Regeling bescherming persoonsgegevens Artikel 1 Begripsbepalingen In deze regeling wordt verstaan onder: a. beheerder: de functionaris die door de verantwoordelijke aangewezen is om in het kader van deze regeling namens de verantwoordelijke bepaalde taken en bevoegdheden uit te oefenen; b. bestand: elk gestructureerd geheel van persoonsgegevens, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen; c. betrokkene: degene op wie een persoonsgegeven betrekking heeft; d. bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn of haar rechtstreeks gezag te zijn onderworpen; e. derden: de verzameling natuurlijke personen, niet zijnde student of personeel; f. intern beheer: de beheerder en overig personeel van de hogeschool die zich bezighouden met een bepaalde verwerking van persoonsgegevens; g. functionaris gegevensbescherming: de door de verantwoordelijke benoemde functionaris binnen de hogeschool, welke toezicht houdt op de bescherming van persoonsgegevens binnen de hogeschool; h. hogeschool: de Hogeschool van Amsterdam, gevestigd te Amsterdam en Almere die in stand gehouden wordt door de Stichting Hogeschool van Amsterdam; i. ondubbelzinnige toestemming van de betrokkene: een vrije, specifieke en op informatie berustende wilsuiting van de geregistreerde, waaruit de verantwoordelijke af kan leiden, dat de geregistreerde aanvaardt dat hem betreffende gegevens worden verwerkt; j. personeel: de verzameling natuurlijke personen die aangesteld is, of is geweest, bij de hogeschool, evenals diegene die zonder dat er sprake is van een arbeidsovereenkomst werkzaamheden verricht, of verrichtte, in hogeschool verband; k. persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; l. student: natuurlijk persoon, ingeschreven bij de hogeschool, teneinde op de hogeschool onderwijs te volgen en/of examens te doen, alsmede diegene die aan de hogeschool heeft gestudeerd; m. verantwoordelijke: het college van bestuur van de hogeschool dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; n. verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens; o. verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzenden, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens; Artikel 2 Doelstelling van het reglement Dit reglement heeft tot doel:
a. de persoonlijke levenssfeer van een ieder wiens persoonsgegevens door de hogeschool verwerkt worden, te beschermen tegen misbruik van die gegevens en tegen opslag van onjuiste gegevens. b. te voorkomen dat persoonsgegevens voor een ander doel worden gebruikt dan waarvoor die persoonsregistratie is bestemd. c. de rechten van betrokkenen te waarborgen. Artikel 3 Reikwijdte van het reglement Dit reglement is van toepassing op alle persoonsgegevens van betrokkenen, zijnde studenten, personeel en derden, die door de verantwoordelijke of in diens opdracht worden verwerkt. Artikel 4 Verantwoordelijke voor de verwerkingen Het college van bestuur van de hogeschool is de verantwoordelijke voor de verwerking van persoonsgegevens. Artikel 5 Feitelijk verantwoordelijken en beheerders 1. De directeur van de stafafdeling Planning en Financiën neemt, namens de verantwoordelijke, de verantwoordelijkheid waar voor wat betreft de categorieën van gegevens betreffende studenten die berusten bij de centrale studentenadministratie voor wat betreft de inschrijving en de studievoortgang. 2. De directeur van de stafafdeling Personeel en Organisatie neemt, namens de verantwoordelijke, de verantwoordelijkheid waar voor wat betreft de categorieën van persoonsgegevens betreffende personeel die berusten op centraal niveau. 3. De directeur van de afdeling Informatietechnologie en Voorzieningen neemt, namens de verantwoordelijke, de verantwoordelijkheid waar voor wat betreft de categorieën gegevens betreffende het beheer en de beveiliging van de gebouwen en voorzieningen van de hogeschool. 