Howest Mind- and Makerspace privacy verklaring
Howest hecht een groot belang aan jouw privacy. Wij verwerken daarom uitsluitend persoonsgegevens die noodzakelijk zijn voor onze werking en om jou een optimale service te kunnen aanbieden. Wij gaan zorgvuldig om met de informatie die wij over jou hebben verzameld. Dit document omschrijft de verwerking van persoonsgegevens voor de specifieke context van Howest Mind- and Makerspace (MaM).
Deze privacyverklaring beschrijft welke gegevens over jou door ons binnen de specifieke Howest MaM context worden verzameld, met welk doel deze gegevens worden gebruikt en met wie en onder welke voorwaarden deze gegevens eventueel met derden kunnen worden gedeeld. Ook leggen wij uit op welke wijze wij jouw gegevens opslaan en hoe wij jouw gegevens tegen misbruik beschermen en welke rechten je hebt met betrekking tot jouw persoonsgegevens.
Wij verzamelen en verwerken persoonsgegevens van betrokkenen. Met betrokkenen bedoelen wij:
De gegevens van de studenten bekomen wij via de deling van studentengegevens door Howest met Howest MaM. Deze gegevens worden slechts gebruikt wanneer een student zich effectief als deelnemer heeft ingeschreven voor een event. De email-adressen kunnen tevens gebruikt worden voor een mailing naar potentieel geïnteresseerden.
Als je vragen hebt over ons privacybeleid kan je contact opnemen met onze contactpersoon voor privacyzaken. Je vindt de contactgegevens in de sectie “Contact” van dit document.
Contact
De verantwoordelijke van deze verwerking van persoonsgegevens is Howest, met hoofdzetel te Marksesteenweg 58, 8500 Kortrijk en telefoonnummer +32 56 241290. Onze andere adressen en telefoonnummers vind je op onze website https://www.howest.be. Indien je vragen hebt over deze privacyverklaring kan je steeds contact met ons opnemen.
De Functionaris voor Gegevensbescherming (Data Protection Officer) van Howest bereik je best via email: privacy@howest.be.
Wat zijn persoonsgegevens en wat betekent verwerking?
Persoonsgegevens omvatten alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“betrokkene”); Met jouw naam of email-adres weten we onmiddellijk (rechtstreeks) wie jij bent, maar ook met een combinatie van je adres, leeftijd en geslacht (onrechtstreeks) kunnen wij of een andere partij jou in bepaalde mate herkennen. Persoonsgegevens zijn dus alle gegevens die men op de een of andere manier aan jou kan koppelen, zoals e-mailadres, telefoonnummer of zelfs IP-adres (het internetadres van je computer).
Verwerking van persoonsgegevens betekent elke bewerking, zoals verzamelen, vastleggen, opslaan, raadplegen, gebruiken, bijwerken, doorzenden, ter beschikking stellen, wissen, …
Welke persoonsgegevens verwerken wij en met welk doel?
Howest waakt erover dat de verwerking van persoonsgegevens beperkt blijft tot de beoogde doelstelling(en). Howest verwerkt persoonsgegevens om deze te kunnen verwezenlijken.
Howest MaM producten en diensten
Dit gaat over de registratie, beheer, optimalisatie en controle in verband met:
Events:
Voor de organisatie van events of levering van producten of diensten is het in vele gevallen noodzakelijk dat deelnemers zich vooraf registreren. Na registratie wordt dan de nodige informatie meegedeeld. Registratie en controle van aanwezigheden, aanmaken van eventuele badges en opzet van het (video-) conferencing systeem vallen tevens onder dit verwerkingsdoel. Howest studenten en medewerkers hoeven hun persoonsgegevens niet mee te delen omdat deze gegevens reeds zijn gekend. Zij moeten zich echter wel registeren voor een specifiek event of dienst.
