Privacyverklaring Howest
(versie: 27/02/2023)
Howest hecht een groot belang aan jouw privacy. Wij verwerken daarom uitsluitend die persoonsgegevens die noodzakelijk zijn voor onze werking en om jou een optimale service te kunnen aanbieden. Wij gaan zorgvuldig om met de informatie die wij over jou hebben verzameld.
Deze privacyverklaring beschrijft welke gegevens over jou door ons worden verzameld, met welk doel deze gegevens worden gebruikt en met wie en onder welke voorwaarden deze gegevens eventueel met derden kunnen worden gedeeld. Ook leggen wij uit op welke wijze wij jouw gegevens opslaan en hoe wij jouw gegevens tegen misbruik beschermen en welke rechten je hebt met betrekking tot jouw persoonsgegevens.
Wij verzamelen en verwerken persoonsgegevens van betrokkenen. Met betrokkenen bedoelen wij:
- Studenten
- Personeelsleden, lectoren, gastprofessoren, onderzoeksmedewerkers, jobstudenten, vrijwilligers
- Sollicitante (vrij of in verband met een vacature bij Howest)
- Medewerkers die in onderaanneming bepaalde diensten leveren (bv catering)
- Externe dienstverleners (bv onderhoud van een door ons gebruikt software pakket)
- (potentiële) kandidaat-studenten
- Deelnemers/bezoekers aan evenementen, congressen, contactdagen, infodagen, opdrachten als dienstverlening aan organisaties, beurzen, …
- Externe contacten (bv leraars of andere medewerkers middelbaar onderwijs, (potentiële) stagebedrijven, (potentiële) leveranciers, (potentiële) sprekers, perscontacten, werkveldcommissies)
- Ex-studenten (alumni)
- Ex-personeelsleden, oud-lectoren, oud-gastprofessoren, ex-onderzoeksmedewerkers
- Bezoekers van onze website(s)
- Enzovoort
Als je vragen hebt over ons privacybeleid kan je contact opnemen met onze contactpersoon voor privacyzaken. Je vindt de contactgegevens in de sectie “Contact” van dit document.
De onlineversie van dit document is steeds de meest up-to-date versie. Deze kan je vinden op https://www.howest.be/nl/privacy-and-copyrights.
Contact
De verantwoordelijke van deze verwerking van persoonsgegevens is Howest, met hoofdzetel te Marksesteenweg 58, 8500 Kortrijk en telefoonnummer +32 56 241290. Onze andere adressen en telefoonnummers vind je op onze website https://www.howest.be. Indien je vragen hebt over deze privacyverklaring kan je steeds contact met ons opnemen.
De Functionaris voor Gegevensbescherming (Data Protection Officer) van Howest bereik je best via email: privacy [at] howest.be (privacy[at]howest[dot]be).
Wat zijn persoonsgegevens en wat betekent verwerking?
Persoonsgegevens omvatten alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“betrokkene”); Met jouw naam of rijksregisternummer weten we onmiddellijk (rechtstreeks) wie jij bent, maar ook met een combinatie van je adres, leeftijd en geslacht (onrechtstreeks) kunnen wij of een andere partij jou in bepaalde mate herkennen. Persoonsgegevens zijn dus alle gegevens die men op de een of andere manier aan jou kan koppelen, zoals e-mailadres, telefoonnummer of zelfs IP-adres (het internetadres van je computer).
Verwerking van persoonsgegevens betekent elke bewerking, zoals verzamelen, vastleggen, opslaan, raadplegen, gebruiken, bijwerken, doorzenden, ter beschikking stellen, wissen, …
Welke persoonsgegevens verwerken wij en met welk doel?
Howest waakt erover dat de verwerking van persoonsgegevens beperkt blijft tot de beoogde doelstelling(en). Howest verwerkt persoonsgegevens om deze te kunnen verwezenlijken.
Onderwijs- en onderzoeksaangelegenheden
Dit gaat over de registratie, beheer, optimalisatie en controle in verband met:
- Studentenadministratie (dit omvat onder meer toelatingsflow, inschrijven, uitschrijven, resultaten communiceren, studentendossier, studiepunten, leerkrediet, diploma, publicatie diploma-boekje, studietrajecten, studietoelagen, facturatie, studentenraad, schoolongevallen, educatief verlof, huurcontracten, verloren diploma’s, registratie overlijden)
- Onderwijslogistiek (dit omvat onder meer lokalen, lesroosters)
- Organisatie van de opleidingen (dit omvat onder meer leervolgsysteem, registratie aanwezigheden, registratie deelname evaluatie, opdelen in groepen, opvolging, coaching, evaluatie inclusief mogelijkheid tot beroep, monitoraat, mentoraat, deliberatie, educatieve uitstappen, opnemen en verspreiden van sommige lessen, instaptoets, plagiaat-detectie)
- Organisatie van de stages en projecten (dit omvat onder meer stagemarkt, stageplaatsen, stagerapporten)
- Werkveldcontacten (dit omvat onder meer organisatie van seminaries en andere contacten met werkveld, dienstverlening, start-ups)
- Onderzoeksdossiers (dit omvat onder meer aanmaken dossier, doorsturen dossier aan partners en subsidie-organisatie, gebruikersgroep)
- Enquêtes in het kader van onderzoeken
- Bibliotheek (inclusief archiveren en ter beschikking stellen van bachelor-proeven van studenten)
- Organisatie van internationalisering (dit omvat onder meer opvolging, mobiliteitsdossier)
- Uitstroombegeleiding
Sommige lessen worden opgenomen met het oog op het nadien online beschikbaar stellen voor de studenten (inclusief andere studentengroepen). De studenten zijn op de hoogte van deze opnames en komen in principe nooit in beeld. Indien vragen gesteld worden, kan de student vragen de opname te stoppen. In bepaalde gevallen kan ervoor gekozen worden, mits toestemming van de student, om de student in beeld te brengen, bv bij praktische proeven. Het is ook mogelijk dat een student, als onderdeel van coaching of evaluatie, zelf een filmpje maakt en dit doorgeeft aan de lector. Indien de lector dergelijk filmpje voor een ander doel dan coaching of evaluatie van de betrokken student wil gebruiken en dit ook aan andere studenten wil laten zien, zal dit enkel kunnen mits toestemming van de betrokken student.
