Don’t:

• Grote groepen mailen waarbij mailadressen voor iedereen zichtbaar zijn in de ‘to’ of ‘cc’.

Do:

• Maak gebruik van de ‘bcc’ optie.

Don’t:

• Lijstjes met contactgegevens van medecursisten verspreiden onder de cursisten.

Do:

• Op de Allereerste lesdag cursisten de gelegenheid bieden om onderling gegevens uit te wisselen.

Don’t:

• Opnames maken in de les zonder toestemming van de studenten.

Do:

• Creëer een plek in de klas waar studenten kunnen zitten die niet opgenomen willen worden en maak dit duidelijk.

Don’t:

• Inschrijflijsten in openbare ruimtes ophangen.

Do:

• Maak gebruik van het digitale inschrijfsysteem.

Don’t:

• E-mailadreslijsten leveren aan externe leveranciers ook al bieden zij een “gratis” product aan.

Do:

• Zelf het aanbod intern door sturen (mits werkgerelateerd). Of toestemming vragen aan de collega’s van wie jij het e-mailadres wilt doorgeven.

Don’t:

• Uitlenen van je authenticatiemiddelen (gebruikersnaam wachtwoord, token).

Do:

• Autorisatie technisch regelen dat iemand bij gegevens kan die voor zijn werk nodig zijn.

Don’t:

• Persoonsgegevens in bijlages bij mail versturen.

Do:

• Persoonsgegevens op onedrive via een link delen.

Don’t:

• Iemand die jou om een lijstje persoonsgegevens vraagt waar jij wel toegang toe hebt en de ander niet zomaar van die lijst voorzien.

Do:

• Vragen naar de vraag achter de vraag. (niet wat maar waarvoor heb je het nodig?) en dan de afweging maken of je dit een terecht verzoek vind en hoe je dan dataminimalisatie kan realiseren.(bijvoorbeeld een docent die om een adreslijst van zijn studenten vraagt omdat hij een student die ziek is een kaartje wil sturen. – dit kan ook gerealiseerd worden door alleen het adres van de zieke student door te geven).

Don’t

• Als je om een lijst gevraagd wordt met specifieke persoonsgegevens een Excel sturen waar deze samen met nog heel veel andere (in dit geval niet relevante) gegevens in staan sturen omdat dat het snelste te regelen is.

Do:

• Pas dataminimalisatie toe. Stuur alleen wat noodzakelijk is voor afhandeling van de vraag.

Don’t:

• Gegevens delen met aanleverende scholen zonder toestemming van de student.

Do:

• Check of student toestemming heft verleend om gegevens met toeleverende school te delen. Deze vraag wordt bij inschrijving gesteld en staat geregistreerd in CATS.

Don’t:

• Gegevens over studenten delen met ouders.

Do:

• Verwijs ouders naar eigen kind. Wellicht via studiebegeleider bij student aankaarten dat verzoek is geweest.

Don’t:

• Een werkgever antwoord geven op de vraag of een getuigschrift bij ons behaald is zonder toestemming van de alumnus/student.

Do:

• Verzoek van werkgever moet vergezeld gaan van de toestemming van de alumnus. (Zie ook proces verificatie echtheid getuigschrift op community processen Windesheim).

Don’t:

• Excel bestanden met persoonsgegevens een eigen leven laten leiden.

Do:

• Op goed beveiligde plaats wegzetten en ook op opruimen (wissen/verwijderen ook uit de prullenbak) wanneer het belang is vervallen.

Don’t:

• Bestanden met persoonsgegevens zonder versleuteling op lokale omgeving opslaan (BYOD, laptop).

Do:

• Zorg minimaal voor harddisk encryptie van je device (bitlocker op Windows machines).

Don’t:

• Bestanden met persoonsgegevens op USB-stick.

Do:

• Bij voorkeur helemaal geen USB gebruiken maar FileSender of delen via Onedrive of Sharepoint. Als toch gekozen wordt voor USB dan zorgen voor versleuteling.

Don’t:

• Gebruik van Youtube voor inleveren van filmpjes.

Do:

• Gebruik maken van het mediaportaal.

Don’t:

• Gebruik van WeTransfer voor versturen van grote bestanden.

Do:

• Gebruik SURF FileSender. Dit kan bestanden tot 500GB aan en tot 2GB kan er versleuteld verstuurd worden.

Don’t:

• Foto’s op Facebook plaatsen waar personen herkenbaar op staan (Bijvoorbeeld van afstudeer sessies).

Do:

• Publiceer foto’s op eigen SharePoint omgeving.

Don’t:

• Gebruik van Dropbox of Google Drive voor bestandsdeling. Dropbox kijkt mee naar de bestanden die je upload.

Do:

• Office 365 for business (Onedrive, Sharepoint).

Don’t:

• Verplicht gebruik “gratis” tooltjes die om aanmaak account vragen

Do:

• Gebruik liever een privacy vriendelijker alternatief.

Don’t:

• Licentie afsluiten voor applicaties waarbij persoonsgegevens in het geding zijn (bv aanmaken van een account) zonder een goed gekeurde verwerkersovereenkomst.

Do:

• Melding maken van de applicatie die gebruikt gaat worden en zorgen dat inkoop meekijkt met de licentie en verwerkersovereenkomst. Deze dienen gelijktijdig afgesloten te worden.

Don’t:

• Naar grote (externe) groepen mailings versturen zonder toestemming.

Do:

• Zorg voor opt-in bij versturen van mailings (zie ook beslisboom e-mailing).

Don’t:

• E-mailadressen van studenten, alumni en medewerkers verstrekken aan derde partijen zonder gerechtvaardigd doel of toestemming.

Do:

• Check of verstrekking past bij het doel waarvoor de e-mailadressen zijn verkregen en maak met derde partij afspraken over gebruik middels de verwerkersovereenkomst. Meld de verwerking bij de FG middels het meldingsformulier.