Rollen en verantwoordelijkheden volgens de AVG

Alle AVG-verzoeken moeten van de betrokkene (een itslearning-gebruiker) naar de verwerkingsverantwoordelijke (een itslearning-klant) gaan, die op zijn beurt al dan niet onze functionaliteit kan gebruiken of itslearning om hulp kan vragen om het recht voor het itslearning-platform uit te oefenen. Elke individuele aanvraag moet worden overwogen en verwerkt voordat actie wordt ondernomen. De rechten van de betrokkene worden beschreven in hoofdstuk 3 van de AVG (https://gdpr-info.eu/chapter-3/ ). Deze rechten zijn niet absoluut en moeten worden verwerkt in de context van zowel de AVG als lokale regelgeving.

Houd er rekening mee dat er volgens de AVG uitzonderingen zijn op de uitoefening van de rechten van de betrokkene wanneer de gegevens noodzakelijk worden geacht:

  • voor de uitoefening van het recht op vrijheid van meningsuiting en van informatie van andere betrokkenen
  • om te voldoen aan wettelijke verplichtingen of de uitvoering van een in het algemeen belang verrichte taak
  • voor archivering, historische of statistische doeleinden

Onder de AVG zijn de rechten van de betrokkene geregeld tussen de betrokkene en de gegevensverantwoordelijke. Alle betrokkeneverzoeken van eindgebruikers aan itslearning worden overgedragen aan de klant. itslearning zal te goeder trouw samenwerken met klanten om ervoor te zorgen dat zij de rechten van de betrokkenen op een snelle manier kunnen uitoefenen.

Naast de administratieve en andere functies die al beschikbaar zijn in het itslearning-systeem, zijn de functionaris voor gegevensbescherming van itslearning en ons serviceteam beschikbaar om onze klanten te helpen om als verwerkingsverantwoordelijke te voldoen aan het recht van de betrokkene.

Hieronder wordt beschreven hoe sommige rechten kunnen worden uitgeoefend met behulp van itslearning-functionaliteit.

Acties uitvoeren om te voldoen aan de rechten van de betrokkene

Wanneer een verzoek van een betrokkene wordt ontvangen en aanvaard door de verwerkingsverantwoordelijke, moet deze contact opnemen met itslearning-ondersteuning.

Om onze klanten te helpen voldoen aan de rechten van de betrokkene, hebben we een “AVG-tool” toegevoegd om beheerders te ondersteunen bij het uitvoeren van de nodige acties. Deze tool wordt ingeschakeld na het eerste contact met ondersteuning. De tool is dan beschikbaar voor de systeembeheerder. De beschikbare acties bieden toegang tot welke gegevens zijn opgeslagen met betrekking tot een betrokkene, het bewerken van zijn of haar informatie en het beperken of verwijderen van gegevens. Details voor elke actie vindt u hieronder.

 

Voor toegang tot de AVG-tool moet de beheerder naar Beheer -> Gebruikers en toegangsrechten gaan, de desbetreffende betrokkene zoeken en op het pictogram van een schild rechts daarvan klikken, zoals in de schermafbeelding hieronder:

Als op het pictogram wordt geklikt, wordt eerst gevraagd om bevestiging of de juiste gebruiker is geselecteerd (voor het geval dat er meerdere gebruikers met dezelfde naam zijn):

 

Nadat is bevestigd dat dit inderdaad de juiste gebruiker is, zijn er opties beschikbaar voor hulp bij de volgende stappen.

 

Voor elk van deze acties moet de beheerder een reden opgeven voor het uitvoeren van de actie, die wordt geregistreerd.

In het algemeen is deze tool “onmiddellijk”, wat betekent dat deze acties meteen worden verwerkt. Sommige acties kunnen echter enige tijd in beslag nemen. Dit is om ervoor te zorgen dat de prestaties van het systeem ook op peil blijven als het verzoek grote hoeveelheden gegevens omvat.

 

Het recht op toegang en gegevensoverdraagbaarheid

De betrokkene heeft het recht om bij de verwerkingsverantwoordelijke informatie op te vragen over welke persoonsgegevens worden verwerkt en hoe en waarom dat gebeurt. In sommige gevallen kan de betrokkene ook het recht hebben deze gegevens door te zenden naar een andere verwerkingsverantwoordelijke. Dit wordt beschreven in de gegevensbeschermingsovereenkomst.

Meer informatie over deze rechten vindt u in artikel 15 (https://gdpr-info.eu/art-15-gdpr/) en artikel 20 van de AVG (https://gdpr-info.eu/art-20-gdpr/).

Voor toegang tot de specifieke informatie die in itslearning is opgeslagen met betrekking tot een betrokkene, moet de beheerder de AVG-tool starten en VOORBEELD/DOWNLOADEN kiezen. Er wordt dan een bestand in de xml-indeling gemaakt, met daarin alle informatie die is opgeslagen met betrekking tot de betrokkene. Het genereren van dit bestand kan enige tijd duren, afhankelijk van hoeveel informatie er is opgeslagen. Zodra het bestand is gegenereerd, kan het worden gedownload.

Gegevens in de categorie “interne logica” worden niet opgenomen.

 

Het recht op rectificatie

Indien er onnauwkeurige, onvolledige of foutieve persoonsgegevens zijn voor een betrokkene, heeft hij of zij het recht deze te laten rectificeren door de verwerkingsverantwoordelijke.

Meer informatie over dit recht vindt u in artikel 16 van GDPR (https://gdpr-info.eu/art-16-gdpr/).

In veel gevallen kan de gebruiker de informatie zelf in de itslearning-interface corrigeren. In andere gevallen, en in het algemeen, moeten gegevens over een persoon, zoals naam, e-mail adres enzovoort, worden bewerkt in het externe studentinformatiesysteem en worden gesynchroniseerd met itslearning. Andere soorten gegevens kunnen door docenten of beheerders worden gecorrigeerd in het itslearning-systeem. We hebben in de AVG-tool een link opgenomen naar meer hulp bij rectificatie.

Het recht op beperking van de verwerking

Meer informatie over dit recht vindt u in artikel 18 van de AVG (https://gdpr-info.eu/art-18-gdpr/).

Als de beheerder BEPERKEN kiest in de AVG-tool, wordt de beperking uitgevoerd als een “soft delete”. Dit heeft hetzelfde effect als wanneer de gebruiker in itslearning wordt verplaatst naar de prullenbak. Alle informatie over een gebruiker wordt verwijderd uit de gebruikersinterface, maar niet onherroepelijk gewist.

Dit kan in sommige gevallen betekenen dat de gebruikersnaam wordt geanonimiseerd, terwijl de inhoud beschikbaar blijft (pseudonimisering). In de onderstaande tabel ziet u hoe dit gebeurt voor de verschillende categorieën van persoonsgegevens:

 

Categorie Effect van BEPERKEN
Persoonsgegevens (contactgegevens) Niet zichtbaar
Communicatie Geanonimiseerd
Cursusmateriaal (geproduceerd door gebruiker in de context van het onderwijs) Geanonimiseerd, tenzij het materiaal uitsluitend beschikbaar is voor de desbetreffende betrokkene
Beoordelingen (door docent aan student gegeven) Nog steeds zichtbaar en niet anoniem als de leraar is beperkt, omdat de beoordelingen nog steeds waardevol zijn en invloed hebben op de rechten van de student.
Agenda-items Persoonlijke gebeurtenissen zijn niet meer zichtbaar, gedeelde gebeurtenissen worden geanonimiseerd
Reacties van studenten Niet zichtbaar
Interne logica Nooit zichtbaar

 

De beperking kan ongedaan worden gemaakt door de betrokkene (gebruiker) terug te zetten vanuit de prullenbak. Als de beperking van de verwerking wordt opgeheven, is de gegevensverantwoordelijke verplicht de betrokkene te informeren.

 

 

Het recht op wissing (“recht om worden vergeten”)

In vrijwel alle gevallen zullen een gebruiker en zijn/haar verwante gegevens worden verwijderd omdat het doel van de verwerking van de gegevens niet meer geldig is. Meestal is dat omdat een student de school heeft verlaten, een docent een andere baan heeft gekregen of de klant het contract met itslearning heeft beëindigd. In deze gevallen wordt u aangeraden de normale stroom voor het verwijderen van gebruikers te gebruiken:

  1. Verplaats de gebruiker(s) naar de prullenbak of markeer ze als verwijderd in het externe systeem.
  2. Voltooi het proces door de prullenbak te legen, waarna de gebruikers en hun gegevens permanent worden verwijderd uit itslearning.

Het verwijderen van informatie in verband met een specifiek verzoek van een betrokkene op basis van zijn of haar recht op schrapping zoals gedefinieerd in de AVG, kan worden uitgevoerd door VERWIJDEREN te selecteren in de AVG-tool. Meer informatie over dit recht vindt u in artikel 17 van de AVG (https://gdpr-info.eu/art-17-gdpr/). Hiermee wordt alle informatie met betrekking tot de betrokkene uit het itslearning-platform gewist, met enkele uitzonderingen zoals hierboven genoemd in “Rollen en verantwoordelijkheden”.

Dat geldt bijvoorbeeld voor beoordelingen die door een docent aan een student zijn gegeven. Als de docent wordt verwijderd, blijven deze gegevens aanwezig in het systeem, om de rechten van de student te handhaven.