Bij sommige evaluaties via online-systemen kan Howest eisen dat dit via een bepaalde tool en technologie wordt gemonitord. Om het examen of andere evaluatie op een eerlijke en correcte manier te laten verlopen, zijn we genoodzaakt in de eerste plaats om de identiteit te controleren. Bij een klassiek examen gebeurt dit eveneens, zoals vooropgesteld door het OER (Onderwijs- en examenreglement), waarbij de student te allen tijde zijn identiteit moet kunnen bewijzen aan de examinator of toezichter aan de hand van de studentenkaart of identiteitskaart. Daar het nu om een digitaal examen gaat, gebeurt deze identificatie met gebruik van de camera. Als onderdeel van de aanmeldprocedure kan iemand van Howest na afloop van het examen manueel de identiteit van de student controleren op basis van de foto van de studentenkaart.
Met het oog op mogelijke fraude (in verleden, heden of toekomst) en/of voorkomen of afhandelen van cybersecurity aanvallen worden ook andere elementen geregistreerd, zoals het IP-adres, tijdstip en duurtijd van het gebruik van de tool (soms opgesplitst per vraag/antwoord), de login-gegevens, bezochte websites, scherminhoud, informatie over de gebruikte computer en connectie, andere beschikbare informatie. Deze informatie wordt dan verder verwerkt voor detectie van fraude en/of cybersecurity aanvallen, inclusief correlaties tussen log-informatie onderling en in combinatie met andere informatie (bv aanwezigheidsregistratie), bepalen of training van patronen van “normaal” gedrag en detectie van anomalieën. Deze informatie wordt tevens gebruikt om de weerstand tegen fraude of cyberaanvallen of de detectie in de toekomst verder te verbeteren.
Tijdens het examen kan de camera door middel van audio-, video- en foto-opnames van zowel het scherm als de student (en zijn omgeving) gebruikt worden om op onregelmatigheden te controleren. In de opnames kunnen onregelmatigheden gedetecteerd worden zodat deze in geval van een mogelijke onregelmatigheid manueel kunnen worden geverifieerd. De opnames worden enkel gebruikt met het doel mogelijke onregelmatigheden (en inbreuken tegen het OER) te detecteren.
Sommige tools gebruikt bij online examens detecteren ook welke software op jouw computer draait om te garanderen dat er geen fraude kan gepleegd worden. Deze tools rapporteren de gedetecteerde software en weigeren dan op te starten. De informatie in verband met de op de computer van de student gevonden software wordt in deze gevallen niet doorgestuurd. In geval de gevonden software of informatie kan wijzen op mogelijke fraude of voorbereiding van fraude, wordt de gedetailleerde log-informatie echter wel doorgestuurd naar het hosting platform van deze software (in geval van externe hosting) en wordt deze log-informatie nadien ook verwerkt door Howest met het oog op bewijsvoering of afhandeling van fraude.
Bij het inschrijven van de studenten wordt de elektronische identiteitskaart ingelezen om de accuraatheid van de gegevens in ons studentenadministratiesysteem te garanderen. Dit is onder meer nodig voor de koppeling met de Databank Hoger Onderwijs (DHO) van de Vlaamse Overheid, en om correcte creditbewijzen en diploma’s te kunnen opmaken.
In sommige gevallen worden ook een aantal sociale gegevens verzameld bij de inschrijving. Deze gegevens worden in de mate van het mogelijke via anonimisering of pseudonimisering verder verwerkt met het oog op het gerechtvaardigd belang ter bevordering van onderwijs- en loopbaankansen. Ook gegevens in verband met migratie-achtergrond worden op analoge wijze verwerkt, dit echter met als rechtsgrond toestemming.
Voor enquêtes is er steeds een “informed consent” waarin de nodige afspraken worden vastgelegd.
De rechtsgronden voor de verwerkingen in deze categorie onderwijs- en onderzoek zijn vooral onze verplichtingen inzake de overeenkomst om onderwijs te bieden en de wettelijke verplichtingen die aan een onderwijsinstelling worden opgelegd (dit bevat onder andere ook de transfer aan VDAB in verband met vdab-opleidingstrajecten). Ook de uitstroombegeleiding maakt onderdeel uit van de verplichtingen inzake de overeenkomst om onderwijs te geven. Een klein aantal verwerkingen zijn op toestemming of specifieke overeenkomst gebaseerd (bv vrijwillige deelname aan een studenten-event of aan een enquête). De contacten met het werkveld vallen onder gerechtvaardigd belang.
