Privacyreglement Hogeschool van Arnhem en Nijmegen

 Preambule

Verzameling, verwerking en opslag van persoonsgegevens is noodzakelijk voor de bedrijfsprocessen van de Hogeschool van Arnhem en Nijmegen. Uiteraard dient dit met de grootste zorgvuldigheid te gebeuren. De HAN is verantwoordelijk voor de naleving van de Algemene Verordening Gegevensbescherming (AVG) en hecht veel waarde aan het beschermen van persoonsgegevens die aan haar worden verstrekt en aan de

wijze waarop persoonsgegevens worden verwerkt. In dit reglement wordt onder meer geregeld welke persoonsgegevens er bij de HAN worden verwerkt, aan wie deze persoonsgegevens eventueel mogen worden verstrekt en wat de rechten zijn van degene wiens persoonsgegeven(s) worden verwerkt.

 

  • Algemene bepalingen

 

Artikel 1 Begripsbepaling

 

In dit reglement wordt in aansluiting en aanvulling op de Algemene Verordening Gegevensbescherming1 verstaan onder:

  1. AP: Autoriteit Persoonsgegevens, de toezichthoudende autoriteit zoals bedoeld in artikel 51 lid 1 AVG;
  2. applicatiebeheerder: degene die ervoor zorgt dat de applicatie goed werkt binnen de HAN;
  3. AVG : Algemene Verordening Gegevensbescherming;
  4. beheerder: degene die onder verantwoordelijkheid van de verwerkingsverantwoordelijke is belast met de dagelijkse zorg voor de verwerking van persoonsgegevens, voor de juistheid van de

ingevoerde gegevens, alsmede voor het bewaren, verwijderen en verstrekken van gegevens. In de bijlage is een overzicht van de beheerders opgenomen. In gevallen waarin niet duidelijk is wie de beheerder is, is de directeur Service Bedrijf de beheerder;

  1. bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens

gecentraliseerd of gedecentraliseerd is dan welverspreid is op functionele of geografische gronden, dat volgens bepaalde criteria toegankelijk is;

  1. betrokkene: degene op wie een persoonsgegeven betrekking heeft;
  2. bijzondere persoonsgegevens: persoonsgegevens als bedoeld in artikel 9 AVG, waaruit bijvoorbeeld ras of etnische afkomst, religieuze of levensbeschouwelijke overtuigingen blijken (foto’s d.) of

gegevens betreffende gezondheid zoals handicap, chronische ziekte;

  1. functionaris: de functionaris bescherming persoonsgegevens die binnen de HAN toezicht houdt op de toepassing en naleving van de AVG;
  2. gebruiker: degene die onder verantwoordelijkheid van de beheerder bevoegd is persoonsgegevens in te voeren, te wijzigen en/of te verwijderen, dan wel van enigerlei uitvoer van de verwerking

kennis te nemen;

  1. inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;
  2. personeel: personen in dienst van of werkzaam ten behoeve van de verwerkingsverantwoordelijke;
  3. persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een natuurlijk persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een
 
   

1 Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.

 

identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

  1. profilering: elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te
  2. technische werkzaamheden: werkzaamheden die verband houden met onderhoud, reparatie en beveiliging van apparatuur en programmatuur;
  3. verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens;
  4. verwerker: degene die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;
  5. verwerking van persoonsgegevens: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending,

verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;

  1. verwerkingsverantwoordelijke / HAN: de Stichting Hogeschool van Arnhem en Nijmegen, in deze vertegenwoordigd door het College van Bestuur;

 

  • Doelstelling en Reikwijdte

 

Artikel 2 Doelstelling van het reglement

 

Dit reglement heeft tot doel:

  1. de verwerking van persoonsgegevens conform het bepaalde in de AVG te laten verlopen;
  2. de persoonlijke levenssfeer van betrokkene van wie persoonsgegevens zijn verwerkt in één of meer bestanden, te beschermen tegen misbruik van die gegevens en tegen verwerking van onjuiste

gegevens;

  1. de betrokkene te informeren wat de HAN met zijn of haar persoonsgegevens doet; en
  2. de rechten van de betrokkenen te

 

Artikel 3 Reikwijdte van het reglement

 

Dit reglement heeft betrekking op het verwerken van persoonsgegevens van betrokkenen binnen de HAN waaronder in ieder geval alle medewerkers, studenten en externe relaties (inhuur/outsourcing) alsmede op andere betrokkenen van wie de HAN persoonsgegevens verwerkt.