Let op: deze actie is niet omkeerbaar.

 

 

Categorie Effect van VERWIJDEREN
Persoonsgegevens (contactgegevens) Definitief verwijderd
Communicatie Definitief verwijderd wanneer alle betrokken gebruikers worden verwijderd. Een groepsgesprek in het berichtensysteem wordt bijvoorbeeld verwijderd wanneer alle deelnemers aan dat gesprek worden verwijderd.

Mededelingen en discussies worden verwijderd wanneer de cursus waartoe ze behoren, wordt verwijderd.

Cursusmateriaal (geproduceerd door gebruiker in de context van het onderwijs) Geanonimiseerd, tenzij het materiaal uitsluitend beschikbaar is voor de desbetreffende betrokkene (in dat geval wordt het permanent verwijderd)
Beoordelingen (door docent aan student gegeven) NIET verwijderd als de docent wordt verwijderd, omdat de beoordelingen nog steeds waardevol zijn en invloed hebben op de rechten van de student.
Agenda-items Permanent verwijderd indien persoonlijk, geanonimiseerd indien gedeeld
Reacties van studenten Definitief verwijderd
Interne logica Definitief verwijderd

 

 

Wijzigingen in het verwijderingsbeleid:

 

We hebben ook wat veranderd in wat er gebeurt wanneer een gebruiker wordt verwijderd. Er zijn twee soorten schrapping:

 

  • Soft delete, wat is wat er gebeurt wanneer een gebruiker wordt verplaatst naar een prullenbak of als de optie BEPERKEN wordt gebruikt in onze AVG-tool.
  • Permanent verwijderen, wat gebeurt wanneer de prullenbak wordt geleegd of als de actie VERWIJDEREN in de AVG-tool wordt gebruikt.

We hebben het verwijderen van gebruikersgegevens besproken met onze functionaris voor gegevensbescherming en hebben ons proces op enkele punten verbeterd. Vanaf nu zult u merken dat de naam van een verwijderde gebruiker niet meer te zien is in de gebruikersinterface, met een paar uitzonderingen. Als een gebruiker wordt verwijderd, zijn er drie mogelijke situaties:

  1. De informatie wordt volledig verwijderd
  2. Gegevens/inhoud blijven behouden, maar de naam van de gebruiker wordt geanonimiseerd – dit is nieuw ten opzichte van de vorige functionaliteit!
  3. Gegevens/inhoud blijven behouden en de naam van de verwijderde gebruiker is nog steeds zichtbaar

Het besluit over wat er gebeurt met elk stuk informatie dat we opslaan, wordt genomen op basis van AVG-richtlijnen. We kunnen geen gegevens verwijderen die invloed hebben op de rechten van andere gebruikers, en in sommige gevallen geldt dat ook voor de naam van de gebruiker die wordt verwijderd. Wij slaan deze soorten gegevens op en dit is wat ermee gebeurt in elke situatie:

 

 

Categorie Voorbeelden Soft delete Permanent verwijderen
Reacties van studenten ·       Antwoord op opdracht (inclusief geüploade bestanden)

Toetspoging

Verwijderd uit gebruikersinterface Permanent verwijderd
Profielinformatie van persoon ·       Gebruikersnaam

·       E-mailadres

Informatie wordt verwijderd uit gebruikersinterface Permanent verwijderd
Interne logica ·       Laatst gebruikte selectie in sommige vervolgkeuzemenu’s

·       Cookies

(niet zichtbaar in gebruikersinterface – geen actie nodig) Permanent verwijderd
door gebruiker in de context van het onderwijs geproduceerde inhoud ·       Notitie

·       Opdracht

·       Geüpload document

Naam van gebruiker wordt geanonimiseerd, behalve op gedeelde inhoud in de bibliotheek. Inhoud blijft behouden als deze wordt gedeeld met andere gebruikers (cursussen/projecten met andere deelnemers, bibliotheek). Inhoud wordt permanent verwijderd als deze niet beschikbaar is voor andere gebruikers. Verwijderd wanneer de cursus/het project wordt verwijderd.
Communicatie ·       Berichten (IM/oude berichten)

·       Mededelingen

Berichten: Naam van gebruiker wordt geanonimiseerd

Mededelingen en opmerkingen: Naam van gebruiker wordt geanonimiseerd

Berichten: verwijderd wanneer alle gebruikers in draad worden verwijderd.

Mededelingen en opmerkingen: Verwijderd wanneer de cursus wordt verwijderd.

Door docent gegeven beoordeling ·       Beoordelingen (cijfers)

·       Opmerkingen bij presentie

Behouden en zichtbaar, inclusief de naam van de gebruiker Bewaard en zichtbaar totdat de student waarop dit betrekking heeft ook wordt verwijderd