Richtlijn Inrichten toestemmingsproces Avg (Algemene Verordening Gegevensbescherming)

Vergelijkbare documenten
Privacy Statement CWZ

Algemene Verordening Gegevensbescherming (AVG)

Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

Algemene Verordening Gegevensbescherming

Procedure voor het verkrijgen van toestemming

Algemene verordening gegevensbescherming

Subprivacyverklaring studenten

PRIVACY REGLEMENT PCBO LEIDERDORP

Hoe word ik Privacy-proof? 21 november 2017

Hoe word ik Privacy-proof? 16 JANUARI 2017

Stap 1: Inventarisatie persoonsgegevens

Subprivacyverklaring lerende / deelnemer oktober 2018

MODULE 2 TOESTEMMING. Pix & Evi Privacy Solutions tel: +31 (0)

Privacyverklaring. Oude Fabriekstraat NR Amersfoort

Privacyprotocol verwerking personeelsgegevens BijeenHoogeveen Voor medewerkers Onderdeel van het privacyreglement Bijeen Hoogeveen 2017.

Deze instructie voor werkgevers is bedoeld om het wettelijk kader te schetsen als er gewerkt gaat worden met digitale ritregistratiesystemen.

Actualiteiten loonheffingen

Privacyverklaring voor werknemers en sollicitanten van Tandartspraktijk Stammen. 2. Categorieën persoonsgegevens en doeleinden van de verwerking

Privacy Reglement. 2 Definities. 3 Reikwijdte en doelstelling

Voorwaarden voor Gegevensverwerking Versie 1.0

Privacy Statement Sa4-zorg

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

PRIVACYVERKLARING BVBA ADVOCAAT A. BELLENS PAARDSKUIL 4 BUS B 3600 GENK. BE (btw en ondernemingsnummer)

Welke informatie Het Fonds verzamelt in het kader van haar werkzaamheden; Voor welke doeleinden Het Fonds deze gegevens gebruikt;

Privacyreglement SOML

Gebruikt u mijn gegevens ook als u die van iemand anders hebt gekregen?

Goedgekeurd op 23 april Beleid inzake gegevensbescherming en privacy

Van Boendalestraat 7, 2000 Antwerpen Tel:

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

1. Aanhef Dit reglement is voor STICHTING VLIETKINDEREN gevestigd aan de Bucaillestraat 6, 2273 CA te Voorburg

1. Aanhef Dit reglement is voor KBS De Plataan, gevestigd te Meppel, Vledderstraat 3 E, 7941LC. 2. Definities

Wij verwerken persoonsgegevens als verwerkingsverantwoordelijke.

FACTSHEET VERWERKINGSREGISTER

AVG. Privacy, is het recht om met rust gelaten te worden. Mei 2018

Privacyreglement verwerking persoonsgegevens Stichting Hondsrug College. Versie

Privacyreglement Hofdijckschool

PRIVACYVERKLARING BVBA ADVOCATENKANTOOR BERT PARTOENS (COMMERCIËLE BENAMING PARTOENS VAN HAUTE ADVOCATEN)

EXQUISE NEXT GENERATION

PRIVACYREGLEMENT PERSOONSGEGEVENS

Privacy statement. Wie zijn we? Wat mag je van ons verwachten? Wanneer verwerken we jouw persoonsgegevens? Wat doen we met jouw gegevens?

Privacyverklaring voor werknemers en sollicitanten van de gemeente Steenwijkerland

Ontbijtsessie Opt-In/-Out

Privacy reglement - leerlingen en jongeren. Eduvier onderwijsgroep

Formulier melding datalek

Privacyverklaring voor de gemeentelijke website

privacyreglement Dit reglement is voor Adhesive Bonding Center B.V. 1. Aanhef Vaartweg PD Lelystad ( verder te noemen school) 2.