Sommige events worden opgenomen (video en audio) met het oog op het nadien online beschikbaar stellen voor de deelnemers (inclusief andere groepen). De deelnemers zijn op de hoogte van deze opnames (inclusief online publicatie) en hebben de keuze gehad om al dan niet in beeld te komen. De nodige informatie werd verschaft bij de registratie voor het event, de communicatie na de registratie en/of de start van het event (onthaal of inleiding).
Bij de organisatie van sommige events of uitvoering van diensten is het soms noodzakelijk om deelnemers-informatie te delen met andere partners. Deze andere partners zijn dan de verwerkingsverantwoordelijke voor hun bijdrage aan het doeleinde van het event of dienst. Binnen de context van de partners van Howest MaM is het begrip co-verwerkingsverantwoordelijke, tenzij dit expliciet anders zou vermeld worden, niet van toepassing. Dit betekent tevens dat eventuele verdere verwerking de verantwoordelijkheid is van deze individuele partners en door hen wordt gedocumenteerd in hun respectievelijke privacyverklaringen.
Howest MaM ondersteunt ook een sharing community. In dit kader kan een deelnemer, als onderdeel van een sharing community beslissen om zijn informatie of product (bv een CAD design) te delen. In vele gevallen zijn dit geen persoonsgegevens, maar soms moeten deze door de aard en detail in bepaalde gevallen toch als persoonsgegevens gekwalificeerd worden (bv in een CAD tekening van een gebouw of ruimte kan de stijl van de maker herkenbaar zijn of door het doel van de ruimte kan de gebruiker van de ruimte worden geïdentificeerd). Howest MaM biedt de sharing community aan met een aantal spelregels, maar de verwerkingsverantwoordelijkheid van het delen van de inhoud zowel als het gebruiken van de inhoud blijft bij de deelnemers. Howest MaM biedt enkel het platform aan, legt de deelnemers de plicht op om de spelregels en andere toepasselijke wetgeving te respecteren en kan zonder voorafgaand overleg de spelregels wijzigen en/of bepaalde inhoud verwijderen.
De rechtsgronden voor de verwerkingen in deze categorie zijn:
Personeelsaangelegenheden
Dit gaat over de registratie, beheer, optimalisatie en controle in verband met:
De rechtsgronden voor deze verwerkingen zijn vooral onze verplichtingen inzake de arbeidsovereenkomst en onze wettelijke verplichtingen. Een klein aantal verwerkingen zijn op toestemming of specifieke overeenkomst gebaseerd (bv vrijwillige deelname aan een personeelsevent).
Bedrijfsvoering
Dit gaat over de registratie, beheer, optimalisatie en controle in verband met:
Voor enquêtes is er steeds een “informed consent” waarin de nodige afspraken worden vastgelegd. Het doel van deze enquêtes is steeds het verbeteren of optimaliseren van het aanbod van producten en diensten. Andere meetinstrumenten kunnen bv analytics van een website of ander kanaal zijn. Kwaliteitszorg omvat tevens het archiveren (en in bepaalde gevallen aggregeren) van persoonsgegevens met het oog op de opvolging van de kwaliteit op lange termijn.
Marketing is een verwerkingsdoel van een aantal verwerkingen, en dit geldt zowel voor Howest MaM als zijn eventuele partners. Howest MaM en elk van de partners passen de relevante wetgeving toe op direct marketing activiteiten. Dit komt er onder meer op neer dat betrokkenen die zich hebben geregistreerd voor een event of dienst, of die hun interesse op een andere wijze hebben kenbaar gemaakt (bv vraag voor informatie of inschrijven op een newsletter), marketing boodschappen kunnen ontvangen. Bij elektronische communicatie is er ook steeds een mogelijkheid om zich uit te schrijven (unsubscribe). Verwerkingen in verband met werkveldcontacten hebben eveneens met marketing te maken en kaderen meestal in het kader van een gezamenlijk event of dienst in het verleden of de toekomst.
Ook het bepalen van het profiel van bestaande klanten door matching van hun data met die van een externe advertising partner, met de bedoeling dit target profiel dan te gebruiken voor het gericht communiceren met prospects, maakt deel uit van marketing.