 

Dit reglement is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van

persoonsgegevens, alsmede op de verwerking van (niet geautomatiseerde) persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn daarin te worden opgenomen.

 

  • Beheer van gegevens

 

Artikel 4 Mandaat verantwoordelijke

 

De directeur Service Bedrijf neemt namens de verwerkingsverantwoordelijke, de verantwoordelijkheid voor de verwerking van de persoonsgegevens.

 

Artikel 5 Documenteren van verwerkingen

 

De HAN houdt een register bij van alle verwerkingen van persoonsgegevens. In dit register van verwerkingsactiviteiten staan de volgende gegevens:

  1. de naam en contactgegevens van de verwerkingsverantwoordelijke;
  2. de verwerkingsdoeleinden;
  3. een beschrijving van de categorieën van betrokkenen en van categorieën van persoonsgegevens;
  4. de categorieën ontvangers aan wie de persoonsgegevens zijn of worden verstrekt;
  5. indien van toepassing doorgifte van persoonsgegevens aan een derde land of organisatie;
  6. de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
  7. een algemene omschrijving van technische en organisatorische

 

Een geheel of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens dient gemeld te worden bij de functionaris gegevensbescherming. Op het intranet van de HAN wordt aangegeven hoe gemeld kan worden. De functionaris beoordeelt steekproefsgewijs de rechtsgeldigheid van de registratie en draagt zorg voor adequate documentatie.

 

  • Verzamelen en verwerken van gegevens

 

Artikel 6 Doelbinding en dataminimalisatie

 

Persoonsgegevens moeten op een transparante wijze voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld worden en mogen vervolgens niet verder op een met die

doeleinden onverenigbare wijze worden verwerkt. Daarnaast moeten persoonsgegevens toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt

(‘’minimale gegevensverwerking’’).

 

Artikel 7 Rechtmatigheid van de verwerking

 

Het verwerken van persoonsgegevens is gebaseerd op een van de wettelijke grondslagen zoals omschreven in artikel 6 AVG. De verwerking van persoonsgegevens van betrokkenen kan conform artikel 6 AVG noodzakelijk zijn:

  1. voor de uitvoering van een overeenkomst waarbij de betrokkene partij is;
  2. om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
  3. om de vitale belangen van de betrokkene te beschermen;
  4. voor de vervulling van een taak van algemeen belang of een taak in het kader van de uitoefening van het openbaar gezag aan de verwerkingsverantwoordelijke is opgedragen;
  5. voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind

De verwerking van persoonsgegevens kan ook gebaseerd zijn op toestemming van de betrokkene zelf. De verwerkingsverantwoordelijke moet dan kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens. Is de betrokkene een minderjarige dan ben je in sommige gevallen verplicht om ook toestemming van de ouder/wettelijk vertegenwoordiger te vragen. In een nadere regeling zal worden uitgewerkt in welke gevallen dit al dan niet noodzakelijk is.

 

De HAN kan de betrokkene in specifieke – nader te bepalen – gevallen (bijvoorbeeld) middels een

toestemmingsformulier om toestemming vragen voor het verwerken van zijn of haar persoonsgegevens.

 

Artikel 8 Procedure aanvraag om gegevens verstrekken

 

Indien een aanvraag tot gegevensverstrekking wordt ingediend bij een medewerker van de HAN of bij een organisatieonderdeel van de HAN dan dient deze aanvraag in ieder geval bij de service unit ICT ingediend te

 

worden indien:

  1. bij de aanvraag tot gegevensverstrekking een externe op enigerlei wijze is betrokken;
  2. het verzoek om de persoonsgegeven niet tot het reguliere takenpakket/functie behoort van de HAN- medewerker of niet behoort tot de reguliere werkzaamheden behorende bij het

organisatieonderdeel;

  1. indien de gegevensaanvraag niet past binnen de doelen zoals deze zijn omschreven in het register van verwerkingsactiviteiten (artikel 5 van dit reglement); of
  2. indien er twijfel bestaat of er inbreuk gemaakt wordt op de

 

  • Beveiliging, meldplicht datalekken en geheimhouding

 

Artikel 9 Beveiliging en meldplicht datalekken

 