4. De instituutsdirecties, hoofden en directeuren van de centrale stafafdelingen nemen, namens de verantwoordelijke, de verantwoordelijkheid waar voor wat betreft de categorieën van gegevens die daar berusten. 5. Voor elk specifiek bestand met persoonsgegevens is door of namens de verantwoordelijke een beheerder aangewezen, die samen met het intern beheer de zorg draagt voor dit specifieke gegevensbestand en de taken en bevoegdheden, zoals genoemd in artikel 10 lid 1 en 4, kan uitoefenen. 6. Een ieder die handelt onder het gezag van de verantwoordelijke of van de beheerder, evenals de beheerder zelf, voor zover deze toegang heeft tot persoonsgegevens, verwerkt deze slechts in opdracht van de verantwoordelijke, behoudens afwijkende wettelijke verplichtingen. 7. Een ieder is verplicht tot geheimhouding van de persoonsgegevens van de hogeschool waarvan hij of zij kennis neemt, behoudens voor zover enig wettelijk voorschrift hem of haar tot mededeling verplicht of uit zijn of haar taak de noodzaak tot mededeling voortvloeit. Artikel 6 Gegevens van studenten De gegevens betreffende studenten worden verzameld ten behoeve van: a. de organisatie en de invulling van het onderwijs;
b. de diplomering en de administratie van de studievoorgang; c. de begeleiding van studenten; d. het geven van studieadviezen; e. het vertrekken of ter beschikking stellen van leermiddelen; f. het berekenen, vastleggen of innen van college- en examengelden en andere bijdragen voor leermiddelen en activiteiten, waaronder begrepen het in handen van derden stellen van deze vorderingen; g. het verzenden van voor studenten relevante informatie; h. het behandelen van geschillen en het doen uitoefenen van accountantscontrole; i. het beheer en de beveiliging van de gebouwen en voorzieningen van de hogeschool; j. het samenstellen van de kiesregisters. Artikel 7 Gegevens van personeel De gegevens betreffende personeel worden verzameld ten behoeve van: a. het uitoefenen van de personeelsbeheerfunctie en de daarvoor noodzakelijke administratieve handelingen; b. het verwerken van salarisaanspraken; c. de berekening, vastlegging en inning of afdracht van premies en belastingen; d. de voorbereiding van de door het management van de hogeschool te nemen beleidsbeslissingen; e. het geven van leiding aan de werkzaamheden van de betrokkene, de personeelsbegeleiding en beoordeling; f. de dienstverlening aan het personeel, alsmede bedrijfsmedische zorg en opleiding; g. de uitvoering van de voor betrokkene geldende arbeidsvoorwaarden; h. de administratie van personeelsverenigingen; i. het innen van vorderingen, waaronder begrepen het in handen van derden stellen van deze vorderingen; j. het verzenden van voor personeel relevante informatie; k. het behandelen van geschillen en het doen uitoefenen van accountantscontrole; l. het beheer en de beveiliging van de gebouwen en voorzieningen van de hogeschool; m. het samenstellen van de kiesregisters. Artikel 8 Legitieme verwerking 1. Persoonsgegevens mogen alleen worden verwerkt voor zover dit: a. geschiedt met ondubbelzinnige toestemming van betrokkene, of; b. noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst, of; c. verplicht is op grond van een wettelijk voorschrift, of; d. noodzakelijk is voor de vervulling van de taak van de hogeschool, niet onverenigbaar is met de voor de verwerking vastgestelde doelstellingen, en in overeenstemming is met de overige bepalingen van deze regeling. 2. Bij de beoordeling of een verwerking verenigbaar is met de doelstelling waarvoor ze verkregen zijn wordt in elk geval rekening gehouden met: a. de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen; b. de aard van de betreffende gegevens; c. de gevolgen van de beoogde verwerking voor betrokkene; d. de wijze waarop de gegevens zijn verkregen;