Marketing acties gebeuren steeds conform de wetgeving, en dus (naargelang de specifieke context) op basis van toestemming of op basis van gerechtvaardigd belang.
Alle foto's en ander beeldmateriaal die genomen worden binnen een Howest MaM context door een fotograaf, een personeelslid van Howest MaM of een andere medewerker aan het event, dienen steeds om verspreid te worden via alle mogelijke Howest MaM kanalen. Het gaat dus over het nemen van de foto, maar ook over social media of website publicatie in verband met dit specifiek event, social media of website publicatie binnen een meer algemene marketing context, gebeurlijk tagging en eventuele andere kanalen met marketing- of event-doeleinden (brochures, beurzen, persberichten, …). Tijdens het event kan hierover eventueel meer specifieke informatie gegeven zijn bij onthaal of inschrijving. Als je toestemt dat een dergelijke foto waarop jij herkenbaar bent, genomen wordt (dit kan ook impliciet door bv. te poseren), omvat deze toestemming deze brede vorm van gebruik. Zoals steeds heb je het recht om geen toestemming te geven of om je toestemming in te trekken. De meest eenvoudige manier is om dit meteen te melden aan de fotograaf die de foto onmiddellijk zal wissen. Intrekken van de toestemming kan natuurlijk ook later via een eenvoudig bericht en conform de relevante wetgeving. In sommige gevallen kan Howest ervoor kiezen om een extra overeenkomst te maken die alle specifieke vormen van gebruik verder opsomt en een expliciete afstand van het portretrecht inhoudt.
Monitoring van de IT systemen gebeurt met gerechtvaardigd belang en heeft als doel de goede werking van de systemen te kunnen blijven garanderen waarbij anomalieën in gebruik worden geanalyseerd, met het oog op beveiliging en naleven van de Fair Use Policy van Howest IT.
Video-conference communicatiemiddelen zoals Microsoft Teams worden gebruikt voor communicatie-doeleinden. Deze gesprekken kunnen ook worden opgenomen door één van de deelnemers indien dit noodzakelijk is voor het doel (bv om te kunnen herbekijken wanneer niet iedereen aanwezig kon zijn). De standaard te gebruiken communicatiemiddelen worden vermeld in de Fair Use Policy van Howest IT. Andere tools kunnen slechts gebruikt worden na een succesvolle screening.
Websites
Dit gaat over:
Het grootste deel van de informatie is via de websites beschikbaar zonder de noodzaak om jouw persoonsgegevens te vragen of te verzamelen. Bepaalde persoonsgegevens zoals onder meer cookies worden aangewend voor de samenstelling van onze gebruikersstatistieken en voor de beveiliging en verbetering van onze websites. Meer hierover vind je in ons cookiebeleid. De rechtsgrond voor deze verwerking is toestemming (voor de meeste cookies) of noodzakelijk voor de levering van de gevraagde dienst (in de andere specifieke gevallen).
Contactformulieren vermelden steeds hun specifiek doel. Dit is vaak marketing, informatie, contact of inschrijving. Verwerken van cookies gebeurt in de meeste gevallen met toestemming, maar dit wordt verder uitgewerkt in het cookiebeleid. Beveiliging en garantie goede werking websites gebeurt met gerechtvaardigd belang.
De websites die deel uitmaken van de event-omgeving hebben als rechtsgrond de overeenkomst voor de deelnamen aan het event.
Bijzondere categorieën persoonsgegevens
Binnen GDPR (General Data Protection Regulation, Algemene Verordening Gegevensbescherming, Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016), artikels 9 en 10 worden enkele bijzondere categorieën persoonsgegevens gedefinieerd als gegevens in verband met ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gezondheid, seksueel gedrag of seksuele gerichtheid, strafrechtelijke veroordelingen en strafbare feiten.