PRIVACYVERKLARING. 1. Onderneming:

Privacy Statement kinderopvang

Privacywetgeving. 8 februari 2018 / Emiel de Joode BTN ledenbijeenkomst / Marta Stephanian

Privacy statement Immediator

Modelprivacyreglement Stichting vmbo Dienstverlening en Producten

HANDREIKING: PRIVACYVERKLARING VOOR DE GEMEENTELIJKE WEBSITE

Privacyreglement Edese Schoolvereniging

Bron Kennisnet. Bewerkt door: Stichting Katholiek en Openbaar Onderwijs Noord-Hofland. Besproken binnen De Vink:

Privacyverklaring voor werknemers en sollicitanten van Nederlands Philharmonisch Orkest Nederlands Kamerorkest (2019, versie I)

In dit reglement geeft ADMINISTRATIEF & LOGISTIEK SERVICEBUREAU ADR aan op welke wijze het omgaat met privacy en persoonsgegevens.

Inleiding. Uitleg tienstappenplan AVG

Bijlage. Bijlage 1 bij het privacyreglement van De Nieuwe Veste. Wet bescherming persoonsgegevens

Privacyreglement Trevianum Scholengroep

Privacyverklaring. Adres in Weert Marconilaan 8 (6003 DD) te Weert Adres in Amsterdam Daalwijkdreef 47 (1103 AD) te Amsterdam

Algemene verordening gegevensbescherming (AVG)

PRIVACY STATEMENT. Toepasselijkheid

Privacyreglement voor Stichting CPOW en Stichting Montessori Onderwijs Purmerend

PRIVACYVERKLARING JUST WELLNESS

ANTWOORDBLAD: TRAINING PERSOONSGEGEVENS

Privacyverklaring voor werknemers en sollicitanten van Viattence

Privacy Statement Stichting Salem

Tilburg, 3 juni 2018 Pagina 1 van 6. Privacyverklaring voor werknemers en sollicitanten

Privacyverklaring R.H.V. Leonidas

Rapportage Verkennend onderzoek Gegevensbeschermingsbeleid

PRIVACYBELEID BESCHERMING VAN PERSOONSGEGEVENS

Pensioenadvocaten.nl verwerkt de hierna genoemde persoonsgegevens uitsluitend voor de hierna te noemen doeleinden:

Privacyverklaring voor werknemers en sollicitanten van Zorggroep Ter Weel

Privacyverklaring. 1. Inleiding

Privacybeleid. Inleiding

Privacyreglement verwerking gegevens personeel

Privacyreglement Stichting Het Baarnsch Lyceum

Privacyverklaring voor medewerkers en sollicitanten van Amaris Zorggroep

Wij waarderen uw bezoek aan onze site en verwelkomen uw interesse in ons bedrijf, producten en diensten. Hostma erkent het belang van uw privacy.

PRIVACYVERKLARING VOOR WERKNEMERS EN SOLLICITANTEN

Datum: 20 april Auteur: Jan Vermeulen/Karin Melger. Status: Definitief t.b.v. bestuur. Directie / Bestuur / GMR / Raad van Toezicht.

VERSIE /02/2019 PRIVACY POLICY EN COOKIEBELEID ADVOCATENKANTOOR AN HUYSMANS BVBA

Deze privacyverklaring heeft betrekking op de verwerking van persoonsgegevens van:

Informatie over privacywetgeving en het omgaan met persoonsgegevens

PRIVACYSTATEMENT FRIS ADVOCATUUR EN MEDIATION d.d. 31 oktober 2018

Privacystatement. Statement met betrekking tot het verwerken van Persoonsgegevens

Rechten van Betrokkenen

Privacy policy. AGH (Administratie Groep Holland) Postbus CA Rijswijk ZH BIC ABNANL2A 1

BIJLAGEN BIJ PRIVACY REGLEMENT PERSOONSGEGEVENS Personeel DNZT en DNZT Flex

voor werknemers en sollicitanten van Allévo

Als u vragen heeft, of als u gebruik wilt maken van een van uw individuele rechten, kunt u contact opnemen met onze contactpersoon:

Bij het voortzetten van het bezoek van deze website accepteer je de gebruikersvoorwaarden in deze privacyverklaring:

Privacyverklaring voor werknemers en sollicitanten

Privacyreglement. 2. Definities Persoonsgegevens

AVG Refleks Korfbalvereniging Refleks Sportpark Prinses Irene Schaapweg 2d, 2285 SP Rijswijk

PRIVACYVERKLARING 1. WERKINGSSFEER

Privacyverklaring Tabor

Privacyverklaring. Toepasselijkheid

Transcriptie:

Richtlijn Inrichten toestemmingsproces Avg (Algemene Verordening Gegevensbescherming) Voor: Directies, privacy officers en privacy-contactpersonen van Avans Van: DMCS Opgesteld door: Mark van den Hove, Thom van den Brule, Irene Willems, Marlies Mieremet Versiedatum: 19-6-2018

Inhoud 1. Inleiding... 3 Normale persoonsgegevens... 3 Bijzondere persoonsgegevens... 3 Toestemming... 3 2. Voorwaarden toestemmingsproces bij normale persoonsgegevens... 5 2.2 Toestemming is vrijelijk... 6 2.3 Toestemming is specifiek... 6 2.4 Betrokkene is geïnformeerd... 6 2.5 Toestemming is ondubbelzinnig... 6 2.6 Verwerken pas ná toestemming... 6 2.7 Intrekken toestemming eenvoudig... 7 3. Extra voorwaarden toestemmingsproces bij bijzondere persoonsgegevens... 7 3.1 Toestemming is uitdrukkelijk... 7 3.2 Toestemming is schriftelijk... 7 4. Verdere uitwerking voorwaarde vrijelijkheid... 8 Relatie werkgever-werknemer... 8 Relatie Onderwijsinstelling-student... 8 5. Praktische wegwijzer voor het inrichten van toestemming... 9 Bijlage 1: Voorbeeld-verklaring... 10 Bijlage 2: Overzicht met doelen binnen Avans... 11 Bijlage 3: Voorbeeld toestemming geven en intrekken op 1 plaats... 12 Bijlage 4: Voorbeeld cookie verklaring... 12 2

1. Inleiding Avans voert tal van processen uit waarbij persoonsgegevens worden verwerkt, met name van studenten en van medewerkers. In het kader van de privacywetgeving Avg (Algemene Verordening Gegevensbescherming) worden er (grofweg) twee categorieën persoonsgegevens onderscheiden: 1. de normale persoonsgegevens; 2. de bijzondere persoonsgegevens. Normale persoonsgegevens Voor elke verwerking van persoonsgegevens die een organisatie (dus ook Avans) uitvoert, is een (juridische) grondslag vereist om de persoonsgegevens rechtmatig te mogen verwerken. De mogelijke zes grondslagen die bij Avans voor normale persoonsgegevens kunnen gelden, zijn: a) overeenkomst; b) wettelijke verplichting; c) vitale belangen; d) algemeen belang uitvoering openbaar gezag; e) belangenafweging; f) toestemming. De voorkeur gaat ernaar uit dat er een van de wettelijke grondslagen a t/m e ligt aan het doel van een verwerking. Deze grondslag moet geregistreerd worden in het Verwerkingsregister. Dit zal echter niet altijd het geval zijn binnen Avans. In die gevallen zal er gekeken moeten worden of de verwerking wel van belang is voor de bedrijfsvoering. Niet noodzakelijk voor bedrijfsvoering, dan mag de verwerking niet (meer) plaats vinden. Wel noodzakelijk voor bedrijfsvoering, dan moet er aan grondslag f voldaan worden en dus om toestemming gevraagd worden aan de betrokkene. Bijzondere persoonsgegevens De bijzondere persoonsgegevens betreffen persoonsgegevens waaruit de volgende zaken zijn af te leiden: 1. ras of etnische afkomst, 2. politieke opvattingen, 3. religieuze of levensbeschouwelijke overtuigingen, 4. het lidmaatschap van een vakbond 5. genetische gegevens, 6. biometrische gegevens, 7. gegevens over gezondheid, 8. gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid De mogelijke zes grondslagen die bij Avans voor bijzondere persoonsgegevens kunnen gelden, zijn: a) noodzaak in het kader van arbeidsrecht / sociale zekerheidsrecht; b) vitale belangen; c) gegevens zijn kennelijk openbaar gemaakt; d) noodzakelijk voor de instelling van een rechtsvordering; e) zwaarwegend algemeen belang; f) uitdrukkelijke toestemming. Ook hier geldt dat grondslagen a t/m e de voorkeur hebben boven de uitdrukkelijke toestemming. Toestemming Avans heeft een verwerkingsregister, waarin gegevensverwerkingen van persoonsgegevens zijn opgenomen. Een aantal gegevensverwerkingen die Avans uitvoert, hebben toestemming of uitdrukkelijke toestemming als grondslag en voor die verwerkingen is dus toestemming van de betrokkene nodig om de verwerking te mogen uitvoeren. Wie binnen Avans is er verantwoordelijk voor dat het toestemmingsproces ingericht wordt? De diensten en/of academies die verantwoordelijk zijn voor de betreffende processen, die zijn ook verantwoordelijk voor het inrichten van het toestemmingsproces. 3