Personeelsaangelegenheden
Dit gaat over de registratie, beheer, optimalisatie en controle in verband met:
- Personeel (dit omvat onder meer personeelsdossier, aanwerving, ontslag, tijdelijke contracten, contracten met gastprofessoren, sollicitanten, vrijwilligers, interne jobstudenten, interne stagiairs, loonadministratie, andere vergoedingen, contactgegevens in geval van nood)
- Loopbaan (dit omvat onder meer verlof, ziekte, overuren, benoemingen, pensioneringen, overlijden, loopbaanonderbreking, cumulactiviteiten, schuldbemiddeling en loonbeslag, uur-registratie, opvolgen van de werkplanning)
- Het welzijn en functioneren van onze medewerkers (dit omvat onder meer evaluaties van medewerkers, opleidingen en competenties van medewerkers, medische checks, arbeidsongevallen, ergonomie, campagnes met het oog op verbeteren van organisatie of welzijn, organisatie van bewustwordingscampagnes, team-events)
- Diverse (dit omvat onder meer bedrijfsvoertuigen, abonnementen openbaar vervoer, verzekeringen, bestuurders en aandeelhouders, melden van nieuwe aanwervingen via intern bedrijfskanaal)
De rechtsgronden voor deze verwerkingen zijn vooral onze verplichtingen inzake de arbeidsovereenkomst en onze wettelijke verplichtingen. Een klein aantal verwerkingen zijn op toestemming of specifieke overeenkomst gebaseerd (bv vrijwillige deelname aan een personeelsevent).
Bedrijfsvoering
Dit gaat over de registratie, beheer, optimalisatie en controle in verband met:
-
Marketing (dit omvat onder meer verzamelen van data i.v.m. de potentiële studenten met het oog op marketing, verzamelen van data i.v.m. de ouders van deze studenten, beeldmateriaal, verzenden van mailings of nieuwsbrieven, beheer van perscontacten, verzenden van persberichten, verzenden en opvolgen van social media berichten, verzenden en opvolgen van berichten via chat op de Howest website, organiseren van events voor doelgroepen)
-
Kwaliteitszorg of andere optimalisatie-doelen (dit omvat onder meer instroom- en uitstroom enquêtes, andere enquêtes, module-bevragingen, analytics van gebruik van leerplatform)
-
IT (dit omvat onder meer accounts en autorisaties in diverse systemen nodig voor de betrokkene, print-beheer, laptops, telefoons en bijhorende abonnementen, monitoring van de systemen, quota, licenties, geprivilegieerde accounts, communicatiemiddelen)
-
Alumni-werking (dit omvat onder meer up-to-date houden van de data, uitnodigen tot bepaalde events en vervolgopleidingen)
-
Gebouw (dit omvat onder meer badges, sleutels, alarmcodes, camerabewaking, onderhoud en meldingen, lockers, registratie bezoekers, reservatie parking, verhuren van lokalen)
-
Sponsoring en giften (dit omvat onder meer : het versturen van een bedankingsbrief; in geval van sponsoring het afsluiten van een sponsoringsovereenkomst; in geval van een schenking of gift het opmaken van een fiscaal attest.
In geval van een schenking of gift, laat de wet toe dat Howest als Hoger Onderwijsinstelling een fiscaal attest opmaakt. Bij sponsoring kan een organisatie een welbepaalde tegenprestatie ontvangen, bijvoorbeeld de vermelding van de naam en/of logo op de website. Voor een sponsoringsovereenkomst ontvangt de organisatie een factuur, waarop de BTW wetgeving van toepassing is. -
Contact tracing op de campus (dit omvat onder meer het verzamelen van data, bestaande uit registratie van locatiegegevens via qr-codes en contactgegevens, en opvolging, contacteren van personen die in contact kwamen met een besmette persoon, met als doel de verspreiding van covid-19 op campus te beperken).
-
Diverse (dit omvat onder meer ombudsvragen, registratie en uitbetaling onkosten, budgetbeheer, goedkeuring en controleren aankopen, boekhouding, archiveren, aanvragen betrokkenen in het kader van verwerking van persoonsgegevens, psychosociale en sociale dienstverlening).
Alle foto's en ander beeldmateriaal die genomen worden binnen een Howest context (les, infodag, examen, project, presentatie, fysieke vergadering, online vergadering, event, ...) door een fotograaf of door een personeelslid van Howest, dienen steeds om verspreid te worden via alle mogelijke Howest kanalen. Het gaat dus over het nemen van de foto, maar ook over social media of website publicatie in verband met dit specifiek event, social media of website publicatie binnen een meer algemene marketing context, gebeurlijk tagging en eventuele andere kanalen met marketing- of onderwijsdoeleinden (brochures, Howest beurzen, persberichten, …). Tijdens het event kan hierover eventueel meer specifieke informatie gegeven zijn bij onthaal of inschrijving. Als je toestemt dat een dergelijke foto waarop jij herkenbaar bent, genomen wordt (dit kan ook impliciet door bv. te poseren), omvat deze toestemming deze brede vorm van gebruik. Zoals steeds heb je het recht om geen toestemming te geven of om je toestemming in te trekken. De meest eenvoudige manier is om dit meteen te melden aan de fotograaf die de foto onmiddellijk zal wissen. Intrekken van de toestemming kan natuurlijk ook later via een eenvoudig bericht en conform de relevante wetgeving. In sommige gevallen kan Howest ervoor kiezen om een extra overeenkomst te maken die alle specifieke vormen van gebruik verder opsomt en een expliciete afstand van het portretrecht inhoudt.