  1. De verantwoordelijke draagt zorg voor passende maatregelen van technische en organisatorische aard ter beveiliging tegen verlies of tegen enige vorm van onrechtmatige verwerking van
  2. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
  3. Iedere inbreuk in verband met persoonsgegevens zoals omschreven in artikel 1 sub j van dit reglement zal worden gedocumenteerd. De AP wordt zonder onredelijke vertraging, en indien mogelijk binnen 72 uur na kennisname van het incident, in kennis gesteld van de inbreuk tenzij niet waarschijnlijk is dat de inbreuk risico inhoudt voor de rechten en vrijheden van natuurlijke Indien de melding aan de AP niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging. Houdt de

inbreuk waarschijnlijk een hoog risico in voor de rechten en vrijheden van natuurlijke personen, dan worden ook de betrokkene(n) onverwijld van de inbreuk in kennis gesteld.

  1. De kennisgeving aan de AP en de betrokkene omvat in ieder geval:
    1. de aard van de inbreuk;
    2. contactgegevens van de functionaris of een ander contactpunt waar meer informatie over de inbreuk kan worden verkregen;
    3. de waarschijnlijke gevolgen van de inbreuk; en
    4. de aanbevolen maatregelen om de inbreuk in verband met persoonsgegevens aan te pakken waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele negatieve gevolgen
  2. De in lid 3 bedoelde mededeling aan de betrokkene is niet vereist indien:
    1. de gegevens die getroffen zijn door de inbreuk onbegrijpelijk zijn voor onbevoegden, bijvoorbeeld vanwege versleuteling;
    2. achteraf maatregelen getroffen zijn die maken dat het in lid 3 bedoelde hoge risico zich niet meer zal voordoen;
    3. indien de mededeling onevenredige inspanningen In dat geval komt er in plaats daarvan een openbare mededeling of een soortgelijke maatregeling waarbij betrokkenen even doeltreffend even doeltreffend worden geïnformeerd.
  3. Degene die een inbreuk in verband met persoonsgegevens, zoals omschreven in lid 3 ontdekt, meldt de inbreuk binnen één werkdag aan de Servicedesk. De Servicedesk meldt de inbreuk onverwijld aan de functionaris, die de verantwoordelijke informeert en zorgdraagt voor de meldingen als omschreven in

lid 3.

  1. De functionaris houdt een overzicht bij van iedere inbreuk in verband met persoonsgegevens. Het

overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk, bedoeld in het derde lid, alsmede voor zover van toepassing de tekst van de kennisgeving aan de betrokkene.

 

Artikel 10 Geheimhouding

 

  1. De werknemer is verplicht tot geheimhouding van hetgeen hem uit hoofde van zijn functie ter kennis komt, voor zover die verplichting uit de aard van de zaak volgt, of uitdrukkelijk schriftelijk is opgelegd. Deze verplichting geldt ook na beëindiging van de

 

  1. Onverminderd wettelijke bepalingen is de werkgever jegens derden verplicht tot geheimhouding van persoonlijke gegevens van de werknemer, tenzij de werknemer tot het verstrekken van op zijn persoon betrekking hebbende gegevens schriftelijk toestemming

 

  • Verwerker(s)(overeenkomst)

 

Artikel 11 Verwerker

 

  1. Indien de verwerkingsverantwoordelijke een bepaalde set verwerkingen van gegevens opgedragen heeft aan een verwerker, wordt er door de verwerkingsverantwoordelijke en de verwerker een overeenkomst opgesteld ten aanzien van de door de verwerker na te komen bescherming van

betreffende persoonsgegevens. In deze overeenkomst dient onder meer het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen en de rechten en verplichtingen van verwerkingsverantwoordelijke te worden omschreven. Daarnaast draagt de verwerkingsverantwoordelijke er zorg voor dat (in deze

overeenkomst) verwerker voldoende waarborgen biedt ten aanzien van technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen en ten aanzien van de

melding van een inbreuk in verband met persoonsgegevens.

  1. Van deze overeenkomst dient door de contracteigenaar een afschrift in Proquro te worden Een format voor deze verwerkersovereenkomst is op het Intranet van de HAN gepubliceerd.