e. de mate waarin jegens betrokkene wordt voorzien in passende waarborgen. 3. Toestemming geldt als ondubbelzinnig indien bij de verantwoordelijke geen twijfel kan bestaan, dat betrokkene zijn toestemming heeft gegeven voor een bepaalde gegevensverwerking. 4. Verdere verwerking van gegevens voor historische, statistische of wetenschappelijke doeleinden wordt niet als onverenigbaar beschouwd, indien de verantwoordelijke de nodige voorzieningen heeft getroffen ten einde te verzekeren dat de verdere verwerking uitsluitend geschiedt ten behoeve van deze specifieke doeleinden. Artikel 9 Register van gegevensverwerkingen 1. De verantwoordelijke houdt een register bij van de gegevensverwerkingen. 2. Het register bevat tenminste: a. de naam en het adres van de beheerder; b. het doel of de doeleinden van de verwerking; c. een beschrijving van de categorieën van betrokkenen en van categorieën van gegevens die daarop betrekking hebben. Artikel 10 Verstrekking van gegevens 1. De beheerder verstrekt uitsluitend persoonsgegevens aan personen en instanties binnen de hogeschool, indien dit niet onverenigbaar is met de doelstellingen van de gegevensverwerking. 2. De verantwoordelijke verstrekt uitsluitend persoonsgegevens aan personen en instanties buiten de hogeschool, indien dit niet onverenigbaar is met de doelstellingen van de gegevensverwerking. 3. Aan personen en instellingen worden persoonsgegevens beschikbaar gesteld, indien daartoe een wettelijke verplichting bestaat. 4. Persoonsgegevens kunnen alleen dan zonder toestemming van de betrokkene worden verstrekt ten behoeve van wetenschappelijk onderzoek, indien aan alle van de volgende voorwaarden is voldaan: a. het vragen van de gerichte toestemming is in redelijkheid niet mogelijk; b. het onderzoek dient een algemeen belang; c. het onderzoek kan niet zonder de desbetreffende gegevens worden uitgevoerd; d. de persoonlijke levenssfeer van de betrokkene wordt niet onevenredig geschaad door de gegevensverstrekking en het staat vast dat het onderzoek niet in de vorm van tot de geregistreerde herleidbare gegevens zal worden gepresenteerd; e. het onderzoek wordt verricht conform een op de onderzoeker betrekking hebbende gedragscode. 5. De afdeling instroommanagement van de hogeschool kan gegevens van studenten van de hogeschool verstrekken aan de decanen van de vo-scholen en mbo-scholen, waar deze studenten onderwijs hebben gevolgd en waarmee op dit gebied een vaste samenwerking bestaat, voor zover daar door betrokkene geen bezwaar tegen is gemaakt. 6. De verantwoordelijke kan beslissen gegevens te verstrekken aan de HBO-Raad, het Centraal Bureau voor de Statistiek, en ten behoeve van wetenschappelijk onderzoek en statistieken, indien de persoonsgegevens zodanig zijn geanonimiseerd dat zij niet tot individuele personen herleidbaar zijn. Artikel 11 Bewerker
1. Indien de verantwoordelijke een bepaalde set verwerkingen van gegevens opgedragen heeft aan een bewerker, wordt er door de verantwoordelijke en de bewerker een overeenkomst opgesteld ten aanzien van de door de bewerker na te komen bescherming van betreffende persoonsgegevens. 2. Van deze overeenkomst wordt een afschrift gezonden naar de functionaris gegevensbescherming. Artikel 12 Informatie aan betrokkenen 1. De verantwoordelijke zal door middel van een algemene kennisgeving gericht aan studenten en personeel het bestaan van de gegevensverwerkingen en van deze regeling vermelden, alsmede daarin aangeven op welke wijze deze kan worden ingezien en nadere informatie ter zake kan worden ingewonnen. 2. De verantwoordelijke heeft de plicht de betrokkene voor verwerking van diens persoonsgegevens gericht te informeren omtrent de aard van de hem betreffende gegevensverwerking, alsmede omtrent de doeleinden die daarmee worden nagestreefd, een en ander met inachtneming van het bepaalde in artikel 8. 3. Indien de persoonsgegevens verkregen worden van betrokkene, vindt de in lid 2 bedoelde kennisgeving plaats op het moment van verkrijging. 