Monitoring van de IT systemen gebeurt met gerechtvaardigd belang en heeft als doel de goede werking van de systemen te kunnen blijven garanderen waarbij anomalieën in gebruik worden geanalyseerd, met het oog op beveiliging en naleven van de Fair Use Policy van Howest IT.
Video-conference communicatiemiddelen zoals Microsoft Teams worden gebruikt voor communicatie-doeleinden. Deze gesprekken kunnen ook worden opgenomen door één van de deelnemers indien dit noodzakelijk is voor het doel (bv bij evaluaties om dit nadien te kunnen herbekijken voor verdere evaluatie of detectie fraude of mogelijkheid tot beroep). Bij chat tools zoals LiveZilla worden standaard de chats opgeslagen zodat Howest nadien in het kader van kwaliteitszorg verbeteracties kan identificeren om zo de service te verbeteren. De standaard te gebruiken communicatiemiddelen worden vermeld in de Fair Use Policy van Howest IT. Andere tools kunnen slechts gebruikt worden na een succesvolle screening.
Marketing data worden verzameld via organisatie van of deelname aan bepaalde events (bv SID-ins, Knappe Koppen, open lesdagen, congressen, beurzen). Marketing acties gebeuren steeds conform de wetgeving, en dus (naargelang de specifieke context) op basis van toestemming of op basis van gerechtvaardigd belang.
De analytics van het gebruik van het leerplatform en andere specifieke platformen worden enkel gebruikt met het oog op kwaliteitszorg en worden niet gebruikt voor de evaluatie van de student.
Kwaliteitszorg omvat tevens het archiveren (en in bepaalde gevallen aggregeren) van persoonsgegevens met het oog op de opvolging van de kwaliteit op lange termijn.
Alumni-werking, kwaliteitszorg en een groot deel van de IT en diverse verwerkingen gebeuren in het kader van gerechtvaardigd belang.
De verzamelde gegevens van contact tracing op de campus worden intern bijgehouden gedurende 14 dagen waarna deze worden vernietigd. Enkel bij melding van een besmetting zullen deze gegevens gebruikt worden door een medewerker die functioneert als interne contact tracer voor de dienst voor preventie en bescherming IDEWE en zal deze dienst op basis van de data beheerd door deze applicatie, de met deze besmetting gerelateerde gegevens opvragen. Via deze aanvullende risicoanalyse kunnen eventuele bijkomende maatregelen worden getroffen, zoals het contacteren van de andere mogelijke besmette personen, het evalueren en bijsturen van bestaande maatregelen en het lokaliseren van mogelijke besmettingshaarden van COVID-19. De verwerkingen in het kader van contact tracing hebben toestemming als wettelijke grond. De verwerkingen in het kader van sponsoring hebben overeenkomst als wettelijke grond.
Websites
Dit gaat over:
- Verwerken van contactformulieren (bv vraag om informatie, inschrijving evenement)
- Verwerken van al dan niet voorlopige inschrijvingen studenten (inclusief inlezen e-id gegevens)
- Verwerken van cookies (zie hiervoor ons specifiek cookiebeleid)
- Verzamelen en verwerken van gegevens met het oog op de beveiliging van onze website(s) en garantie van goede werking
Het grootste deel van de informatie is via de websites beschikbaar zonder de noodzaak om jouw persoonsgegevens te vragen of te verzamelen. Bepaalde persoonsgegevens zoals onder meer cookies worden aangewend voor de samenstelling van onze gebruikersstatistieken en voor de beveiliging en verbetering van onze websites. Meer hierover vind je in ons cookiebeleid. De rechtsgrond voor deze verwerking is toestemming (voor de meeste cookies) of noodzakelijk voor de levering van de gevraagde dienst (in de andere specifieke gevallen).
Contactformulieren vermelden steeds hun specifiek doel. Dit is vaak marketing, informatie, contact of inschrijving (opleiding of event). Verwerken van cookies gebeurt in de meeste gevallen met toestemming, maar dit wordt verder uitgewerkt in het cookiebeleid. Beveiliging en garantie goede werking websites gebeurt met gerechtvaardigd belang.
De websites die deel uitmaken van de leeromgeving hebben als rechtsgrond de overeenkomst voor de opleiding.
Howest heeft ook de verantwoordelijkheid voor enkele specifieke websites bv voor bepaalde projecten binnen opleidingen. Deze specifieke websites hebben een eigen privacyverklaring en kunnen voor enkele algemeenheden wel verwijzen naar deze privacyverklaring.
Bijzondere categorieën persoonsgegevens
Binnen GDPR (General Data Protection Regulation, Algemene Verordening Gegevensbescherming, Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016), artikels 9 en 10 worden enkele bijzondere categorieën persoonsgegevens gedefinieerd als gegevens in verband met ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gezondheid, seksueel gedrag of seksuele gerichtheid, strafrechtelijke veroordelingen en strafbare feiten.