 

  • Kennisgeving

 

Artikel 12 Informatie aan betrokkenen

 

  1. De verwerkingsverantwoordelijke verstrekt bij het moment van de verkrijging van gegevens van betrokkene de volgende informatie aan de betrokkene:
    1. zijn identiteit en contactgegevens;
    2. de contactgegevens van de functionaris;
    3. de verwerkingsdoeleinden en rechtsgrond van de gegevensverwerking;
    4. de gerechtvaardigde belangen (indien de verwerking is gebaseerd op artikel 9 lid 1 sub f AVG);
    5. de ontvangers of categorieën ontvangers van de persoonsgegevens;
    6. waarborgen bij doorgifte van de persoonsgegevens aan een derde land of internationale organisatie;
    7. bewaartermijnen;
    8. rechten betrokkene (waaronder het bestaan van het recht om de verwerkingsverantwoordelijke te verzoeken om inzage van en rectificatie of wissing van persoonsgegevens te verlangen

alsmede het recht om bezwaar te maken en het recht op gegevensoverdraagbaarheid);

  1. of verstrekking door betrokkene verplicht is;
  2. recht om een klacht in te dienen bij de AP;
  3. informatie over

Bovenstaande is niet van toepassing wanneer en voor zover de betrokkene reeds over de informatie beschikt.

  1. De informatieverstrekking van lid 1 vindt plaats door middel van een algemene kennisgeving op de website van de HAN gericht aan betrokkene en bevat met name informatie over het bestaan van de gegevensverwerkingen en van deze regeling, de wijze waarop deze kan worden ingezien en over de wijze waarop nadere informatie ter zake kan worden
  2. Indien de persoonsgegevens op een andere wijze worden verkregen dan bedoeld in lid 1 (d.w.z. indien de persoonsgegevens niet van de betrokkene zelf zijn verkregen maar van een derde), vindt de

kennisgeving van lid 2 plaats:

  1. binnen een redelijke termijn, doch uiterlijk binnen één maand na verkrijging van de persoonsgegevens; of
  2. bij de eerste communicatie met de betrokkene; of

 

  1. uiterlijk op het moment van eerste verstrekking aan een

De kennisgeving vindt plaats door middel van een algemene kennisgeving op de website van de HAN.

  1. De kennisgeving van lid 3 vindt niet plaats, indien de kennisgeving aan de betrokkene onmogelijk is of een onevenredige inspanning kost, de betrokkene reeds over de informatie beschikt, wettelijke plicht is, of indien de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een

beroepsgeheim. In dat geval legt de verwerkingsverantwoordelijke de herkomst van de gegevens vast.

  1. Geen kennisgeving vindt plaats indien de gegevensverwerking is voorgeschreven krachtens wettelijk voorschrift.

 

Artikel 13 Opt-in / Opt-out2

Voor het ongevraagd verzenden van e-mailberichten voor commerciële, ideële of charitatieve doeleinden dient voorafgaande toestemming worden gevraagd (opt-in). De ontvanger moet daarbij ook altijd de mogelijkheid hebben om zich uit te kunnen schrijven (opt-out). Voorafgaand toestemming vragen is niet vereist indien het e-mailbericht geen commerciële, ideële of charitatieve doeleinden heeft, de betrokkene zijn e-mailadres voor deze doeleinden heeft verstrekt of in het geval het e-mailadres is verkregen in het kader van verkoop van een product of dienst en het e-mailadres wordt gebruikt voor eigen gelijksoortige producten of diensten. Het e-mailbericht dient dan wel een opt-out mogelijkheid te bevatten.

 

  • Bewaring van gegevens

 

Artikel 14 Bewaring en termijnen

Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is.

Persoonsgegevens mogen voor langere perioden worden opgeslagen louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden dan wel op grond van een wettelijk voorschrift mits passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen. Voor de bewaring van persoonsgegevens

zijn bewaartermijnen vastgesteld. Bewaartermijnen kunnen wettelijk zijn bepaald maar kunnen ook door de HAN zelf zijn vastgelegd. Zie hiervoor het HAN-Bestandsoverzicht.3

 

  • Recht van informatie, inzage, afschrift, rectificatie, verwijdering, overdracht en bezwaar

 

Artikel 15 Algemeen

 

