Privacy

Wij zijn verplicht de Privacy policy van de KU Leuven te gebruiken. Hieronder informeren wij je over de relevante informatie.

Algemeen

  • KU Leuven houdt een hoge ethische standaard aan voor de verwerking van persoonsgegevens in het kader van haar academische en andere processen. Ze richt haar werking in overeenkomstig de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR).
  • Het door de KU Leuven gevoerde privacybeleid betreft werkingsprincipes van zowel organisatorische, juridische, operationele als IT-technische aard. De principes werden opgesteld door de Stuurgroep Informatieveiligheid en goedgekeurd door het hoogste uitvoerend orgaan van de KU Leuven, het Gebu.
  • Het privacyteam verzorgt de dagelijkse coördinatie en opvolging, en adviseert de beleidsverantwoordelijken.
  • Het privacybeleid moet gelezen worden in een universitaire context, die zich onder andere laat kenmerken door een complexe structuur met vele decentrale bevoegdheden. Delen van de veiligheidsmaatregelen zijn dan ook decentraal ontwikkeld en vorm gegeven. De KU Leuven streeft er naar om middels de geschetste aanpak de vertrouwelijkheid van persoonsgegevens te allen tijde te garanderen, zonder de interne dynamiek van de academische processen te belemmeren.

Verwerkingsprincipes

Een kwaliteitsvolle verwerking van persoonsgegevens is, hoewel geen hoofdopdracht, een belangrijk aspect van de academische opdracht van de KU Leuven. Het beleid hieromtrent is gestoeld op volgende principes, die eveneens worden vooropgesteld door de AVG.

  • Rechtmatigheid, behoorlijkheid en transparantie
    De KU Leuven waakt erover dat verwerkingen van persoonsgegevens plaatsvinden conform de wettelijke en regelgevende kaders. De verwerkingen gebeuren op een wijze die rekening houdt met de belangen van de betrokkene. De KU Leuven is transparant over de verwerkingen, zowel naar de betrokkene, naar de hiërarchische lijn als naar de toezichthouders. De gevoerde communicatie is eerlijk, eenvoudig toegankelijk en begrijpelijk.
  • Doelbinding en minimale gegevensverwerking
    De KU Leuven verwerkt enkel de persoonsgegevens die relevant en strikt noodzakelijk zijn voor de uitvoering van haar activiteiten.
  • Juistheid
    De KU Leuven waakt er over dat de persoonsgegevens die ze verwerkt juist zijn en desgevallend geactualiseerd worden. Alle redelijke maatregelen worden genomen om er voor te zorgen dat onjuiste gegevens worden gecorrigeerd, op eigen initiatief of op initiatief van betrokkenen.
  • Opslagbeperking
    De KU Leuven bewaart persoonsgegevens niet langer dan noodzakelijk. Deze noodzakelijkheid wordt afgetoetst tegenover wettelijke verplichtingen, de doelmatigheid en de rechten en vrijheden van de betrokkene.
  • Rechten en vrijheden van betrokkenen
    De KU Leuven doet de nodige inspanningen om de rechten van een betrokkene, zoals het recht op inzage, afschrift, correctie en eventueel ook schrapping te eerbiedigen, rekening houdende met eventuele beperkingen die op deze rechten van toepassing zijn.
    De KU Leuven waakt er over dat de verwerking van gegevens in lijn ligt met de rechten en vrijheden van betrokkenen die gelden in de Europese Economische Ruimte en controleert de toepassing hiervan wanneer de gegevens worden uitgewisseld daarbuiten.
  • Beveiliging
    De KU Leuven neemt gepaste technische en organisatorische maatregelen zodat een gepaste beveiliging van persoonsgegevens gewaarborgd is. De KU Leuven gaat op een confidentiële manier om met persoonsgegevens en doet alle mogelijke inspanningen om de vertrouwelijkheid en integriteit van de verwerkte gegevens te garanderen en inbreuken te voorkomen. Wanneer een inbreuk plaatsvindt, wordt hierover gerapporteerd in lijn met de regelgeving ter zake.
  • Intern toezicht
    De KU Leuven bewaakt de naleving van bovenstaande principes door intern toezicht en controle en dit op basis van de wettelijk geldende principes.

Types persoonsgegevens

a. Bedrijfsgegevens

Bedrijfsgegevens zijn noodzakelijk voor het vervullen van de recurrente opdrachten van de KU Leuven. Ze zijn eenduidig identificeerbaar en doorlopen op frequente basis in regel gestandaardiseerde processen.

Zo kunnen onder andere onderscheiden worden:

  • studentengegevens,
  • personeelsgegevens,
  • leveranciers- en klantengegevens,
  • gegevens rond studentenhuisvesting, studentenbegeleiding, studententewerkstelling enz.,
  • bibliotheekgegevens,
  • relatie- en stakeholderbeheer van allerlei centrale diensten
  • PR-bestanden n.a.v. initiatieven rond permanente vorming,
  • alumnigegevens,
  • wervingsgegevens.

b. Onderzoeksgegevens

Persoonsgegevens in het kader van onderzoek kunnen zeer uiteenlopende vormen aannemen. Het betreft informatie gelinkt aan personen verzameld in het kader van onderzoek. De informatie wordt al dan niet gepseudonimiseerd verwerkt.

Risicoanalyse

Art. 35 van de AVG legt vast in welke scenario’s een gegevensbeschermingseffectbeoordeling moet worden uitgevoerd en wat onder een dergelijke analyse wordt vervat. Bij de bedrijfsgegevens werden een aantal verwerkingen als risicovol getypeerd. De KU Leuven voert voor deze verwerkingen een risicoanalyse uit op basis van de voorgeschreven AVG-methodiek.