Howest verwerkt deze gegevens slechts in de volgende uitzonderlijke omstandigheden:
- Biometrische gegevens met het oog op de unieke identificatie worden niet verwerkt. Online evaluaties maken in bepaalde gevallen wel gebruik van een (web-)camera, maar hierbij gebeurt geen verwerking met het oog op identificatie zodat dit geen verwerking is binnen deze bijzondere categorie van persoonsgegevens. Hetzelfde geldt voor de pasfoto’s van de studenten. Ook hier gebeurt geen verwerking met het oog op identificatie.
- Gegevens in verband met gezondheid van studenten worden als onderdeel van talent coaching en studentenvoorzieningen (onder meer verlenen van faciliteiten), verwerkt met de expliciete toestemming van de betrokkene. Deze gegevens zijn ook enkel toegankelijk voor die medewerkers die deze gegevens nodig hebben.
- In verband met gezondheid zijn er tevens de verwerkingen om afwezigheden te registreren bij studenten en werknemers, arbeidsongevallen en schoolongevallen. Bepaalde ziektes en allergieën kunnen tevens minimaal geregistreerd worden met het oog op preventie (op het werk, tijdens cursussen, tijdens events).
- De Vlaamse wetgeving vereist een uittreksel uit het strafregister bij aanwerving van ambtenaren om aan te tonen dat de sollicitant een blanco strafregister heeft. Het vragen van dit uittreksel is dan ook beperkt tot dit specifiek doel.
Geautomatiseerde besluitvorming
Howest maakt in sommige gevallen gebruik van geautomatiseerde individuele besluitvorming, waar een evaluatie wordt automatisch uitgevoerd die dan resulteert in een toekenning van punten. In deze gevallen is de rechtsgrond hiervoor dat dit noodzakelijk is voor de uitvoering van een overeenkomst tussen Howest en de betrokkene. In elk geval heeft de student steeds het recht een menselijke tussenkomst te vragen.
Howest doet op geen enkele wijze aan profilering.
In die gevallen waar een geautomatiseerd hulpmiddel gebruikt wordt voor de detectie van een mogelijke anomalie bij een online examen, is dit slechts een hulpmiddel dat aangeeft welke delen van een online examen moeten worden nagekeken via menselijke tussenkomst.
Wie heeft toegang tot deze persoonsgegevens?
Toegangscontrole
Howest is de verwerkingsverantwoordelijke. Dat wil zeggen dat wij bepalen welke gegevens we verzamelen en waarvoor. In juridische termen bepalen wij dus het doel van de verwerking. Maar dat betekent niet dat iedere medewerker van Howest zomaar toegang heeft tot alles. Je persoonsgegevens komen enkel bij de diensten en de medewerkers die ze nodig hebben voor hun werk. Een groot deel van de IT-toegangscontrole wordt bovendien gelogd voor controle van de naleving van de Fair Use Policy van Howest IT.
Voor sommige diensten (bv IT, sociaal secretariaat, marketing, catering) werken we samen met gespecialiseerde partners. Deze partners kunnen tijdens deze interventies toegang hebben tot jouw data maar handelen daarbij altijd volgens onze richtlijnen vastgelegd in een contract dat garandeert dat zij dezelfde hoge privacy-standaarden gebruiken. Zij kunnen de persoonsgegevens niet voor een ander doel gebruiken.
Soms is Howest niet de enige verwerkingsverantwoordelijke. Dat is bijvoorbeeld het geval bij gezamenlijke organiseren van events of bij bepaalde vormen van samenwerking met social media platformen.
Transfers van persoonsgegevens
We wisselen ook persoonsgegevens uit met een aantal overheden en organisaties. We geven je persoonsgegevens echter nooit zomaar aan anderen. We doen dit enkel als daarvoor een rechtmatige grond bestaat.
Social media berichten worden gepost op de respectieve platformen (dit omvat onder meer Facebook, Twitter, LinkedIn, Flikr, YouTube, Instagram, Snapchat, Eventbrite). Met het oog op de optimalisatie van deze social media berichten is er samenwerking met een externe partij die deze posts verder verwerkt. Deze externe partij is verwerker in opdracht van Howest en gebruikt deze gegevens enkel binnen zijn opdracht met Howest.
Howest maakt gebruik van (marketing)diensten van derden, zoals Facebook, om zich op een specifieke doelgroep te kunnen richten via sociale media. Dit kan gebeuren met Facebook look-a-like audiences waarbij Howest (relevante) data van studenten, die zijn of waren ingeschreven in een Howest opleiding, doorgeeft aan Facebook met als doel dat Facebook dan een advertentie toont aan profielen die gelijkaardig zijn aan de profielen van de studenten, die zijn of waren ingeschreven in een Howest opleiding, die wij als input gaven. Facebook biedt een aantal garanties op het vlak van deze transfers (onder meer pseudonimizering via hashing). Het eigenlijke tonen van de advertentie valt onder de Facebook verantwoordelijkheid en privacyverklaring. De rechtsgrond voor deze transfer door Howest is toestemming (indien cookies worden doorgegeven) of gerechtvaardigd belang (indien geen cookies worden doorgegeven en het betreft studenten die ingeschreven zijn in een Howest opleiding).