Over de richtlijn Om directies, privacy-contactpersonen en privacy officers handvatten te bieden bij het inrichten van toestemming, is deze richtlijn ontwikkeld. Allereerst zal worden ingegaan op de voorwaarden die aan het toestemmingsproces worden verbonden op grond van de privacywetgeving. Daarna wordt ingegaan op de extra eis aan toestemming voor de verwerking van bijzondere persoonsgegevens. Als laatste volgen de extra eisen die gelden ten aanzien van de vrijelijkheid van de toestemming in de relatie werkgever-werknemer (en ook onderwijsinstelling-student). 4

2. Voorwaarden toestemmingsproces bij normale persoonsgegevens Om de toestemming te laten voldoen aan de vereisten die de wetgever aan toestemming stelt, moet aan een aantal voorwaarden zijn voldaan. De toelichting van de wetgever bij deze bepaling luidt als volgt: 1 Toestemming dient te worden gegeven door middel van: een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring; waaruit blijkt dat de betrokkene vrijelijk; specifiek; geïnformeerd; ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite, het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag niet als toestemming gelden. Om dit te waarborgen heeft Avans de volgende eisen: Pas verwerken ná toestemming Eenvoudig intrekken Hieronder volgt de uitwerking zoals Avans de voorwaarden ziet. 2.1 Toestemming is actieve handeling De toestemming van de medewerker of student moet een actieve handeling zijn. Stilzwijgen kan niet als grondslag voor de verwerking dienen. Voorbeeld 1: Het aanvinken van een digitaal vakje is een actieve handeling door de werknemer of de student en is dus een goede keus bij het inrichten van een toestemmingsproces. Voorbeeld 2: Een (digitale) ondertekening van een verklaring. In de bijlage bij deze richtlijn is een voorbeeld-verklaring opgenomen waar alle vereisten aan toestemming in verwerkt zijn. Voorbeeld 3: Impliciete toestemming gevolgd door een actieve handeling kan in specifieke gevallen ook: Bij de ingang van een gebouw hangt een bordje dat sprake van camerabewaking. Door camerabewaking en de opslag van beelden worden persoonsgegevens verwerkt. De betrokkene betreedt, nadat hij dit bordje heeft kunnen zien, het pand. Hij verricht hiermee een actieve handeling. Van expliciete toestemming is geen sprake, maar impliciete toestemming blijkt uit zijn gedragingen. Voorbeeld 4: Hoewel een mondelinge toestemming, op grond van de wetgeving, voldoende kán zijn, heeft het de voorkeur om schriftelijke toestemming vast te leggen indien dit mogelijk is. Al is het maar omdat de bewijslast van de verleende toestemming bij ons als werkgever/onderwijsinstelling ligt. 1 Verordening EU 2016/676 (algemene verordening gegevensbescherming), considerans nr. 32. 5

