistreerde persoonsgegevens kennis te nemen. Zij zorgen voor de beveiliging tegen inbraak, diefstal en onbevoegd veranderen. lid 3 De door de applicatiebeheerders van de dienst Informatie & Communicatie Technologie te nemen maatregelen worden in interne richtlijnen, die worden vastgesteld door het College van Bestuur, vastgelegd.

10 10 Artikel 18 Controle De interne accountantsdienst en/of de externe accountant, in het kader van de reguliere controle, voert controle uit op de naleving van de in dit reglement opgenomen bepalingen. lid 2 Deze controle omvat het nagaan of de opzet van de organisatie, met inbegrip van de procedures, in overeenstemming is met het gestelde in dit reglement en het nagaan op willekeurige tijdstippen of door betreffende functionarissen het reglement en de procedures worden nageleefd. lid 3 Indien daartoe aanleiding bestaat, rapporteert de interne accountantsdienst en/of de externe accountant zijn bevindingen aan het College van Bestuur, die het verslag integraal doorstuurt aan de medezeggenschapsraad. Artikel 19 Hoofdlijnen van het beheer Het beheer van de persoonsgegevens van studenten is als volgt: 1 verantwoordelijke : het College van Bestuur van de CHW; 2 beheerder : de directeur van de GSA; 3 onderhoud gegevens : - een beperkt aantal applicatiebeheerders van de dienst Informatie & Communicatie Technologie van de CHW (alle persoonsgegevens van studenten) - de medewerkers van de GSA (identificerende gegevens, historiegegevens, inschrijvingsgegevens, bindend studieadvies, studievertraging, verlengingsgegevens ivm de WSF, beëindiginggegevens); - de medewerker van de Hogeschool Keuze Modulen in dienst van OSIS (cijfers Hogeschool Keuze Modulen) - medewerkers van de onderwijsadministraties van de bedrijfsbureaus van de opleidingen (studievoortganggegevens, bindend studieadvies, datum behalen afsluitend getuigschrift); - de medewerkers van de dienst Financieel Economische Zaken (college- en examengeldgegevens); 4 technisch systeembeheerders : dienst Informatie & Communicatie Technologie. lid 2 De verantwoordelijke (het College van Bestuur) draagt zorg voor de toepassing en uitvoering van dit reglement. Artikel 20 Slotbepaling Dit reglement treedt in werking op..... en kan aangehaald worden als Privacyreglement studenten CHW.

11 11 Toelichting Waarom legt Windesheim persoonsgegevens vast? Windesheim legt de persoonsgegevens van studenten vast in het kader van haar taak, het verzorgen van hoger beroepsonderwijs, zoals is beschreven in de Wet op het hoger onderwijs en wetenschappelijk onderzoek (WHW). Wat zijn persoonsgegevens? Persoonsgegevens zijn alle gegevens die informatie kunnen verschaffen over identificeerbare natuurlijke personen. In het kader van dit privacyreglement wordt met identificeerbare natuurlijke personen bedoeld: studenten aan de Christelijke Hogeschool Windesheim. De persoonsgegevens die Windesheim verwerkt zijn opgesomd in artikel 7 van het Privacyreglement. Waarom heeft Windesheim een Privacyreglement? Het Privacyreglement is gebaseerd op de Wet bescherming persoonsgegevens (WBP). In deze wet staan de regels voor het omgaan met persoonsgegevens. Zo staat er in die wet dat persoonsgegevens alleen voor een bepaald doel vastgelegd mogen worden. De persoonsgegevens moeten verder op een rechtmatige manier verkregen zijn en mogen alleen in handen komen van instanties en personen voor wie ze bestemd zijn. Met de WBP is de wettelijke plicht om een reglement vast te stellen vervallen en vervangen door een aanmeldingplicht voor de verwerking van persoonsgegevens. Een reglement schept wel het beste duidelijkheid voor die Windesheim-medewerkers die met persoonsgegevens werken en voor de studenten van wie de persoonsgegevens worden verwerkt. Naast de WBP is het Privacyreglement gebaseerd op het Bestuursreglement van Windesheim. Het College van Bestuur (CvB) is verplicht regelingen op te stellen ter bescherming van de privacy van studenten van wie gegevens in databestanden en dossiers zijn opgenomen. Het CvB heeft deze bevoegdheid gemandateerd aan de directeur van de Gemeenschappelijke Studenten Administratie (GSA). Waarom is er een nieuw Privacyreglement opgesteld? Het Privacyreglement persoonsregistratie studenten, in werking getreden op 1 januari 1992, voldeed niet aan de eisen van de nieuwe Wet bescherming persoonsgegevens (WBP). Deze nieuwe wet regelt de verwerking van persoonsgegevens op een wat andere manier, zodat het privacyreglement thans is vervangen.. Wat is het doel van het Privacyreglement? Het Privacyreglement verwerking persoonsgegevens studenten heeft tot doel: de persoonlijke levenssfeer van studenten te beschermen tegen misbruik van de persoonsgegevens en tegen opslag van onjuiste gegevens; te voorkomen dat persoonsgegevens van studenten voor een ander doel worden gebruikt dan waarvoor zij zijn verzameld. Wie nemen kennis van de persoonsgegevens bij Windesheim? De categorieën van personen die rechtstreeks toegang hebben tot de persoonsgegevens van studenten worden genoemd in artikel 10 van het Privacyreglement. Een aantal categorieën van personen heeft rechtstreeks toegang tot de persoonsgegevens van studenten en kan deze ook (gedeeltelijk) bewerken: een beperkt aantal applicatiebeheerders van de dienst Informatie & Communicatie Technologie van de CHW; de medewerkers van de GSA; de medewerker voor de Hogeschool Keuze Modulen (in dienst van OSIS); de medewerkers van de onderwijsadministraties van de bedrijfsbureaus van de opleidingen; een aantal medewerkers van de dienst Financieel Economische Zaken.