Howest maakt met het oog op het invullen van vacatures ook gebruik van persoonsgegevens bekomen via LinkedIn Recruiter. De rechtsgrond voor deze transfer berust volledig bij LinkedIn.
Omwille van wettelijke verplichtingen is er tevens een gegevenstransfer met de door AHOVOKS beheerde Databank Hoger Onderwijs (DHO). Howest stuurt alle gegevens met betrekking tot inschrijving en resultaten naar de databank, en kan de databank raadplegen in het kader van persoonsgegevens, en eerdere studies. AHOVOKS is een Vlaams overheidsagentschap.
Persoonsgegevens worden aan derden bezorgd, als deze is gebaseerd op een wettelijke grondslag.
Persoonsgegevens worden aan derden bezorgd waarmee Howest of de opleiding samenwerkt in het kader van direct marketing en uitstroombegeleiding naar de arbeidsmarkt of verder studeren. Persoonsgegevens worden enkel aan deze derden bezorgd indien de student/alumnus hiervoor toestemming heeft verleend en/of geen recht van bezwaar heeft gebruikt.
Resultaten van studenten worden gedeeld met hun secundaire school met het oog op hun kwaliteitszorg. Deze transfer gebeurt enkel indien de student hiervoor toestemming verleend heeft bij de eerste inschrijving en/of geen recht van bezwaar heeft gebruikt. De toestemming kan door de student zelf worden beheerd via iBamaFlex.
Voor internationale uitwisselingsstudenten moeten bepaalde persoonsgegevens doorgegeven worden aan de gastinstelling (naam, geslacht, email adres, geboortedatum, nationaliteit, studieprogramma). Dit zijn de gegevens die verzameld worden in het Learning Agreement. De andere informatie (zoals studieresultaten en talenkennis) wordt door de student zelf verstrekt aan de gastinstelling. Howest moet ook vaak online nomineren bij de gastinstelling, waarbij dezelfde basisgegevens gevraagd worden, inclusief eventueel gsm-nummer en adres. De gastinstelling zal Howest informeren over de studieresultaten en stages. Afhankelijk van de financiering van deze uitwisselingen gebeurt er ook met EPOS (dit is het agentschap voor het Erasmus+ programma in Vlaanderen) en de Europese Commissie voor Erasmus gebonden opleidingen een uitwisseling van persoonsgegevens (naam, geslacht, email adres, adres, geboortedatum, nationaliteit, hogeschool/universiteit van bestemming, beurs informatie, behaalde credits). Indien voor deze uitwisseling financiering wordt aangevraagd bij de Vlaamse overheid, worden rijksregisternummer, naam en opleiding doorgegeven aan de Vlaamse overheid (VLUHR).
Moveon is de software/database waarin wij alle persoonsgegevens bijhouden van de studenten die zich inschrijven voor individuele internationale mobiliteit, lang- en kortlopend. De studenten schrijven zichzelf in. Ook internationale incoming studenten die hier op exchange willen komen, moeten zich daarin inschrijven en persoonsgegevens nalaten.
Voor stages bij bedrijven worden de nodige gegevens doorgegeven aan het bedrijf. Het bedrijf informeert nadien Howest over het verloop van de stage. Voor stages bij internationale bedrijven worden via het Learning Agreement for Traineeship exact dezelfde gegevens doorgegeven aan het stagebedrijf als hierboven vermeld bij uitwisselingsstudenten.
Bij de organisatie van events zal Howest de noodzakelijke persoonsgegevens doorgeven aan andere partijen betrokken bij de organisatie van dit event. De rechtsgrond is hier de oorspronkelijke inschrijving om aan het event deel te nemen (overeenkomst of toestemming).
Met het oog op het aanbieden van de gepaste software licenties aan Howest studenten en personeelsleden, heeft Howest een Academic Software samenwerking met Signpost. Om deze service aan te bieden dient Howest de gepaste gegevens door te geven aan Signpost.
Met het oog op het aankopen van studiemateriaal heeft Howest een samenwerking afgesloten met Standaard Boekhandel. Om deze service aan te bieden dient Howest de gepaste gegevens door te geven aan Standaard Boekhandel.
Howest maakt gebruik van Office 365 en Google Drive. Een deel van de persoonsgegevens (ook email) worden dus gestockeerd binnen deze platformen. Er zijn ook enkele meer specifieke cloud platformen, zoals bv voor de leeromgeving (Canvas software beheerd door Instructure), voor video-opnames van lessen (Panopto beheerd door Panopto), voor gebruiksinformatie en opnames bij online examens (Respondus Lockdown Browser en Respondus Monitor software beheerd door Respondus), voor chats (LiveZilla beheerd door LiveZilla en Unibuddy beheerd door Unibuddy), voor repositories met software code (GitHub ClassRoom binnen GitHub Education beheerd door GitHub), voor diverse virtuele machines (Azure beheerd door Microsoft), voor de toelatingsflow voor inschrijving van kandidaat-studenten met een buitenlands diploma (DreamApply beheerd door DreamApply), voor plagiaat-detectie (diverse partners). Howest heeft contracten met al deze partijen die de gepaste garanties bieden op het vlak van gegevensbescherming en informatiebeveiliging.