2.2 Toestemming is vrijelijk De werknemer of de student moet in vrijheid zijn wil met betrekking tot de betreffende gegevensverwerking kunnen uiten en deze wil ook daadwerkelijk geuit hebben. Er kan bijvoorbeeld niet van een rechtsgeldige toestemming worden gesproken als de betrokkene onder druk van omstandigheden waarin hij verkeert of de relatie waarin hij staat tot de verantwoordelijke, tot toestemming is overgegaan. 2 De relatie van onderwijsinstelling-student en werkgever-werknemer brengt met zich mee dat er nadere eisen gelden. Die worden nader toegelicht in hoofdstuk 4. 2.3 Toestemming is specifiek De gedachte achter het feit dat toestemming specifiek moet zijn, is dat je moet weten waarvoor je toestemming verleent. Een algemene verklaring als: ik geef toestemming voor de verwerking van mijn persoonsgegevens voor ieder doel en met ieder middel op ieder moment volstaat overduidelijk niet. Tevens moeten de externe verwerkers/derden genoemd worden, als gegevens ook aan derden verstrekt gaan worden. 2.4 Betrokkene is geïnformeerd Een medewerker of student moet pas om toestemming worden gevraagd als hij weet waarvoor hij toestemming geeft. Avans speelt hierbij een grote rol, want Avans heeft een actieve informatieplicht. Dit betekent niet dat de werknemer/student geen enkele verantwoordelijkheid heeft om een geïnformeerde afweging te maken. Zo hoeft Avans de werknemer/student niet te informeren over onderdelen die algemeen bekend zijn, of reeds bij de betrokken werknemer/student bekend waren. 3 De werknemer/student moet wél geïnformeerd worden over: de scope welke gegevens worden verwerkt; de aard van de verwerking wat gaat Avans met de persoonsgegevens doen; de grondslag waarom gaat Avans iets met die gegevens doen; de categorieën van personen die de gegevens kunnen inzien. En dit alles moet gebeuren vóórdat toestemming gegeven kan worden. 2.5 Toestemming is ondubbelzinnig Er mag bij Avans geen twijfel bestaan over de vraag of een werknemer of student nu wel helemaal zijn toestemming heeft gegeven en dat ook zo bedoeld heeft. Het enkele feit dat een werknemer geen opmerkingen maakt over de verwerking van zijn persoonsgegevens, maakt niet dat sprake is van ondubbelzinnige toestemming. Bij ondubbelzinnige toestemming dient elke twijfel te zijn uitgesloten over de vraag of de betrokkene zijn toestemming heeft gegeven en voor welke specifieke verwerkingen deze toestemming geldt. Uit het gedrag van de betrokkene moet derhalve ondubbelzinnig blijken dat hij instemt met de desbetreffende gegevensverwerking. 4 Opmerkingen als: ik vind alles goed of je doet maar volstaan dus niet als ondubbelzinnige toestemming. Ook om deze reden is het aan te raden toestemming schriftelijk (al dan niet elektronisch) vast te leggen. 2.6 Verwerken pas ná toestemming Wellicht een open deur is dat de toestemming verleend moet worden voordat de verwerking een feit is. Avans is echter van mening dat het zinvol is ook al is het een open deur om dit expliciet als voorwaarde toe te voegen aan het rijtje voorwaarden. 2 Kamerstukken II, 1997-98, 25 892, nr. 3, p. 65-66. 3 Kamerstukken II, 1997-98, 25 892, nr. 3, p. 66. 4 Kamerstukken II, 1997-98, 25 892, nr. 13, blz. 4. 6