  1. Iedere betrokkene heeft het recht met betrekking tot zijn persoonsgegevens een verzoek in te dienen bij de beheerder tot:
    1. verkrijging van informatie;
    2. inzage, correctie (rectificatie, aanvulling, verwijdering en/of afscherming) en overdracht van gegevens.
  2. Aan het uitoefenen van die rechten zijn voor de betrokkene geen kosten
  3. Betrokkene kan zich bij het uitoefenen van die rechten – op eigen kosten – laten
  4. De beheerder wijst betrokkenen op de mogelijkheden van rechtsbescherming en toezicht en op de rol daarin van de

 

Artikel 16 Recht van bezwaar

  1. Indien de rechtmatige grondslag voor een bepaalde verwerking:
    1. noodzakelijk is voor de goede invulling van een publiekrechtelijke taak; of
    2. noodzakelijk is voor het gerechtvaardigde belang van de verwerkingsverantwoordelijke, kan de betrokkene bij de beheerder te allen tijde bezwaar aantekenen tegen die verwerking in verband met zijn bijzondere persoonlijke
 
   

2 Conform artikel 11.7 Telecommunicatiewet

3 Dit overzicht is op te vragen bij de ServiceDesk van de HAN.

 

  1. Betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking , waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn

verbonden of hem anderszins in aanmerkelijke mate treft. Betrokkene kan hier dan bij beheerder bezwaar tegen maken. Dit geldt niet indien het besluit noodzakelijk is voor de totstandkoming of

uitvoering van een overeenkomst tussen de betrokkene en verwerkingsverantwoordelijke of indien dit is toegestaan bij de wet die voorziet in passende maatregelen.

  1. Binnen vier weken na ontvangst van het bezwaar beoordeelt de verwerkingsverantwoordelijke of het bezwaar gerechtvaardigd
  2. Indien de gegevens worden verwerkt in verband met de totstandbrenging of de instandhouding van een directe relatie tussen verantwoordelijke of een derde en de betrokkene met het oog op werving voor commerciële of charitatieve doelstellingen (direct marketing), kan de betrokkene daartegen bij de

verantwoordelijke te allen tijde bezwaar aantekenen.

  1. Wanneer betrokkene bezwaar maakt tegen verwerking ten behoeve van direct marketing, worden de persoonsgegevens niet meer voor deze doeleinden
  2. Bezwaar tegen de verwerking voor commerciële of charitatieve doelen is altijd
  3. De beheerder beëindigt de verwerking ter stond, indien de verwerkingsverantwoordelijke het bezwaar gerechtvaardigd

 

  • Rechtsbescherming en toezicht

 

Artikel 17 Klachtenprocedure

 

  1. De betrokkene kan bij de functionaris een klacht in te dienen:
    1. tegen een beslissing op een verzoek als bedoeld in artikel 15;
    2. tegen een beslissing naar aanleiding van de aantekening van bezwaar als bedoeld in artikel 16;
    3. tegen de wijze waarop de verwerkingsverantwoordelijke, de beheerder of de verwerker de in dit reglement opgenomen regels

Elke betrokkene heeft het recht een klacht in te dienen bij de AP.

  1. De functionaris reageert zo spoedig mogelijk, maar uiterlijk binnen zes weken na ontvangst, schriftelijk en met redenen omkleed op de
  2. Betrokkene kan zich bij de indiening en behandeling van zijn klacht laten
  3. De functionaris kan het advies van de AP
  4. De functionaris kan tot het oordeel komen dat de klacht onterecht is dan wel geheel of gedeeltelijk terecht.
  5. Indien de functionaris de klacht niet of slechts gedeeltelijk honoreert, kan de betrokkene een klacht indienen bij de De verwerkingsverantwoordelijke informeert de betrokkene, van wie hij de klacht niet of slechts gedeeltelijk honoreert, over die mogelijkheid en over het adres van de AP.
  6. Indien de functionaris oordeelt dat de klacht geheel of gedeeltelijk terecht is, beslist hij om:
    1. indien de klacht zich richt tegen een beslissing als bedoeld in lid 1 onder a, het verzoek van betrokkene alsnog geheel of gedeeltelijk te honoreren;
    2. indien de klacht zich richt tegen een beslissing als bedoeld in lid 1 onder b, het bezwaar van betrokkene alsnog te honoreren;
    3. indien de klacht zich richt tegen de wijze van uitvoering als bedoeld in lid 1 onder c, alsnog uitvoering te geven aan de in dit privacyreglement opgenomen
  7. De functionaris maakt zijn oordeel schriftelijk aan betrokkene

 

  • Functionaris gegevensbescherming

 

Artikel 18 Functionaris gegevensbescherming

 

  1. De functionaris gegevensbescherming wordt benoemd door de
  2. De functionaris kan wat betreft de uitoefening van zijn functie geen aanwijzingen ontvangen van verwerkingsverantwoordelijke.