Howest MaM verwerkt deze gegevens in principe niet. Bij bepaalde events is het mogelijk dat dergelijke sensitieve gegevens kunnen worden afgeleid uit de inhoud van het event. Howest MaM zal in elk geval geen enkele profilering uitvoeren op basis van deze gegevens. Howest MaM heeft ook geen toegang tot dergelijke gegevens waarover Howest zou beschikken binnen haar onderwijs-opdracht. In verband met gezondheid zijn er tevens de verwerkingen om afwezigheden te registreren bij deelnemers en medewerkers, arbeidsongevallen en andere ongevallen. Bepaalde ziektes en allergieën kunnen tevens minimaal geregistreerd worden met het oog op preventie (op het werk, tijdens cursussen, tijdens events). De Vlaamse wetgeving vereist een uittreksel uit het strafregister bij aanwerving van ambtenaren om aan te tonen dat de sollicitant een blanco strafregister heeft. Het vragen van dit uittreksel is dan ook beperkt tot dit specifiek doel.
Geautomatiseerde besluitvorming : Howest MaM maakt in geen geval gebruik van geautomatiseerde individuele besluitvorming (inclusief profilering) in de betekenis van GDPR artikel 22.
Wie heeft toegang tot deze persoonsgegevens?
Toegangscontrole
Howest is de verwerkingsverantwoordelijke. Dat wil zeggen dat wij bepalen welke gegevens we verzamelen en waarvoor. In juridische termen bepalen wij dus het doel van de verwerking. Maar dat betekent niet dat iedere medewerker van Howest of Howest MaM zomaar toegang heeft tot alles. Je persoonsgegevens komen enkel bij de diensten en de medewerkers die ze nodig hebben voor hun werk. Een groot deel van de IT-toegangscontrole wordt bovendien gelogd voor controle van de naleving van de Fair Use Policy van Howest IT.
Voor sommige diensten (bv IT, sociaal secretariaat, marketing, catering) werken we samen met gespecialiseerde partners. Deze partners kunnen tijdens deze interventies toegang hebben tot jouw data maar handelen daarbij altijd volgens onze richtlijnen vastgelegd in een contract dat garandeert dat zij dezelfde hoge privacy-standaarden gebruiken. Zij kunnen de persoonsgegevens niet voor een ander doel gebruiken.
Soms is Howest niet de enige verwerkingsverantwoordelijke. Dat is bijvoorbeeld het geval bij gezamenlijke organiseren van events of bij bepaalde vormen van samenwerking met social media platformen.
Transfers van persoonsgegevens
We wisselen ook persoonsgegevens uit met een aantal overheden en organisaties. We geven je persoonsgegevens echter nooit zomaar aan anderen. We doen dit enkel als daarvoor een rechtmatige grond bestaat.
Social media berichten worden gepost op de respectieve platformen (dit omvat onder meer Facebook, Twitter, LinkedIn, Flikr, YouTube, Instagram, Snapchat, Eventbrite). Met het oog op de optimalisatie van deze social media berichten is er samenwerking met een externe partij die deze posts verder verwerkt. Deze externe partij is verwerker in opdracht van Howest en gebruikt deze gegevens enkel binnen zijn opdracht met Howest.
Howest maakt gebruik van (marketing)diensten van derden, zoals Facebook, om zich op een specifieke doelgroep te kunnen richten via sociale media. Dit kan gebeuren met Facebook look-a-like audiences waarbij Howest MaM (relevante) data van deelnemers, aan een MaM event, product of dienst, doorgeeft aan Facebook met als doel dat Facebook dan een advertentie toont aan profielen die gelijkaardig zijn aan de profielen van de eerdere deelnemers, die wij als input gaven. Facebook biedt een aantal garanties op het vlak van deze transfers (onder meer pseudonimizering via hashing). Het eigenlijke tonen van de advertentie valt onder de Facebook verantwoordelijkheid en privacyverklaring. De rechtsgrond voor deze transfer door Howest MaM is toestemming (indien cookies worden doorgegeven) of gerechtvaardigd belang (indien geen cookies worden doorgegeven en het betreft eerdere deelnemers).