Voorbeeld: Er wordt op blackboard een faalangsttraining aangeboden. Studenten kunnen zich aanmelden voor deze training door een e-mail te sturen aan Avans Flow. De student mailt Avans Flow en een medewerkers van Avans Flow zet de student op een Excel lijst. In dit voorbeeld is sprake van verwerking van bijzondere persoonsgegevens, omdat het de biomedische gegevens van de student betreffen. De student moet hiervoor uitdrukkelijke toestemming verlenen voordat de verwerking van start gaat en dat is in dit voorbeeld niet gebeurd. Aangezien een andere verwerkingsgrondslag ontbreekt, is sprake van een onrechtmatige verwerking. Op het moment dat de student mailt, moet de toestemming dus al geregeld zijn. Dit kan op zich via de e-mail, maar zal praktisch lastig zijn, want de student moet dan in zijn aanmelding al aangeven dat hij toestemming geeft voor de verwerking. In de praktijk gaat dat niet gebeuren. Logischer is om het proces aan te passen, zodat de aanmelding met behulp van een aanmeldformulier wordt gedaan. In het aanmeldformulier wordt dan de benodigde uitdrukkelijke toestemming opgenomen. 2.7 Intrekken toestemming eenvoudig In de AVG is het recht opgenomen dat het intrekken van toestemming even eenvoudig is als het geven ervan. Het is dus benoemd als recht en niet als voorwaarde. Avans is echter van mening dat dit wel als een interne voorwaarde gehanteerd zou moeten worden. Om die reden is deze voorwaarde toegevoegd als Avans-specifieke voorwaarde. De inhoudelijke vertaalslag houdt in dat de voorkeur uit gaat naar de optie dat op dezelfde plek toestemming ingetrokken moet kunnen worden, als waar de toestemming gegeven kan worden. Is dit echt niet mogelijk dan is er de optie om dat op de plek waar toestemming gegeven wordt, duidelijk wordt gemaakt waar de toestemming ingetrokken kan worden. 3. Extra voorwaarden toestemmingsproces bij bijzondere persoonsgegevens Voor bijzondere persoonsgegevens gelden de voorwaarden zoals uiteengezet in het vorige hoofdstuk. Maar daarnaast gelden nog twee extra voorwaarden. 3.1 Toestemming is uitdrukkelijk Voor de verwerking van bijzondere persoonsgegevens is, naast de eerder genoemde voorwaarden, vereist dat het gaat om een uitdrukkelijke toestemming. Waar bij de normale persoonsgegevens impliciete toestemming in kan volstaan, is dit bij bijzondere persoonsgegevens onvoldoende! In het kader van bewijslevering waaraan Avans moet voldoen is het van belang dat de uitdrukkelijke toestemming helder en goed schriftelijk wordt vastgelegd! 3.2 Toestemming is schriftelijk Op grond van de wetgeving is het niet vereist, maar in het kader van de interne bedrijfsvoering en de met de verwerking gepaard gaande bewijsrisico s is een aanvullende interne voorwaarde geformuleerd, te weten dat de toestemming schriftelijk plaatsvindt, in verband met de bewijslast. Schriftelijk betekent op papier dan wel digitaal. Waarbij digitaal uit praktisch oogpunt de voorkeur heeft. Qua bewaartermijn van de toestemming kan je kijken in de selectielijst op iavans.nl. Hier staan een heleboel processen met documenten en bewaartermijnen. 7

