Hoe ga ik veilig om met persoonsgegevens?

Je vindt het in de knowledgebase.

 

Security Knowledgebase Windesheim

De plek voor al je online privacy & security vragen

Bekijk de FAQ

Waar moet ik aan denken bij onderzoek?

Je vindt het in de knowledgebase.

 

Previous

Next

Dos and Don’ts

Wat wel en niet doen?

Soms kan het onduidelijk zijn of je bepaalde handelingen wel of niet moet uitvoeren. In het overzicht hieronder is informatie opgenomen over de wijze waarop je sommige handelingen wel of niet kan uitvoeren. De onderwerpen zijn uit te klappen.

E-mail versturen

Don’t:

  • Grote groepen mailen waarbij mailadressen voor iedereen zichtbaar zijn in de ‘to’ of ‘cc’.

Do:

  • Maak gebruik van de ‘bcc’ optie.

Contactgegevens verspreiden

Don’t:

  • Lijstjes met contactgegevens van medecursisten verspreiden onder de cursisten.

Do:

  • Op de Allereerste lesdag cursisten de gelegenheid bieden om onderling gegevens uit te wisselen.

Opnamen maken

Don’t:

  • Opnames maken in de les zonder toestemming van de studenten.

Do:

  • Creëer een plek in de klas waar studenten kunnen zitten die niet opgenomen willen worden en maak dit duidelijk.

Inschrijflijsten

Don’t:

  • Inschrijflijsten in openbare ruimtes ophangen.

Do:

  • Maak gebruik van het digitale inschrijfsysteem.

Adreslijsten

Don’t:

  • E-mailadreslijsten leveren aan externe leveranciers ook al bieden zij een “gratis” product aan.

Do:

  • Zelf het aanbod intern door sturen (mits werkgerelateerd). Of toestemming vragen aan de collega’s van wie jij het e-mailadres wilt doorgeven.

Inloggen in systemen

Don’t:

  • Uitlenen van je authenticatiemiddelen (gebruikersnaam wachtwoord, token).

Do:

  • Autorisatie technisch regelen dat iemand bij gegevens kan die voor zijn werk nodig zijn.

Persoonsgegevens delen algemeen

Don’t:

  • Persoonsgegevens in bijlages bij mail versturen.

Do:

  • Persoonsgegevens op onedrive via een link delen.

Persoonsgegevens overdragen

Don’t:

  • Iemand die jou om een lijstje persoonsgegevens vraagt waar jij wel toegang toe hebt en de ander niet zomaar van die lijst voorzien.

Do:

  • Vragen naar de vraag achter de vraag. (niet wat maar waarvoor heb je het nodig?) en dan de afweging maken of je dit een terecht verzoek vind en hoe je dan dataminimalisatie kan realiseren.(bijvoorbeeld een docent die om een adreslijst van zijn studenten vraagt omdat hij een student die ziek is een kaartje wil sturen. – dit kan ook gerealiseerd worden door alleen het adres van de zieke student door te geven).

Dataminimalisatie en Excel

Don’t

  • Als je om een lijst gevraagd wordt met specifieke persoonsgegevens een Excel sturen waar deze samen met nog heel veel andere (in dit geval niet relevante) gegevens in staan sturen omdat dat het snelste te regelen is.

Do:

  • Pas dataminimalisatie toe. Stuur alleen wat noodzakelijk is voor afhandeling van de vraag.

Toestemming verlenen

Don’t:

  • Gegevens delen met aanleverende scholen zonder toestemming van de student.

Do:

  • Check of student toestemming heft verleend om gegevens met toeleverende school te delen. Deze vraag wordt bij inschrijving gesteld en staat geregistreerd in CATS.

Persoonsgegevens delen met ouders

Don’t:

  • Gegevens over studenten delen met ouders.

Do:

  • Verwijs ouders naar eigen kind. Wellicht via studiebegeleider bij student aankaarten dat verzoek is geweest.

Werkgevers en getuigenschrift

Don’t:

  • Een werkgever antwoord geven op de vraag of een getuigschrift bij ons behaald is zonder toestemming van de alumnus/student.

Do:

  • Verzoek van werkgever moet vergezeld gaan van de toestemming van de alumnus. (Zie ook proces verificatie echtheid getuigschrift op community processen Windesheim).

Excel en persoonsgegevens

Don’t:

  • Excel bestanden met persoonsgegevens een eigen leven laten leiden.

Do:

  • Op goed beveiligde plaats wegzetten en ook op opruimen (wissen/verwijderen ook uit de prullenbak) wanneer het belang is vervallen.

Versleuteling en encryptie

Don’t:

  • Bestanden met persoonsgegevens zonder versleuteling op lokale omgeving opslaan (BYOD, laptop).

Do:

  • Zorg minimaal voor harddisk encryptie van je device (bitlocker op Windows machines).

Persoonsgegevens op USB

Don’t:

  • Bestanden met persoonsgegevens op USB-stick.

Do:

  • Bij voorkeur helemaal geen USB gebruiken maar FileSender of delen via Onedrive of Sharepoint. Als toch gekozen wordt voor USB dan zorgen voor versleuteling.

Youtube inleveropdrachten

Don’t:

  • Gebruik van Youtube voor inleveren van filmpjes.

Do:

  • Gebruik maken van het mediaportaal.

WeTransfer voor bestandsdeling

Don’t:

  • Gebruik van WeTransfer voor versturen van grote bestanden.

Do:

  • Gebruik SURF FileSender. Dit kan bestanden tot 500GB aan en tot 2GB kan er versleuteld verstuurd worden.

Facebook voor fotopublicatie

Don’t:

  • Foto’s op Facebook plaatsen waar personen herkenbaar op staan (Bijvoorbeeld van afstudeer sessies).

Do:

  • Publiceer foto’s op eigen SharePoint omgeving.

Bestandsdeling algemeen

Don’t:

  • Gebruik van Dropbox of Google Drive voor bestandsdeling. Dropbox kijkt mee naar de bestanden die je upload.

Do:

  • Office 365 for business (Onedrive, Sharepoint).

Programma's van externe leveranciers

Don’t:

  • Verplicht gebruik “gratis” tooltjes die om aanmaak account vragen

Do:

  • Gebruik liever een privacy vriendelijker alternatief.

Licentieovereenkomsten

Don’t:

  • Licentie afsluiten voor applicaties waarbij persoonsgegevens in het geding zijn (bv aanmaken van een account) zonder een goed gekeurde verwerkersovereenkomst.

Do:

  • Melding maken van de applicatie die gebruikt gaat worden en zorgen dat inkoop meekijkt met de licentie en verwerkersovereenkomst. Deze dienen gelijktijdig afgesloten te worden.

Mail to all

Don’t:

  • Naar grote (externe) groepen mailings versturen zonder toestemming.

Do:

  • Zorg voor opt-in bij versturen van mailings (zie ook beslisboom e-mailing).

Verstrekken e-mailadressen

Don’t:

  • E-mailadressen van studenten, alumni en medewerkers verstrekken aan derde partijen zonder gerechtvaardigd doel of toestemming.

Do:

  • Check of verstrekking past bij het doel waarvoor de e-mailadressen zijn verkregen en maak met derde partij afspraken over gebruik middels de verwerkersovereenkomst. Meld de verwerking bij de FG middels het meldingsformulier.