Privacy vormt de hoeksteen van het beleid rond ethiek en integriteit aan de VUB. En ook Europa hecht veel belang aan de bescherming van de persoonlijke levenssfeer. Met de nieuwe Europese GDPR-wetgeving biedt Europa haar burgers extra controle en een betere bescherming. Maar dat heeft wél heel wat gevolgen voor onze werking. Wat zijn persoonsgegevens precies? Wanneer heb je nog het recht om gegevens van studenten of personeelsleden te gebruiken? Wat betekent GDPR voor persoonsdata in het wetenschappelijk onderzoek? En waarom mag je jouw bestaande mailinglijst niet zomaar blijven gebruiken om mensen uit te nodigen voor congressen, nascholingen of evenementen?
De General Data Protection Regulation (GDPR) of de Algemene Verordening Gegevensbescherming (AVG) is veel strenger dan de vroegere privacywetgeving. Er komen meer maatregelen tegen datalekken en de boetes tegen inbreuken kunnen hoog oplopen. De VUB wil er alles aan doen om de GDPR te respecteren bij elk omgaan met persoonsgegevens. En dat vraagt een serieuze cultuurverandering die ook veel impact heeft op de werking van jouw dienst.
Wat verandert er concreet? Hieronder geven we een antwoord op de 10 belangrijkste vragen:
1. Wat zijn persoonsgegevens?
Elke informatie van een persoon die daarmee rechtstreeks of onrechtstreeks geïdentificeerd kan worden: een gebruikersnaam, een naam, een foto, een adres, een nummerplaat, een telefoonnummer, locatiegegevens, IP-adres,…. Let op: ook de combinatie van sommige gegevens kan tot identificatie leiden. Denk bijvoorbeeld aan een databestand waarin het geslacht, de dienst waar men werkt en het statuut van personeelsleden opgenomen wordt. Of een lijst van scholieren met hun leeftijd, school en postcode. Op al die data zijn de spelregels van GDPR van toepassing.
Vallen de persoonsgegevens van overleden personen ook onder de toepassing van GDPR? Neen. Maar de persoonsgegevens van de nabestaanden uiteraard wel.
2. Wanneer is GDPR van toepassing?
Van zodra je persoonsgegevens “verwerkt” op eender welke manier. GDPR geldt dus voor elke situatie waarin je persoonsgegevens – al dan niet via geautomatiseerde processen – verzamelt, vastlegt, ordent, structureert, opslaat, bijwerkt of wijzigt, opvraagt, raadpleegt, gebruikt, verstrekt, doorstuurt, verspreidt of op een andere manier ter beschikking stelt, aligneert of combineert, afschermt, wist of vernietigt. Een hele boterham dus.
3. Wanneer mag je persoonsgegevens nog verwerken?
Enkel wanneer je een rechtmatige grond daarvoor hebt en/of wanneer de persoon in kwestie hier uitdrukkelijk toestemming voor verleent.
Twijfel je of je een rechtmatige grond hebt om data te bewaren en/of verwerken? Contacteer ons dan via dpo@vub.be
4. Wanneer en wat moet ik intern registreren?
Heb je een rechtmatige grond voor het verwerken en bewaren van persoonsgegevens? Schitterend. Dan moet je enkel nog intern aangifte doen in het register van gegevensverwerking. Dat kan aan de hand van dit formulier. Dit formulier dient u ingevuld op te sturen naar dpo@vub.be.
5. Wanneer mag je nog met gegevens van studenten en/of personeelsleden werken?
Enkel wanneer je daar een wettelijke of contractuele reden voor hebt: zo zijn bepaalde financiële gegevens nu eenmaal noodzakelijk om een loonadminstratie te kunnen uitvoeren, en heb je studieresultaten nodig om diploma´s te kunnen uitreiken.
6. Hoe moet je met persoonsgegevens omgaan in het wetenschappelijk onderzoek?
Met een geïnformeerde toestemming (informed consent) heb je een geldige rechtsgrond om gegevens van deelnemers te verwerken wanneer je gegevens rechtsreeks van bij de participant verzamelt. Maar let wel op: in die geïnformeerde toestemming moet altijd duidelijk aangegeven worden:
Als onderzoeker moet je ook de verplichtingen uit het Research Data Management-beleid naleven.