4. Verdere uitwerking voorwaarde vrijelijkheid In het kader van de privacywetgeving heeft men zich zeer kritisch uitgelaten over de mogelijkheid dat toestemming als grondslag voor de verwerking werd gebezigd binnen de relatie werkgeverwerknemer. Binnen Avans is er ook sprake van relatie onderwijsinstelling-student. Avans steekt hierdoor in op dat voor het gros van de verwerkingen van Avans een verwerkingsgrondslag aan de orde zou moeten zijn, niet zijnde (uitdrukkelijke) toestemming. En als toestemming tóch als grondslag gebruikt wordt, dan moet aan de volgende voorwaarden worden voldaan: - zonder nadeel in te trekken; - volledig vrije keuze. Relatie werkgever-werknemer Bij Avans is sprake van een relatie werkgever-werknemer. Voorbeeld: Medewerker A werkt bij Avans en krijgt de opdracht van zijn directeur om een foto te laten maken. Deze gaat gebruikt worden voor de Medewerkersgids. De medewerker doet dit, ondanks dat hij dit niet wilt. Relatie Onderwijsinstelling-student Bij Avans is er ook sprake van een relatie onderwijsinstelling-student. Voorbeeld: Student Y meldt zich aan bij een willekeurige onderwijsinstelling. In het kader van de aanmelding en toelating moet de student een pasfoto overleggen. Deze pasfoto is op basis van de wet niet verplicht, maar wel op basis van de inschrijfvoorwaarden. De student levert de pasfoto uiteindelijk met een beetje morren in, want hij wil wel beginnen met zijn studie. Het inleveren zou men wellicht nog een impliciete toestemming kunnen noemen, maar dat is onvoldoende voor de bijzondere persoonsgegevens, waar een pasfoto onder valt. Zelfs als sprake zou zijn van uitdrukkelijke toestemming is de vraag of dit wel vrijelijk gebeurt. 8

5. Praktische wegwijzer voor het inrichten van toestemming Een vinkje opnemen in bijvoorbeeld: o een applicatie o digitale aanmeldformulieren o op een papieren formulier Een papieren of digitale verklaring laten ondertekenen. Zie bijlage 1. Vakje al aangevinkt laten zijn, zodat de betrokkene het niet meer aan hoeft te vinken Mondelinge toestemming, als het net zo makkelijk schriftelijke toestemming kan zijn. Ongeacht de gekozen oplossing: o als het kan, dan het geven van toestemming én het intrekken ervan op dezelfde plek inrichten. Zie bijlage 3. o als dat niet kan, dan intrekken van toestemming op een andere plek inrichten, mits die plek voldoende kenbaar is gemaakt aan de betrokkenen Verwijzen naar een uitgebreid reglement of naar statuten middels één klik naar een bepaalde specifieke passage in een reglement kan worden gesprongen, mag wel. Verwijzen naar een uitgebreid reglement of naar statuten, zodat student of medewerker zelf een zoektocht mag starten om uit te zoeken waar hij toestemming voor geeft. Bij het maken van camerabeelden: bordje bij de ingang van de Avans-gebouwen plaatsen Aanmelden per mail (bij niet bijzondere persoonsgegevens) indien de student/medewerker vooraf geïnformeerd is over de betreffende verwerking van zijn persoonsgegevens. Opname maken in een gebouw zonder aankondiging (bord bij ingang, of toestemming) Aanmelden per mail nooit doen bij bijzondere persoonsgegevens!!! Cookieverklaring met veld om te accepteren. Zie bijlage 4.

Bijlage 1: Voorbeeld-verklaring Hieronder is een voorbeeld-verklaring opgenomen, die gebruikt kan worden voor de bij Avans in te richten toestemmingen. Ik geef bij deze mijn ondubbelzinnige toestemming, zodat Avans Hogeschool mijn persoonsgegevens mag verwerken in het kader van X, met als doel Y. Daarbij geef ik toestemming dat Avans Hogeschool bedrijf Z inschakelt om de verwerking van mijn persoonsgegevens uit te voeren. Ik verklaar dat ik deze toestemming vrijelijk heb gegeven en op ieder moment zonder enige nadeel weer in kan trekken. Aangezien dit een standaard tekst is, zou iedereen op zijn eigen manier kunnen besluiten wat in te vullen. Om Avansbreed dezelfde invulmanier te waarborgen staan hieronder aanvullingen. Informatie bij kader van X : Let hier op de breedte van het kader. Te breed, dan kan dit verwarring geven bij betrokkene en kan het zijn dat het niet voldoet aan wet- en regelgeving. Te eng, dan kan je bepaalde taken wellicht niet meer scharen onder deze toestemmingsverklaring. Informatie bij doel Y : Er zijn in het beleid een 20-tal doelen opgenomen die Avans kan hebben om een verwerking te doen. Zie bijlage 2 voor het overzicht. Het kan zijn dat jouw doel er niet bij staat. Dan kan je zelf een duidelijk, helder geformuleerd doel opstellen. Informatie bij bedrijf Z : Als er daadwerkelijk sprake is van een derde partij die voor Avans verwerkingen uitvoert, moet er eerst gecontroleerd worden of er een verwerkersovereenkomst is. Zo niet, dan moet er contact opgenomen worden met DIF-Inkoop. Zo wel, dan moet dit middels de toestemming gemeld worden aan de betrokkene middels deze zin. Voorbeeld Formdesk formulier Avans 10