4. Indien de persoonsgegevens op een andere wijze worden verkregen dan bedoeld in lid 3, vindt de in lid 2 bedoelde kennisgeving plaats op het moment dat de gegevens worden vastgelegd, en uiterlijk op het moment van eerste verstrekking aan een derde. 5. De op grond van lid 4 gedane kennisgeving is, tenzij het aantal betrokkene toelaat dat deze individueel wordt verstrekt, van algemene aard. Artikel 13 Beveiliging 1. De verantwoordelijke draagt zorg voor de nodige voorzieningen van technische en organisatorische aard ter beveiliging tegen onbevoegde verwerking van persoonsgegevens. 2. Iedere beheerder treft de nodige maatregelen teneinde onbevoegde verwerking van de door hem of haar beheerde gegevens te voorkomen. Artikel 14 Bewaring 1. Persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld en verwerkt. 2. Persoonsgegevens worden langer bewaard dan bepaald in het eerste lid, indien dit noodzakelijk is voor historische, statistische of wetenschappelijke doeleinden, dan wel op grond van een wettelijk voorschrift. Artikel 15 Recht op inzage 1. Iedere betrokkene heeft recht op inzage in de over hem of haar opgenomen persoonsgegevens. Een verzoek hiertoe wordt schriftelijk ingediend bij de desbetreffende beheerder. Indien de beheerder niet bekend is, wordt het verzoek ingediend bij diegene die, namens de verantwoordelijke, de verantwoordelijkheid waarneemt. 2. Op een verzoek om inzage wordt uiterlijk binnen vier weken na indiening schriftelijk gereageerd.
3. Elke betrokkene heeft op verzoek ten hoogste twee keer per jaar recht op een afschrift van de over hem of haar opgenomen persoonsgegevens. De daaraan verbonden kosten kunnen, tot een maximum van 4,50 per verzoek, aan de verzoeker in rekening worden gebracht. Artikel 16 Recht op verbetering 1. Elke betrokkene kan een schriftelijk verzoek tot verbetering of verwijdering van de met betrekking tot hem of haar opgenomen persoonsgegevens indienen bij de beheerder. Indien de beheerder niet bekend is, wordt het verzoek ingediend bij diegene die, namens de verantwoordelijke, de verantwoordelijkheid waarneemt. 2. De beheerder verbetert de gegevens indien zij feitelijk onjuist zijn, onvolledig of niet ter zake dienend zijn voor het doel waarvoor ze verwerkt zijn, of op een andere wijze in strijd zijn met deze regeling of met enig wettelijk voorschrift. Hiervan wordt de betrokkene binnen vier weken na indiening van het verzoek schriftelijk in kennis gesteld, alsmede diegenen aan wie onjuiste gegevens van betrokkene zijn verstrekt. 3. Indien de beheerder de verzochte verbetering of verwijdering niet wenst aan te brengen, meldt hij of zij dit aan de functionaris gegevensbescherming, en doet hiervan binnen vier weken na indiening van het verzoek gemotiveerd en schriftelijk mededeling aan betrokkene. Artikel 17 Verzet tegen verwerking 1. Elke betrokkene kan tegen verwerking van zijn of haar persoonsgegevens - welke plaatsvindt op grond van artikel 8 lid 1 onder d van dit reglement - bij de beheerder verzet aantekenen in verband met zijn of haar bijzondere persoonlijke omstandigheden. Indien de beheerder niet bekend is, wordt het verzet aangetekend bij de verantwoordelijke. 2. Er wordt binnen vier weken na ontvangst beoordeeld of het verzet gerechtvaardigd is. Als dit het geval is wordt de verwerking terstond beëindigd. 3. Het verzet is gerechtvaardigd als de gegevens verwerkt werden met het doel van werving voor commerciële of charitatieve doelen in verband met een relatie tussen de verantwoordelijke of een derde en betrokkene. 4. Van elk door betrokkene aangetekend verzet wordt melding gedaan aan de functionaris gegevensbescherming. Artikel 18 Bezwaar 1. Tegen een beslissing op een verzoek als bedoeld in artikel 15, 16 en 17 van deze regeling, genomen door of namens de verantwoordelijke, kan iedere betrokkene binnen zes weken schriftelijk bezwaar maken bij de verantwoordelijke. De verantwoordelijke onderzoekt het bezwaar en neemt vervolgens een beslissing op bezwaar. 2. Wordt aan het verzoek als bedoeld in het eerste lid niet of niet volledig voldaan, dan kan iedere belanghebbende zich overeenkomstig het bepaalde in hoofdstuk 8 van de Wet bescherming persoonsgegevens uiterlijk binnen zes weken na ontvangst van de beslissing op bezwaar wenden tot de rechtbank met het schriftelijke verzoek de verantwoordelijke te bevelen alsnog aan het verzoek van de betreffende belanghebbende te voldoen. Artikel 19 Klachten