Hier lees je daar meer over.
Wanneer je gegevens gebruikt uit bestaande documenten of databestanden zijn er andere rechtsgronden van toepassing. Voor meer informatie of advies contacteer dpo@vub.be.
7. Wat betekent GDPR voor de organisatie van evenementen, seminaries, congressen en permanente vormingen?
STAP 1: BIJ DE UITNODIGING
Sprokkelden jullie over de jaren heen zelf een impressionante mailinglijst samen van eventueel geïnteresseerden? Je mag enkel een uitnodiging sturen aan mensen die hier hun uitdrukkelijke toestemming voor gegeven hebben. Indien dit niet het geval is en deze personen nooit toestemming gaven om in jouw database te zitten moet je ze wissen. Indien ze toestemming gaven voor een andere reden of soort communicatie mag je ze niet aanschrijven voor een ander doel dan dat waarvoor ze je toestemming gaven.
De centrale CRM databank van de VUB is de bron waarin we de gegevens het best ‘up to date’ kunnen houden. Ook wanneer bijvoorbeeld mensen hun toestemming tot verwerking intrekken zullen we dit hierin aanpassen. Het is dan ook belangrijk bij iedere verwerking (bijvoorbeeld uitsturen van een e-mail) de laatste versie van het noodzakelijke adressenbestand via deze bron te raadplegen. En vooral: bewaar de gegevens niet langer dan nodig voor het doel. Wis de lijst achteraf.
Ontvangt iemand toch ongevraagd een uitnodiging voor jouw event? Dan kan hij/zij hierover een klacht indienen. En daar staan zware geldboetes tegenover.
Neemt u daarom altijd de tekst over privacy en databescherming van deze disclaimer op in uw mailberichten.
STAP 2: BIJ DE INSCHRIJVING
Bij elke inschrijving voor een evenement verwerk je persoonsgegevens. Wanneer je de inschrijfpagina of -mail opstelt, moet je dus goed nadenken over
STAP 3: BIJ AFLOOP VAN HET EVENT
GDPR schrijft voor dat je alle persoonsgegevens die je in het kader van een event verzamelde en verwerkte, na afloop verwijdert. Dat geldt voor alle:
Wil je die persoonsdata toch bewaren? Dan moet je hiervoor toestemming vragen aan de deelnemers. Als je voor de inschrijvingsmail de disclaimer gebruikte, kunnen deelnemers op voorhand al aanvinken dat hun gegevens ook voor andere doeleinden gebruikt mogen worden.
STAP 4: INTERNE REGISTRATIE
Heb je toestemming voor het verwerken en bewaren van persoonsgegevens? Schitterend. Dan moet je enkel nog intern aangifte doen in het register van gegevensverwerking, via voornoemd formulier.
8. Hoe beveilig ik mijn bestaande datasets conform de nieuwe GDPR-wetgeving?
Volg de richtlijnen van het Informatieveiligheid en privacy comité. Heb je hierover bijkomende vragen? Neem dan contact op ciso@vub.be
9. Wat doe ik als ik onverhoopt te maken krijg met een datalek?
Heb je jouw VUB-laptop verloren? Stuurde je per ongeluk een e-mail naar de verkeerde personen? Of ben je jouw USB-stick kwijt? Elke situatie die tot een datalek kan leiden, moet je zo snel mogelijk melden aan helpdesk@vub.be.
Zo kunnen wij zo snel mogelijk de nodige stappen ondernemen om de rechten en vrijheden van alle betrokkenen te waarborgen.
10. Heb je nog verdere vragen bij de toepassing van de GDPR?
Of heb je twijfels bij een heel concreet geval? Of heb je vragen over de privacyverklaring van de VUB? Om iedereen te begeleiden in het AVG omzettingsproces duidde de VUB intern een data protection officer (dpo) aan. Indien u vragen heeft neem dan zeker contact op via dpo@vub.be wij nemen zo snel mogelijk contact met jou op.