Bijlage 2: Overzicht met doelen binnen Avans Medewerkers: de behandeling van personeelszaken; het leidinggegeven aan de werkzaamheden van de Betrokkene; het vaststellen en doen uitbetalen van salarisaanspraken; het regelen van aanspraken op uitkeringen in verband met de beëindiging van een dienstverband; de opleiding van de Betrokkene; de bedrijfsmedische zorg voor de Betrokkene; de verkiezing van de leden van een bij wet geregeld medezeggenschapsorgaan; de interne controle en de bedrijfsbeveiliging; de uitvoering van een voor de Betrokkene geldende arbeidsvoorwaarde; het verlenen van ontslag; de administratie van de personeelsvereniging en van de vereniging van oudpersoneelsleden; het innen van vorderingen, met inbegrip van het in handen van derden stellen van de vorderingen; het behandelen van geschillen; het doen uitoefenen van accountantscontrole; de overgang van de Betrokkene naar of de tijdelijke tewerkstelling van de Betrokkene bij een ander onderdeel van de groep waaraan de Raad van Bestuur is verbonden; de uitvoering of toepassing van een andere wet het creëren van een veilige omgeving voor medewerkers en studenten Studenten: de organisatie of het geven van onderwijs, onderwijsbegeleiding dan wel het geven van studieadviezen, het verstrekken of ter beschikking stellen van leermiddelen, het berekenen, vastleggen en innen van collegegelden, waaronder begrepen het in handen van derden stellen van vorderingen, het behandelen van geschillen en het doen uitoefenen van accountantscontrole, (onderzoek gericht op) de kwaliteitsverbetering in het onderwijs, de uitvoering of toepassing van een wettelijke verplichting. 11

Bijlage 3: Voorbeeld toestemming geven en intrekken op 1 plaats Bijlage 4: Voorbeeld cookie verklaring Extern voorbeeld skyradio.nl maakt gebruik van cookies. Op deze en andere websites van Talpa Holding N.V. (hierna: Talpa of wij ) maken wij gebruik van cookies en andere soortgelijke technieken. Wij plaatsen en gebruiken verschillende soorten cookies voor de volgende doeleinden: Functionele cookies: Om onze websites goed te laten werken. Analytische cookies: Voor het verzamelen en analyseren van statistieken om de ervaring op onze websites en de effectiviteit van advertenties te verbeteren. Tracking cookies: Om persoonlijke profielen van je op te bouwen zodat we je gerichte content en advertenties kunnen tonen die aansluiten bij je interesses. Social cookies: Om je in staat te stellen je reactie te delen door middel van likes of commentaar. Daarnaast kunnen derde partijen (die zich deels buiten de EU bevinden) cookies op onze websites plaatsen, waaronder tracking cookies die ook gebruikt kunnen worden om een profiel van je op te bouwen. Tracking cookies hebben mogelijk impact op je privacy. Wil je meer informatie over wat cookies zijn, welke specifieke soorten cookies we waarom gebruiken en hoe je hierop controle kunt uitoefenen? Dan verwijzen we je naar ons Privacy - en Cookie Policy. Door hieronder je toestemming te geven, stem je er mee in dat we cookies plaatsen en uitlezen op al onze websites (zie dit overzicht) en deze verzamelde gegevens combineren. Je toestemming blijft 6 maanden geldig tenzij je deze intrekt. 12

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback