Saxion beschermt de privacy van al degenen die bij haar onderwijs- en onderzoeksactiviteiten betrokken zijn. Saxion is de verwerkingsverantwoordelijke voor jouw persoonsgegevens en ziet het als haar zorgplicht nauwgezet en transparant om te gaan met persoonsgegevens van al haar stakeholders.
Daarom treft Saxion organisatorische en technische maatregelen ter voorkoming van inbreuken op de privacy van haar studenten, studiekiezers en alumni, (oud-)medewerkers en sollicitanten, externen inclusief tijdelijke medewerkers, gasten en werkveldvertegenwoordigers.
Saxion wil een voorbeeldfunctie vervullen voor haar studenten die in de (toekomstige) eigen beroepspraktijk ook de verantwoordelijkheid in deze moeten nemen. Indien jouw persoonsgegevens voor een specifiek doel worden verzameld en niet uitdrukkelijk in deze privacyverklaring genoemd wordt, word je in een aparte privacyverklaring geïnformeerd over dat specifieke doel.
Als stakeholder (AVG: betrokkene) van Saxion, zoals medewerker, student, gast, bezoeker of externe relatie, heb je vanuit de Algemene Verordening Gegevensbescherming (AVG) recht om te weten welke persoonsgegevens Saxion van jou verwerkt, wat ermee gebeurt en waarom.
Recht op inzage: Je hebt het recht om een volledig overzicht op te vragen van jouw persoonsgegevens die Saxion heeft vastgelegd. Via het webformulier onder punt 3 “Hoe maak je gebruik van je rechten?” kun je een overzicht aanvragen en aangeven in welke gegevens je precies inzage wilt hebben.
Recht op correctie: Ben je van mening dat de gegevens, die Saxion van jou heeft vastgelegd, feitelijk onjuist of onvolledig of niet ter zake dienend zijn, dan kun je verzoeken om correctie van deze persoonsgegevens.
Recht op bezwaar: Onder bepaalde omstandigheden heb je het recht bezwaar te maken tegen het gebruik van jouw gegevens door Saxion. Dit kan alleen als Saxion jouw gegevens verwerkt op basis van algemeen of gezamenlijk belang2 , niet als er sprake is van een wettelijke verplichting.
Recht op vergetelheid: in bepaalde gevallen heb je het recht om vergeten te worden. Dit betekent dat je Saxion kunt verzoeken alle gegevens over jou te verwijderen. Dit recht geldt in de volgende situaties:
Niet meer nodig: Saxion heeft jouw persoonsgegevens niet meer nodig voor de doeleinden waarvoor zij ze heeft verzameld of verwerkt.
Intrekken toestemming: je hebt eerder (uitdrukkelijke) toestemming gegeven aan Saxion voor het gebruik van jouw gegevens, maar trekt die toestemming nu in.
Bezwaar: je maakt bezwaar tegen de verwerking van jouw gegevens. Zo is er op grond van art. 21 van de AVG bijvoorbeeld een absoluut recht van bezwaar tegen direct marketing.
Onrechtmatige verwerking: Saxion verwerkt jouw persoonsgegevens onrechtmatig. Bijvoorbeeld omdat er geen wettelijke grondslag is voor deze verwerking.
Recht op beperking: De verwerking van je persoonsgegevens wordt tijdelijk stilgezet. Dit recht kun je bijvoorbeeld inroepen wanneer je niet zeker bent van de juistheid van de gegevens die Saxion over je verwerkt. Bij een ‘verzoek tot beperking’ worden je persoonsgegevens niet verwijderd. Het moet immers mogelijk blijven om de door jou verzochte beperking weer ongedaan te maken.
Recht op dataportabiliteit: Je hebt recht op ‘overdraagbaarheid’ van jouw persoonsgegevens. Je kunt een kopie ontvangen van je persoonsgegevens zoals die geautomatiseerd door Saxion zijn verwerkt, zodat jij jouw gegevens kunt hergebruiken en doorgeven aan andere organisaties.
* Persoonsgegevens mogen alleen bewaard worden als er een wettelijke grondslag voor is. Er zijn 6 verschillende grondslagen. Op de website van de Autoriteit Persoonsgegevens is te vinden welke wettelijke grondslagen er zijn en in welke gevallen ze gebruikt mogen worden.
Let op: Heb je een actief account bij Saxion? Dien je verzoek dan in via de serviceportal3 of stuur je verzoek naar privacy@saxion.nl.
Let op: voordat jouw verzoek in behandeling genomen kan worden, dien je, binnen 4 weken na het indienen van het verzoek, je te legitimeren bij een servicepoint op één van de Saxion-vestigingen. Zo verzekert Saxion zich ervan dat de opgevraagde persoonsgegevens alleen bij de juiste persoon terecht komen. Indien je je niet binnen 4 weken hebt gelegitimeerd, verwijdert Saxion het verzoek. Vanaf het moment van legitimeren, reageert Saxion binnen 4 weken op jouw verzoek.
Jouw persoonsgegevens worden voornamelijk verwerkt voor de vervulling van de publieke taken van Saxion op gebied van onderwijs en onderzoek. Saxion verwerkt persoonsgegevens zorgvuldig volgens de beginselen van de AVG en indien nodig aanpalende wetgeving. Teneinde hieraan te voldoen heeft Saxion een aantal uitgangspunten opgesteld.
Rechtmatigheid: verwerking van persoonsgegevens is gebaseerd op een van de wettelijke grondslagen zoals genoemd in artikel 6 van de AVG. Saxion leeft bijgevolg alle wettelijke en normerende kaders na (i.c. Nederlandse en Europese regels) bij het verwerken van persoonsgegevens en brengt haar verantwoordelijkheid en die van anderen over de persoonsgegevens duidelijk in kaart. Saxion hanteert daarbij ook de in de sector geldende gedragscodes en past deze toe.
Behoorlijkheid en transparantie: persoonsgegevens worden alleen verwerkt op een manier die behoorlijk en transparant is voor betrokkenen. Dit betekent dat inzichtelijk moet zijn in hoeverre en op welke manier persoonsgegevens worden verwerkt. Informatie en communicatie hierover moet eenvoudig toegankelijk en begrijpelijk zijn.
Persoonsgegevens worden alleen verwerkt voor welbepaalde, specifieke en gerechtvaardigde doeleinden, die omschreven en vastgelegd zijn voordat men begint met de verwerking.
Doelbinding: persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.
Minimale gegevensverwerking: bij een verwerking van persoonsgegevens blijft de hoeveelheid en het soort gegevens beperkt tot de persoonsgegevens die noodzakelijk zijn voor het specifieke doeleinde. De gegevens dienen met het oog op dat doel toereikend, ter zake dienend en niet bovenmatig te zijn. De persoonsgegevensverwerking gebeurt op de minst ingrijpende wijze en dient in redelijke verhouding te staan tot het beoogde doeleinde.
Juistheid: Saxion treft maatregelen om zoveel mogelijk te waarborgen dat de te verwerken persoonsgegevens juist en actueel zijn.
Integriteit en vertrouwelijkheid: persoonsgegevens worden adequaat beveiligd volgens de geldende beveiligingsnormen.
Opslagbeperking: Saxion verwerkt persoonsgegevens niet langer dan noodzakelijk is voor de doeleinden van de verwerking. Hierbij neemt Saxion de van toepassing zijnde bewaar- en vernietigtermijnen in acht.
Accountability & auditable: Saxion kan aantonen dat zij alle beleidsdoelstellingen naleeft, conform wettelijke bepalingen. Intern toezicht en controle bewaakt deze verantwoordingsplicht en is uitvoerbaar volgens wettelijk geldende principes.
Inzage in persoonsgegevens wordt waar nodig beperkt door autorisaties.
Saxion ontvangt en/of verzamelt persoonlijke gegevens wanneer deze noodzakelijk zijn voor het verlenen van diensten, het uitvoeren van transacties, het verstrekken van informatie, het verlenen van toegang of het beveiligen van gegevens. De gegevens die wij verzamelen zijn altijd afgestemd op het aangegeven doel, dat wil zeggen dat wij niet meer gegevens verzamelen dan die wij nodig hebben om dit doel te realiseren. Wij kunnen gegevens verzamelen over de volgende categorieën betrokkenen:
Studenten
Medewerkers, inclusief sollicitanten en oud-medewerkers
Studiekiezers (instroom)
Alumni en oud-studenten (uitstroom)
Externen, inclusief gast-medewerkers
Persoonlijke gegevens worden in de meeste gevallen door de betrokkene zelf verstrekt. Binnen de hogeschool kunnen deze gegevens zo nodig vanuit een intern bronsysteem worden doorgestuurd naar of overgenomen in een ander systeem. Daarnaast ontvangen we ook persoonlijke gegevens uit systemen van derden.
De persoonlijke gegevens die van jou worden verzameld, worden door de hogeschool gebruikt voor de bedrijfsvoering en voor het naar behoren uitvoeren van de wettelijke taken en plichten voor onderwijs en onderzoek. Onderstaand overzicht beschrijft de belangrijkste processen waarmee Saxion persoonsgegevens kan verzamelen, met voor elk proces de belangrijkste onderdelen:
Onderwijs en onderwijsondersteuning: Aanmelding en inschrijving, opleiding, bijhouden van resultaten en studievoortgang, advies en begeleiding, verstrekken van leermiddelen, behandelen van geschillen, het kunnen uitvoeren van een accountantscontrole, afstuderen, adressen en smoelenboek (pasfoto), roosters en digitaal toets-systeem.
Onderzoek en onderzoeksondersteuning: Onderzoeksadministratie en onderzoeksgegevens.
Relatiebeheer: Campagne, contact, verzendlijsten en nieuwsbrieven, opleiding en afstudeerdatum, gericht op studiekiezers, alumni en deelnemers aan diverse activiteiten; gegevens van bedrijven, organisaties en personen waarmee de hogeschool verschillende vormen van samenwerkingen heeft, in de vorm van bijvoorbeeld een contract, bewerkersovereenkomst of samenwerkingsovereenkomst voor levering of ontvangst van diensten en producten
Personeelszaken: Vaststellen van salarisaanspraken, regelen van aanspraken op uitkeringen in verband met de beëindiging van een dienstverband, interne en accountantscontrole en in verband met de bedrijfs-medische zorg
Bedrijfsvoering en financiën: Financiële administratie, inkoopsysteem, betaalsystemen, IT- management en juridische procedures
Facilitair: Toegang- en beheersystemen, cameratoezicht, identiteitsmanagement
Generiek:
Web content management
Bibliotheeksysteem
Archivering
Beeldmateriaal voor communicatie-uitingen van de hogeschool
Medezeggenschap
Registraties worden door de verantwoordelijke eenheid (academie of dienst) gemeld bij het Privacy team. De Privacy Officer houdt een verwerkingsregister bij. Saxion beschikt op deze manier over een compleet overzicht van registraties.
Saxion verzamelt en verwerkt ten behoeve van eerder vermelde processen voornamelijk gewone persoonsgegevens, zoals NAW-, geboortedatum, contactgegevens (e-mail, telefoonnummer, etc).
Saxion verwerkt gevoelige persoonsgegevens voor specifieke doelen, zoals bijvoorbeeld studieresultaten ten behoeve van het volgen van de studievoortgang en financiële gegevens ten behoeve van het voeren van de debiteurenadministratie of de salarisadministratie.
Saxion verwerkt geen bijzondere gegevens, waaronder medische gegevens, gegevens over etniciteit, genetische gegevens en seksuele gerichtheid, tenzij er sprake is van een wettelijke verplichting (bijvoorbeeld BSN-nummer) of toestemming van de betrokkene(n). Hierbij horen specifieke gelegenheden, zoals introdagen, de invulling van het studentendecanaat/ studieloopbaanbegeleiding, beperkte gegevens over ziekte en verzuim, gegevens over fysieke of verstandelijke beperkingen en bijzondere omstandigheden rondom studievertraging.
Tevens kunnen wij jouw gegevens verzamelen wanneer je deze achterlaat op de websites van Saxion, teneinde jou op de hoogte te houden van diverse activiteiten van de hogeschool.
Saxion verzamelt daarnaast persoonsgegevens in het kader van wetenschappelijk onderzoek. Dit betreft gegevens van deelnemers aan het onderzoek. Hiervoor geldt dat gewerkt wordt conform de wet en geldende gedragscodes.
Saxion controleert de door Saxion beheerde computers (desktops, laptops en tablets) op malware, ransomeware en afwijkend gebruikersgedrag. Deze gegevens worden tevens gelogd. Er wordt hierbij zorgvuldig gekeken naar de balans tussen technische mogelijkheden om online risico’s op te sporen en de hogeschool te beschermen tegen online bedreigingen en de privacybescherming van Saxionmedewerkers en studenten.