 

  1. De functionaris heeft gelijke bevoegdheden als de toezichthouder van Titel 5.2 van de Algemene wet
  2. Ieder die werkzaam is bij de HAN is verplicht de inlichtingen te verschaffen en de medewerking te verlenen die in het kader van het vorige lid van hem wordt
  3. De functionaris is verplicht:
    1. jaarlijks verslaggeving te doen van zijn werkzaamheden en bevindingen als onderdeel van het jaarverslag van de HAN;
    2. integraal beleid met betrekking tot privacy te
  4. De functionaris gegevensbescherming heeft als taak:
    1. toezien op naleving privacywetgeving;
    2. toezien op eigen interne beleid inclusief bewustwording en opleiding;
    3. voorlichten en adviseren over privacyvraagstukken;
    4. samenwerken met de AP;
    5. optreden als contactpunt voor de AP;
    6. de behandeling van klachten van betrokkenen;
    7. de behandeling van verzoeken van betrokkenen voor zover niet geheel aan de wensen van verzoeker tegemoet gekomen wordt;
    8. het doen van de meldingen, zoals omschreven in artikel 9 lid 3, aan de AP en betrokkene(n) en de verantwoordelijke hierover informeren;
    9. een overzicht bij te houden, zoals omschreven in artikel 9 lid 7 van dit
  5. De functionaris gegevensbescherming heeft als zodanig slechts toegang tot persoonsgegevens en maakt van de persoonsgegevens waarvan hij in zijn functie kennis krijgt slechts gebruik voor zover het de

uitoefening van zijn taak als functionaris betreft.

  1. De functionaris kan aanbevelingen doen aan de verwerkingsverantwoordelijke die strekken tot een betere bescherming van de gegevens die worden
  2. De verwerkingsverantwoordelijke draagt er zorg voor dat aan de functionaris alle medewerking wordt verleend die deze nodig heeft voor de uitoefening van zijn
  3. De functionaris is verplicht tot

 

Artikel 19 Toezicht op de naleving

 

De AP is op grond van de AVG bevoegd toe te zien op de naleving van de in dit privacyreglement krachtens de AVG opgenomen bepalingen.

 

  • Overige bepalingen

 

Artikel 20 Scholing

 

De verwerkingsverantwoordelijke draagt zorg voor een regelmatige scholing van de beheerders en de

gebruikers om te verzekeren dat ze de processen van persoonsgegevensverwerking, de daarvoor geldende regels en hun eigen rol daarin begrijpen.

 

Artikel 21 Onvoorzien

 

In gevallen waarin het privacyreglement niet voorziet beslist de verwerkingsverantwoordelijke, nadat deze advies heeft ingewonnen bij de functionaris.

 

Artikel 22 Bekendmaking en inzage

 

Dit privacyreglement wordt opgenomen op het Intranet van de HAN en op www.han.nl.

 

Artikel 23 Wijzigingen en aanvullingen

 

  1. Wijzigingen in het doel van de verwerking en in soort van inhoud, gebruik en wijze van verkrijging van de persoonsgegevens kunnen leiden tot wijziging van dit
  2. Wijzigingen en aanvullingen van het privacyreglement behoeve de instemming van de medezeggenschapsraad.

 

Artikel 24 Inwerkingtreding en citeertitel

 

  1. Dit privacyreglement treedt in werking op 13 maart
  2. Dit privacyreglement kan worden aangehaald als ‘Privacyreglement Hogeschool van Arnhem en Nijmegen’.

 

Hoe wij persoonsgegevens beveiligen

HAN Automotive neemt de bescherming van uw gegevens serieus en neemt passende maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan. Als u de indruk heeft dat uw gegevens niet goed beveiligd zijn of er aanwijzingen zijn van misbruik, neem dan contact op met ons of via afstuderen.automotive@han.nl of onderstaande contactgegevens.

 

Contactgegevens:

HAN Automotive

Ruitenberglaan 29

6826 CC Arnhem

Telefoonnummer: 026 – 3 84 9325

Login met je gegevens

Je gegevens vergeten?