Howest maakt met het oog op het invullen van vacatures ook gebruik van persoonsgegevens bekomen via LinkedIn Recruiter. De rechtsgrond voor deze transfer berust volledig bij LinkedIn.
Persoonsgegevens worden aan derden bezorgd, als deze is gebaseerd op een wettelijke grondslag. Persoonsgegevens worden aan derden bezorgd waarmee Howest MaM samenwerkt in het kader van direct marketing.
Persoonsgegevens worden enkel aan deze derden bezorgd indien de betrokkene hiervoor toestemming heeft verleend en/of geen recht van bezwaar heeft gebruikt.
Bij de organisatie van events zal Howest MaM de noodzakelijke persoonsgegevens doorgeven aan andere partijen betrokken bij de organisatie van dit event. De rechtsgrond is hier de oorspronkelijke inschrijving om aan het event deel te nemen (meestal overeenkomst of uitzonderlijk toestemming).
Howest MaM maakt gebruik van Office 365 en Google Drive. Een deel van de persoonsgegevens (ook email) worden dus gestockeerd binnen deze platformen. Er zijn ook enkele meer specifieke cloud platformen, zoals bv voor sommige video-opnames (Panopto beheerd door Panopto), voor chats (LiveZilla beheerd door LiveZilla en Unibuddy beheerd door Unibuddy), voor diverse virtuele machines (Azure beheerd door Microsoft). Howest heeft contracten met al deze partijen die de gepaste garanties bieden op het vlak van gegevensbescherming en informatiebeveiliging.
De vermelde ontvangers kunnen zich bevinden in locaties buiten de Europese Economische Ruimte (EER). In dat geval wordt de bescherming van je gegevens verzekerd doordat deze zich bevinden in landen die beschikken over een adequaatheidsbesluit van de Europese Commissie, of doordat er gepaste contractuele bepalingen werden afgesloten met deze ontvangers.
De rechtsgronden voor deze transfers zijn wettelijke verplichtingen, noodzakelijk voor de overeenkomst of gerechtvaardigd belang. Waar toestemming wordt gebruikt als rechtsgrond, wordt dit steeds apart vermeld.
De veiligheid en bewaartermijnen van persoonsgegevens
Howest MaM bewaart de persoonsgegevens nooit langer dan nodig. Voor een aantal van de genoemde verwerkingen is er een wettelijke minimumtermijn, die wordt nageleefd.
De bewaartermijn van cookies wordt beschreven in het cookiebeleid.
Persoonsgegevens verwerkt naar aanleiding van een eventregistratie worden bewaard gedurende de daartoe door de betrokkene toegestane termijn. Omdat deze gegevens vaak ook worden gebruikt voor een uitnodiging tot een vervolg-event, is dit meestal 3 jaar.
Persoonsgegevens van personeelsleden worden bijgehouden zolang deze een relatie hebben met Howest, met uitzondering van die gegevens waarvoor het personeelslid zelf de toestemming heeft gegeven tot een langere bewaartermijn en met uitzondering van die gegevens die op een wettelijke basis langer moeten worden bewaard.
Persoonsgegevens van derden (medecontractanten) worden bijgehouden voor de duur die nodig is voor de uitvoering van de aangegane contractuele afspraken.
Persoonsgegevens van deelnemers aan een onderzoek en/of enquête worden bewaard in overeenstemming met de termijn aangegeven in de vooraf verleende “informed consent”, indien van toepassing.
Voor sommige specifieke cloud platformen (bv Teams video opnames) wordt de bewaartermijn bepaald door het cloud platform. Voor Teams bedraagt deze default 1 jaar. Voor de andere platformen wordt deze bepaald door het doel waarvoor de data worden verwerkt.
Informatiebeveiliging is een noodzakelijke voorwaarde voor bescherming van persoonsgegevens. Howest zorgt daarom voor passende technische en organisatorische maatregelen om de confidentialiteit, integriteit en beschikbaarheid van persoonsgegevens te garanderen, en deze te beveiligen tegen enige vorm van verlies of onrechtmatige verwerking.