Wanneer je van mening bent dat jouw persoonsgegevens, in strijd met de AVG worden verwerkt bij Saxion, kun je een klacht indienen bij de Functionaris Gegevensbescherming (FG) via het Meldpunt 'Klacht en Geschil'4 of stuur een bericht via functionarisgegevensbescherming@saxion.nl of privacy@saxion.nl. De FG is de schakel tussen Saxion en de externe toezichthouder; de Autoriteit Persoonsgegevens5. De FG handelt onafhankelijk en kan over jouw klacht overleg plegen of advies inwinnen bij de Autoriteit Persoonsgegevens. De FG van Saxion is geregistreerd bij de Autoriteit Persoonsgegevens onder FG-nummer FG000531. Onze FG is werkzaam bij de Lumen Group en als volgt bereikbaar: 030 - 889 6575 | fg@lumengroep.nl | beveiligde website voor meldingen.
Wanneer je het niet eens bent met de klachtenbehandeling door de FG van Saxion, kun je rechtstreeks een klacht indienen bij de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens behandelt de klacht of het verzoek en neemt hierover een besluit.
Saxion protects the privacy of all parties involved in its educational and research activities. It considers it to be its duty to handle the personal data of its stakeholders with extreme precision and transparency.
For this reason, Saxion takes organisational and technical measures to prevent violations of the privacy of its current and prospective students as well as alumni, current and former employees and applicants, external parties and temporary employees, guests, and field representatives. Saxion wants to serve as an example for its students, who will have to take on this responsibility in their own professional practice at some point.
As a Saxion stakeholder, such as employee, student, guest, visitor, or external partner, the General Data Protection Act (GDPR) [AVG] provides you with the right to know which of your personal data are being processed by Saxion, how, and why.
Right of access: you have the right to request a complete summary of the personal data Saxion has stored about you. Using the web form, you can request a summary and indicate the specific data you would like to review.
Right to rectification: if you feel the data which Saxion has recorded about you is factually incorrect, incomplete, or irrelevant, you can request that a correction be made to the personal data.
Right to object: under certain circumstances, you have the right to object to Saxion’s use of your data. This can only be done if Saxion processes your data based on a general or joint interest and not if Saxion is legally required to do so.
Right to erasure: in certain cases, you have the right to request that your data be erased. This means that you can request that Saxion remove all data related to you. This right applies in the following situations:
No longer required: Saxion no longer needs your personal data for the purposes for which they were collected or processed.
Withdrawal of consent: you previously provided express consent to Saxion for the use of your data but are now withdrawing that consent.
Objection: you object to the processing of your data. For example, pursuant to Art. 21 of the GDPR, there is an absolute right to object to direct marketing in this case.
Unlawful processing: Saxion is unlawfully processing your personal data. For example, there may be no legal basis for the processing.
Right to restriction: the processing of your personal data will be stopped temporarily. For example, you can exercise this right if you are unsure the data Saxion is processing is correct. A “request for restriction” will not result in the deletion of your personal data. In this case, the data must be kept available so that the restriction you have requested can be removed at a later time.
Right to data portability: you have to the right to the “portability” of your personal data. You can receive a copy of your personal data in the format used by Saxion to process it via automated means, so that it can be reused and provided to other organisations.
Please, make a choice:
Please note: before your request can be processed, you must provide proof of identity at a Saxion location within four weeks of submission. This enables Saxon to ensure that the personal data requested is only provided to the correct person. If you have not provided proof of identity within four weeks, Saxion will delete the request. Saxion will respond to your request no later than four weeks after you provide proof of identity.
Saxion processes personal data carefully and according to the principles of the GDPR, as well as to any related legislation if required. For the purposes of meeting this objective, Saxion has established several of its own basic principles.
Legality: the processing of personal data is based on one of the legal reasons specified in Article 6 of the GDPR. Consequently, Saxion complies with all legal and standard frameworks (in this case, Dutch and EU rules) when processing personal data and clearly defines its responsibility and the responsibility of others with regard to personal data. Saxion also uses and upholds the codes of conduct applicable to its sector.
Fairness and transparency: personal data are only processed in a way that is fair and transparent to stakeholders. This means that it should be clear to what extent and in what way the personal data are processed. Information and communication regarding this must be easily accessible and understandable.
Personal data are only processed for well-defined, specific and justified purposes that have been explicitly described and recorded before any processing begins.
Purpose limitation: personal data are not further processed in a way that is not compatible with the purposes for which the data was acquired.