Voor de verwerking van persoonsgegevens in het kader van onderzoek wordt in afwachting van een verduidelijking van het wetgevend kader omtrent onderzoek (AVG art. 89) een andere piste geëxploreerd. De ethische commissies van de KU Leuven voeren van nature uit reeds risicoanalyses uit. In overleg met de betrokken ethische commissies zal worden nagegaan of deze risicoanalyses volledig tegemoet kunnen komen aan de doelstellingen van de AVG. Voor onderzoek waaraan specifieke risico's voor de rechten en vrijheden van personen verbonden zijn (zoals bedoeld in artikel 35 AVG) en bijgevolg een gegevensbeschermingseffectbeoordeling (GEB) noodzakelijk is, zal worden onderzocht of dit onder de vleugels van een ethische commissie kan plaatsvinden.

In het kader van verwerkingen van persoonsgegevens voor onderzoek zijn volgende ethische commissies relevant:

  • Ethische Commissie Onderzoek UZ/ KU Leuven:
    Geeft een bindend advies over experimenten op mensen, overeenkomstig de wet van 7/5/2004 inzake experimenten op de menselijke persoon.
  • Sociaal-Maatschappelijke Ethische Commissie:
    Bevoegd om onderzoeksvoorstellen met menselijke deelnemers te onderwerpen aan ethisch-deontologische review voor zover ze geen betrekking hebben op gezondheidswetenschappelijke praktijken en medische of farmacologische procedures.
  • Onderwijs-BegeleidingsCommissie (OBC)
    Begeleidt het proces van ethische goedkeuring voor masterproeven binnen de groep Biomedische Wetenschappen en helpt / ondersteunt elke student bij het verkrijgen van een ethische goedkeuring indien nodig. De OBC evalueert masterproefprojecten binnen het mandaat gegeven door de Ethische Commissie Onderzoek of verwijst studenten door naar de Ethische Commissie Onderzoek, de Ethische Commissie Dierproeven of de Ethische Commissie Zorg.

Richtlijnen en communicatie

Het gevoerde beleid resulteert in een gamma interne richtlijnen, die gecentraliseerd worden aangeboden op een interne pagina. Het betreft o.a.

  • Algemene richtlijnen omtrent het omgaan met persoonsgegevens
  • Een procedure bij datalekken
  • FAQs
  • Procedures omtrent het verwerkingsregister
  • Richtlijnen voor de aanbieders van permanente vorming
  • Het normenkader voor IT-beheerders (cf. infra)

Daarnaast zijn o.a. volgende richtlijnen in voege:

  • ICT-gedragslijnen voor zowel personeel als studenten.
  • Voor IT-personeel dat toegang heeft tot vertrouwelijke gegevens is een specifieke gedragslijn ontwikkeld.
  • Procedures voor onderzoekers waaronder de toetsing door een ethische commissie.
  • De procedure rond camerabewaking.

Communicatie vindt systematisch en via uiteenlopende kanalen plaats.

  • De ruime privacy-website die de relevante informatie bundelt.
  • Campagnes, infosessies en overlegmomenten met de universitaire gemeenschap.
  • In een verplicht hoorcollege voor startende doctoraatsstudenten komen beveiligingsgerelateerde onderwerpen zoals databeheersing aan bod.
  • Organisatie van een promotorenopleiding voor alle (co-)promotoren die nieuw zijn in deze rol en waarin ook aspecten van wetenschappelijke integriteit aan bod komen.
  • Een online tool rond wetenschappelijke integriteit (LIRICS, raadpleegbaar via een community in Toledo) die toelaat om bij huidige onderzoekers bewustzijn met betrekking tot onder meer de beheersing en beveiliging van onderzoeksdata te creëren.

Compliance en opvolging

Zoals hierboven is aangegeven, heeft de KU Leuven de nodige maatregelen genomen om een gepaste verwerking van de gegevens te garanderen. Gegevens worden enkel verzameld mits welomschreven doeleinden en met een specifieke verwerkingsgrond. Er is omschreven wie toegang kan krijgen tot de gegevens en ze worden ook in een voldoende beveiligde omgeving bewaard en verwerkt. De data en de verwerkingen zijn ook gekend, waar nodig worden verwerkingen bijgestuurd op advies van het privacy-team of ethische commissies.

Via het samenspel van volgende actoren wordt naar een universiteitsbrede compliance gestreefd:

  • Het privacyteam, dat eveneens instaat voor de opvolging van het gevoerde beleid;
  • De ICTS-beveiligingscoördinator: bevoegd voor de informaticabeveiliging bij de centrale IT-services;
  • De decentrale IT-medewerkers: bevoegd voor de informaticabeveiliging bij de decentrale IT-services;
  • De diensten van Onderzoeksbeleid die een richtinggevend kader voor onderzoekers uitwerkten;
  • De Stuurgroep Informatieveiligheid, die de grote beleidslijnen omtrent privacy uittekent en coördineert, alsook de uitvoering ervan opvolgt.

Finaliter zijn alle voormelde actoren en processen onderworpen aan het toezicht van de dienst Interne Audit die in opdracht van de Raad van Bestuur en het Auditcomité waakt over het risico- en controlebeheer aan de KU Leuven. De dienst Interne Audit auditeert met regelmaat de interne processen van de KU Leuven, waaronder het proces ‘Informatieveiligheid’. Daar waar het de dienst aan expertise ontbreekt, wordt bij audits beroep gedaan op externe consultants.