Eduroam staat voor education roaming. Het is een systeem dat Howest-studenten en personeel toelaat gebruik te maken van de WiFi-infrastructuur van andere organisaties die zijn aangesloten bij Eduroam. Anderzijds wordt het ook binnen Howest gebruikt om aan Europese studenten of personeel van Europese onderwijsinstellingen op een veilige en snelle manier toegang te verlenen tot het internet.
Persoonsgegevens worden aan GUIDO nv bezorgd waarmee Howest een samenwerkingsovereenkomst tussen verwerkingsverantwoordelijken heeft afgesloten in het kader van de ISIC studentenkaarten. Deze kaart is noodzakelijk voor de overeenkomst omdat deze nodig is voor toegangscontrole, identiteitscontrole bij examens en diverse betalingen op campus (automaten, kassa, printers, etc.). Ook wanneer studentenkaarten voor bepaalde specifieke groepen niet standaard worden afgeleverd (maar wel kunnen worden afgeleverd op eenvoudige vraag), worden de persoonsgegevens aan GUIDO nv doorgegeven.
Persoonsgegevens worden aan UGent bezorgd waarmee Howest een samenwerkingsovereenkomst heeft afgesloten in het kader van toegang tot bibliotheek.
Persoonsgegevens worden aan organisaties zoals VDAB bezorgd in het kader van VDAB-opleidingscontracten. Dit omvat aanwezigheidsregistratie, resultaten en betalingsverzoeken.
Voor wettelijke verplichtingen zijn er ook gegevenstransfers in verband met onder meer de overheidsdiensten Dimona (indiensttreding en uitdiensttreding bij de RSZ), Capelo (pensioenen), fiscus, opvragingen in het kader van een gerechtelijk onderzoek.
De vermelde ontvangers kunnen zich bevinden in locaties buiten de Europese Economische Ruimte (EER). In dat geval wordt de bescherming van je gegevens verzekerd doordat deze zich bevinden in landen die beschikken over een adequaatheidsbesluit van de Europese Commissie, of doordat er gepaste contractuele bepalingen werden afgesloten met deze ontvangers.
De rechtsgronden voor deze transfers zijn wettelijke verplichtingen, noodzakelijk voor de overeenkomst of gerechtvaardigd belang. Waar toestemming wordt gebruikt als rechtsgrond, wordt dit steeds apart vermeld.
De veiligheid en bewaartermijnen van persoonsgegevens
Howest bewaart de persoonsgegevens nooit langer dan nodig. Voor een aantal van de genoemde verwerkingen is er een wettelijke minimumtermijn, die wordt nageleefd.
De bewaartermijn van cookies wordt beschreven in het cookiebeleid.
Persoonsgegevens van studenten worden in principe bijgehouden zolang deze een relatie hebben met de hogeschool of op basis van een wettelijke rechtsgrond met bijhorend doel. Proces-verbalen met daarin studentengegevens (naam, voornaam, geboorteplaats, geboortedatum en behaalde resultaten) blijven 50 jaar bewaard. Ook de studentenfiches van de afgestudeerden blijven zo lang bewaard. Daar staan alle studentengegevens in. Het doel is toe te laten dat (oud-)studenten zeer lang na afstuderen (meestal in de buurt van hun pensioendatum) nog een uittreksel kunnen opvragen.
Persoonsgegevens opgegeven bij een online aanmelding worden gedurende een termijn van 5 jaar bijgehouden. Papieren dossiers worden tot 1 jaar na uitschrijven bijgehouden en worden dan vernietigd.
Persoonsgegevens van personeelsleden worden bijgehouden zolang deze een relatie hebben met Howest, met uitzondering van die gegevens waarvoor het personeelslid zelf de toestemming heeft gegeven tot een langere bewaartermijn en met uitzondering van die gegevens die op een wettelijke basis langer moeten worden bewaard.
Persoonsgegevens van derden (medecontractanten) worden bijgehouden voor de duur die nodig is voor de uitvoering van de aangegane contractuele afspraken.
Persoonsgegevens van deelnemers aan een onderzoek en/of enquête worden bewaard in overeenstemming met de termijn aangegeven in de vooraf verleende “informed consent”, indien van toepassing.
Persoonsgegevens verwerkt naar aanleiding van een eventregistratie worden bewaard gedurende de daartoe door de betrokkene toegestane termijn. Omdat deze gegevens vaak ook worden gebruikt voor een uitnodiging tot een vervolg-event, is dit meestal 3 jaar.
Voor sommige specifieke cloud platformen (bv Respondus) wordt de bewaartermijn bepaald door het cloud platform. Voor Respondus bedraagt deze 1 jaar. Voor de andere platformen wordt deze bepaald door het doel waarvoor de data worden verwerkt. Om beroepsmogelijkheden toe te laten bij evaluaties zijn deze bewaartermijnen meestal 1 jaar.
Informatiebeveiliging is een noodzakelijke voorwaarde voor bescherming van persoonsgegevens. Howest zorgt daarom voor passende technische en organisatorische maatregelen om de confidentialiteit, integriteit en beschikbaarheid van persoonsgegevens te garanderen, en deze te beveiligen tegen enige vorm van verlies of onrechtmatige verwerking.