Howest heeft een informatiebeveiligings- en privacybeleid uitgewerkt, gebaseerd op de internationaal erkende standaard voor informatiebeveiliging ISO/IEC 27001 en bestaande uit meer algemene en meer praktische richtlijnen. Dit beleid wordt op regelmatige basis aangevuld en geactualiseerd. Bovendien worden op basis van risicoanalyses, controles en audits uitgevoerd op geselecteerde toepassingen of verwerkingen.
Howest besteedt in dit beleidsdocument de nodige aandacht aan algemene principes zoals:
Howest organiseert tevens bewustmakingscampagnes zodat de regels beschreven in dit informatiebeveiligings- en privacybeleid actief worden gecommuniceerd.
Rechten van betrokkenen in het kader van de verwerking van de persoonsgegevens
Welke rechten heb je in het kader van de verwerking van de persoonsgegevens?
Afhankelijk van het doeleinde en de rechtsgrond op basis waarvan Howest persoonsgegevens verwerkt, kunnen de betrokken individuen volgende rechten uitoefenen:
Hoe kan je als betrokkene deze rechten uitoefenen?
Om een beroep te doen op deze rechten, kan je ons contacteren om jouw rechten uit te oefenen, vergezeld van een motivatie voor jouw vraag. Om zekerheid te verkrijgen over de gegrondheid van een aanvraag of de identiteit van een aanvrager kan Howest om aanvullende informatie vragen. Howest behoudt zich het recht voor om, mits gemotiveerde redenen, geen gevolg te geven aan een aanvraag. Dit is bijvoorbeeld wanneer een aanvraag kennelijk ongegrond of buitensporig is.
Om deze rechten uit te oefenen, maar ook voor verdere vragen over de verschillende rechten en plichten op het gebied van gegevensbescherming, of indien je meent dat je persoonsgegevens onterecht en/of onjuist worden verwerkt door Howest, kan je terecht bij de Functionaris Gegevensbescherming (Data Protection Officer) van Howest via privacy@howest.be.
Andere contactgegevens vind je in de sectie “Contact”.
Als je meent dat er onvoldoende gevolg werd gegeven aan een verzoek of klacht, kan je je, naargelang de context, wenden tot de Vlaamse Toezichtcommissie of de federale Gegevensbeschermingsautoriteit:
Vlaamse Toezichtcommissie
Koning Albert II-laan 15, 1210 Brussel
Tel +32 (0)2 553 50 47
Website: https://overheid.vlaanderen.be/vlaamse-toezichtcommissie
Gegevensbeschermingsautoriteit
Drukpersstraat 35, 1000 Brussel
Tel +32 (0)2 274 48 00
Website: https://www.gegevensbeschermingsautoriteit.be
Andere regels, andere privacyverklaringen
Dit document bevat niet alle toepasselijke regels in verband met verwerking van persoonsgegevens. Er zijn ook enkele andere documenten:
Omwille van het specifieke karakter van Howest MaM dat volledig los staat van de werking van Howest, is er een eigen website met een specifieke privacyverklaring.
Wijzigingen aan de privacyverklaring
Onze diensten zijn voortdurend onderhevig aan verandering. Deze privacyverklaring kan dan ook van tijd tot tijd worden bijgewerkt om veranderingen in de manier waarop wij werken of in de wetgeving weer te geven. Je kan dit dus elke keer dat je persoonlijke informatie aan ons verstrekt, controleren. De datum van de meest recente herzieningen zal steeds worden vermeld in de titel van deze privacyverklaring.
Als er belangrijke wijzigingen in de Privacyverklaring worden aangebracht, bijvoorbeeld wijzigingen die van invloed zijn op de manier waarop we jouw persoonlijke informatie willen gebruiken, zullen we dit op een meer rechtstreekse manier aan jou meedelen (inclusief, voor bepaalde diensten, kennisgeving van wijzigingen in de privacyverklaring per e-mail).