12 12 Verder heeft een aantal andere categorieën voor inzage toegang tot de persoonsgegevens van studenten, namelijk: - de directeuren van de opleidingen, maar alleen de gegevens van de personen die in hun cluster onderwijs volgen en alleen voor zover de gegevens noodzakelijk zijn voor een goede uitoefening van hun functie; - docenten, maar alleen de gegevens van de personen aan wie zij onderwijs geven en alleen voor zover de gegevens noodzakelijk zijn voor de goede uitoefening van hun functie; - studentendecanen, voorzover noodzakelijk voor de uitoefening van hun functie; - de dienst Onderwijs, Studentzaken en Internationale Samenwerking (OSIS); - iedere Windesheim-medewerker die voor zijn/haar werk t.b.v. Windesheim persoonsgegevens nodig heeft. Aan wie mogen persoonsgegevens van studenten worden verstrekt? Persoonsgegevens van studenten mogen alleen door de directeur van de GSA aan derden worden verstrekt, en alleen in de gevallen die in het reglement zijn vastgelegd. Bij twijfel: voorleggen aan de juridisch medewerker van de GSA. Persoonsgegevens die herleidbaar zijn tot individuele personen kunnen bijvoorbeeld door de directeur van de GSA worden verstrekt aan: het Ministerie van Onderwijs en Wetenschappen, op grond van het informatiestatuut HBO, vastgesteld in de HBO-Kamer van 12 mei 1987; het College van Beroep van de CHW; de inspectie van het hoger onderwijs, voor zover de wet dit vereist; overige instellingen voor zover de wet dit vereist. Persoonsgegevens die niet herleidbaar zijn tot individuele personen kunnen bijvoorbeeld door de directeur van de GSA worden verstrekt aan: het Centraal Bureau voor de Statistiek; de HBO-Raad, op grond van het informatiestatuut HBO, vastgesteld in de HBO-Kamer van 12 mei 1987; instanties die deze gegevens willen gebruiken voor historische, statistische of wetenschappelijke doeleinden, mits vooraf door de CMR instemming is verleend aan het voornemen om gegevens ter beschikking te stellen. Aan wie mogen in elk geval nooit gegevens worden verstrekt: vader of moeder van een student (ouders vragen bijv. om adres of studieresultaten) familielid van een student vriend/vriendin van een student (vriend(in) vraagt bijv. om een telefoonnummer) banken (vragen bijv. om adressen ivm het versturen van een mailing) Hogeschoolkrant en andere kranten (vragen bijv. om adressen ivm het versturen van een mailing) Ziekenfondsen Verzekeringsmaatschappijen Aan deze lijst kunnen nog vele andere personen en/of instanties worden toegevoegd. De hoofdregel is dat persoonsgegevens niet aan derden mogen worden verstrekt, behalve in bepaalde situaties door de directeur van de GSA (zie artikel 11 Privacyreglement persoonsgegevens studenten). In echte noodgevallen kan worden aangeboden dat de hogeschool de student benadert, zodat deze desgewenst zelf met de verzoeker het contact kan leggen. Hoe is de geheimhouding van persoonsgegevens geregeld?

13 Iedere medewerker die bevoegd is met persoonsgegevens van studenten te werken, doet dit via het geautomatiseerde systeem CATS. Iedere keer dat CATS wordt opgestart, verschijnt de volgende waarschuwing: De persoonsgegevens die u via uw CATS-applicatie ter kennis komen, mag u uitsluitend voor de vervulling van uw taak binnen Windesheim gebruiken. U bent niet gerechtigd ze aan personsen of instanties binnen of buiten de organisatie van Windesheim te verstrekken. tenzij aan de betrokken student zelf en in de gevallen waarin het Privacyreglement verwerking persoonsgegevens studenten van Windesheim voorziet. Indien u dit toch doet, kunt u persoonlijk aansprakelijk worden gesteld voor de gevolgen, zoals claims wegens schending van de Wet Bescherming Persoonsgegevens (Stb. 2000, 302). Door op doorgaan te klikken verklaart de Windesheim-medewerker kennis te hebben genomen van bovenstaande waarschuwing en kan hij/zij er, indien nodig, op worden aangesproken. 13