Minimum data processing: when processing personal data, the quantity and type of data is limited to personal data necessary for the specific purpose. With regard to this purpose, the data must be sufficient, relevant, and not excessive. Personal data processing is done in the least intrusive manner and must be in reasonable proportion to the intended purpose.
Accuracy: Saxion takes measures to ensure that the processing of personal data is as correct and current as possible.
Integrity and confidentiality: personal data are adequately protected in accordance with the applicable security standards.
Storage limitation: Saxion does not process personal data for longer than necessary for processing purposes. In this regard, Saxion observes the applicable retention and destruction periods.
Accountable and auditable: Saxion can demonstrate compliance with all policy objectives in accordance with the applicable legal provisions. Internal supervision and monitoring safeguards this accountability obligation and is enforceable in accordance with legal principles.
Access to personal data is restricted by authorisations when necessary.
Saxion receives or collects personal data when these are required for providing services, performing transactions, providing information, or granting access. The data we collect are always adjusted to the purpose indicated, meaning we do not collect any more information than we need to achieve a specific objective. We may collect data on the following stakeholder types:
Students
Staff members, including applicants and former staff members
Prospective students (incoming)
Alumni and former students (outgoing)
External parties, including guest staff members
In most cases, the personal data will be provided by the stakeholders themselves. Within the university of applied sciences, these data can be sent out from an internal source system or retrieved by a different system if necessary. We also receive personal data from third-party systems.
The personal data collected from you will be used by the university of applied sciences for business operations and for performing legal tasks and obligations as necessary for education and research. The summary below describes the main processes Saxion may use to collect personal data, the primary components of which are listed for each process:
Education and educational support: registration and enrolment, degree programme, tracking results and academic progress, guidance and advice, providing learning materials, handling disputes, facilitating audits, graduation, addresses and yearbook, scheduling and the digital testing system.
Research and research support: research administration and data.
Partner management: campaigns, contact, mailing lists and newsletters, degree programmes and graduation dates, focused on prospective students, alumni, and participants in various activities; data for businesses, organisations, and persons with which the university of applied sciences has different types of partnerships (e.g. via contract, processor agreement, or partnership agreement for providing or receiving products and services.)
Personnel matters: determining salary claims, arranging claims for payments in connection with termination of employment, internal and external audits related to occupational medical care.
Business operations and finances: financial administration, purchasing system, payment system, IT management, and legal procedures.
Facilities: access and management systems, camera surveillance, identity management
Generic:
Web content management
Participation
Images for university of applied sciences communications
Archiving
Library system
Records are reported by the unit responsible, whether academic or service-related, to the privacy team. The privacy officer maintains a processing register. This allows Saxion to keep a complete summary of the records.
In principle, Saxion only collects and processes basic personal data, such as name/address information, date of birth, contact details (e-mail, telephone number, etc.) for the above-mentioned processes.
Saxion does not process special data, such as medical data, ethnicity data, genetic data or sexual orientation data, unless there is a legal obligation to do so (e.g. for BSN number) or consent has been provided by the stakeholders for specific occasions, such as orientation days and filling student dean positions. Saxion also processes sensitive personal data for specific purposes, such as study results for the sake of tracking academic progress and financial data for accounts receivable and salary administration.
We may also collect your data if you provide this information on Saxion websites for the purposes of staying abreast of various activities at the university.
Saxion also collects personal data in relation to scientific research. This concerns data on research participants. This is also done in accordance with the law and applicable codes of conduct.
We have appointed a Data Protection Officer (DPO) (Dutch: Functionaris Gegevensbescherming – FG). The DPO is the link between Saxion and the Dutch Data Protection Authority (AP).
If you feel that your personal data are being processed by Saxion in a way that violates the GDPR, you may contact the DPO. The DPO acts independently and can address your complaint directly or request recommendations from the Dutch Data Protection Authority. The Saxion DPO is registered with the Dutch Data Protection Authority under number FG000531.
Our DPO is a representative of the Lumen Group. You can reach the DPO via 030 - 889 65 75 or per e-mail: fg@lumengroup.nl. You can also reach our DPO via a secured website.
If you are not satisfied on how your complaint was handled by the Saxion DPO, you can submit a complaint directly to the Dutch Data Protection Authority. The Dutch Data Protection Authority will handle the complaint or request and come to a decision about it.
For questions about your privacy or privacy in general at Saxion, you can write to privacy@saxion.nl. A member of our privacy team will be happy to get in touch with you.