1. Indien een betrokkene van mening is dat de bepalingen van deze regeling niet worden nageleefd en hij of zij hierdoor in zijn of haar belang wordt getroffen, kan hij of zij binnen zes weken na constatering hiervan schriftelijk een klacht indienen bij de verantwoordelijke. 2. De verantwoordelijke stuurt de klacht naar de functionaris gegevensbescherming. 3. De functionaris gegevensbescherming neemt de klacht uiterlijk binnen vier weken na ontvangst in behandeling en stelt een onderzoek naar de klacht in. Over de uitkomst van dit onderzoek wordt de klager schriftelijk en gemotiveerd geïnformeerd. Artikel 20 Functionaris gegevensbescherming 1. Er is een functionaris gegevensbescherming. Deze wordt benoemd door de verantwoordelijke. 2. De functionaris gegevensbescherming is verplicht: a. toezicht te houden op de verwerkingen van persoonsgegevens binnen de hogeschool; b. een bestand bij te houden met de meldingen van de verwerkingen waarvoor een meldingsplicht bestaat; c. jaarlijks verslaggeving te doen van zijn werkzaamheden en bevindingen en dit openbaar te maken 3. De functionaris gegevensbescherming heeft de taak om op verzoek of uit eigen beweging een rol te spelen bij: a. de behandeling van klachten van betrokkenen; b. de behandeling van verzoeken van betrokkenen voor zover niet geheel aan de wensen van de verzoeker tegemoet gekomen wordt; c. de voorlichting over het gebruik van persoonsgegevens; d. de advisering van de verantwoordelijke over de bescherming van persoonsgegevens. 4. De functionaris gegevensbescherming heeft als zodanig slechts toegang tot persoonsgegevens, en maakt van de persoonsgegevens waarvan hij of zij functioneel kennis krijgt slechts gebruik, voor zover het de uitoefening van zijn of haar taak als functionaris gegevensbescherming betreft. 5. De functionaris gegevensbescherming is bevoegd: a. inlichtingen in te winnen bij de beheerders; b. inzage te hebben in de op de hogeschool aanwezige persoonsgegevens; c. apparatuur, programmatuur, boeken en bescheiden te onderzoeken; d. zich de werking van apparatuur en programmatuur te doen vertonen; e. de ruimtes van de hogeschool te betreden. 6. Ieder, die werkzaam is bij de hogeschool, is verplicht de inlichtingen te verschaffen en de medewerking te verlenen die in het kader van het vorige lid van hem of haar verlangd worden. 7. Het college van bestuur van de hogeschool draagt er zorg voor dat aan de functionaris gegevensbescherming alle medewerking wordt verleend die deze nodig heeft voor de uitoefening van zijn of haar functie. Artikel 21 Nadere regels en overige gevallen 1. In gevallen waarin deze regeling niet voorziet beslist de verantwoordelijke. Zij vraagt daarbij om advies aan de functionaris gegevensbescherming. 2. In aanvulling op dit reglement kunnen door de verantwoordelijke nadere regels worden vastgesteld.
Artikel 22 Inwerkingtreding en citeertitel Deze regeling vervangt hoofdstuk 10 van het Studentenstatuut Hogeschool van Amsterdam 2005-2006, algemeen deel en treedt in werking op 1 september 2006. De regeling kan worden aangehaald als wordt aangehaald als: Regeling Bescherming Persoonsgegevens Hogeschool van Amsterdam. Het college van bestuur heeft de regeling op 15 juni 2006 vastgesteld. De medezeggenschapsraad heeft op 19 september 2006 met de regeling ingestemd.