Howest heeft een informatiebeveiligings- en privacybeleid uitgewerkt, gebaseerd op de internationaal erkende standaard voor informatiebeveiliging ISO/IEC 27001 en bestaande uit meer algemene en meer praktische richtlijnen. Dit beleid wordt op regelmatige basis aangevuld en geactualiseerd. Bovendien worden op basis van risicoanalyses, controles en audits uitgevoerd op geselecteerde toepassingen of verwerkingen.
Howest besteedt in dit beleidsdocument de nodige aandacht aan algemene principes zoals:
- Transparantie
- Doelbinding
- Rechtmatigheid
- Noodzakelijkheid
- Integriteit
- Opslagbeperking
- Gegevensbescherming bij ontwerp
- Verantwoordingsplicht
- Contractuele afspraken
Howest organiseert tevens bewustmakingscampagnes zodat de regels beschreven in dit informatiebeveiligings- en privacybeleid actief worden gecommuniceerd.
Rechten van betrokkenen in het kader van de verwerking van de persoonsgegevens
Welke rechten heb je in het kader van de verwerking van de persoonsgegevens?
Afhankelijk van het doeleinde en de rechtsgrond op basis waarvan Howest persoonsgegevens verwerkt, kunnen de betrokken individuen volgende rechten uitoefenen:
- Het recht om te vragen welke persoonsgegevens er verwerkt worden en, in het geval deze gegevens niet direct aan Howest zijn verstrekt, informatie over de bron van deze gegevens na te vragen;
- Het recht om te verzoeken gegevens te corrigeren wanneer zij foutief zijn;
- Het recht om te vragen ‘vergeten te worden’ indien aan een aantal voorwaarden is voldaan;
- Het recht om te vragen bepaalde gegevens aan te leveren die betrokkene kan overdragen aan een andere organisatie;
- Het recht om bezwaar aan te tekenen tegen de verwerking van persoonsgegevens in het kader van volledig geautomatiseerde verwerkingen, tegen gerechtvaardigd belang en tegen marketing;
- Het recht op beperking van gegevensverwerking kan worden ingeroepen als de verwerking niet rechtmatig is, of in afwachting van een beslissing over recht op verbetering of recht op bezwaar.
Hoe kan je als betrokkene deze rechten uitoefenen?
Om een beroep te doen op deze rechten, kan je ons contacteren om jouw rechten uit te oefenen, vergezeld van een motivatie voor jouw vraag. Om zekerheid te verkrijgen over de gegrondheid van een aanvraag of de identiteit van een aanvrager kan Howest om aanvullende informatie vragen. Howest behoudt zich het recht voor om, mits gemotiveerde redenen, geen gevolg te geven aan een aanvraag. Dit is bijvoorbeeld wanneer een aanvraag kennelijk ongegrond of buitensporig is.
Om deze rechten uit te oefenen, maar ook voor verdere vragen over de verschillende rechten en plichten op het gebied van gegevensbescherming, of indien je meent dat je persoonsgegevens onterecht en/of onjuist worden verwerkt door Howest, kan je terecht bij de Functionaris Gegevensbescherming (Data Protection Officer) van Howest via privacy [at] howest.be (privacy[at]howest[dot]be).
Andere contactgegevens vind je in de sectie “Contact”.
Als je meent dat er onvoldoende gevolg werd gegeven aan een verzoek of klacht, kan je je, naargelang de context, wenden tot de Vlaamse Toezichtcommissie of de federale Gegevensbeschermingsautoriteit:
Vlaamse Toezichtcommissie
Koning Albert II-laan 15, 1210 Brussel
Tel +32 (0)2 553 50 47
Website: https://www.vlaanderen.be/vlaamse-toezichtcommissie
Gegevensbeschermingsautoriteit
Drukpersstraat 35, 1000 Brussel
Tel +32 (0)2 274 48 00
Website: https://www.gegevensbeschermingsautoriteit.be
Andere regels, andere privacyverklaringen
Dit document bevat niet alle toepasselijke regels in verband met verwerking van persoonsgegevens. Er zijn ook enkele andere documenten:
- Howest Onderwijs- en examenreglement (OER)
- Fair Use Policy van Howest IT
- Howest informatiebeveiligings- en privacybeleid
Omwille van hun specifieke karakter, hebben Dienst Studentenvoorzieningen en Talent Coaching extra privacyverklaringen, zodat de betrokken studenten die een beroep doen op deze diensten, duidelijke en volledig relevante informatie bekomen.
Voor bepaalde dienstverlening die volledig los staat van de werking van Howest zijn er eigen websites met een specifieke privacyverklaring.
Wijzigingen aan de privacyverklaring
Onze diensten zijn voortdurend onderhevig aan verandering. Deze privacyverklaring kan dan ook van tijd tot tijd worden bijgewerkt om veranderingen in de manier waarop wij werken of in de wetgeving weer te geven. Je kan dit dus elke keer dat je persoonlijke informatie aan ons verstrekt, controleren. De datum van de meest recente herzieningen zal steeds worden vermeld in de titel van deze privacyverklaring.
Als er belangrijke wijzigingen in de Privacyverklaring worden aangebracht, bijvoorbeeld wijzigingen die van invloed zijn op de manier waarop we jouw persoonlijke informatie willen gebruiken, zullen we dit op een meer rechtstreekse manier aan jou meedelen (inclusief, voor bepaalde diensten, kennisgeving van wijzigingen in de privacyverklaring per e-mail).