Privacy Statements
Privacyverklaring Monitoring Sharepoint Deelverzoeken
Versie 22-11-22
In deze privacyverklaring leggen we uit wat er gebeurt met jouw persoonsgegevens wanneer je via Sharepoint of Onedrive een bestand deelt met een extern e-mailadres, of je vanuit de Universiteit Utrecht een Sharepoint of Onedrive gedeeld bestand ontvangt.
Wie is er verantwoordelijk voor de gegevensverwerking?
De Universiteit Utrecht, gevestigd aan de Heidelberglaan 8, 3584 CS Utrecht, is verantwoordelijk voor de verwerkingen die worden omschreven in deze privacyverklaring.
Voor welke doeleinden worden mijn persoonsgegevens verwerkt?
Je gegevens worden verwerkt om bij incidenten met betrekking tot vertrouwelijkheid van bestanden snel terug te zoeken wanneer en hoe bestanden met externen zijn gedeeld.
Welke persoonsgegevens worden verwerkt?
De volgende gegevens worden verwerkt wanneer je een extern email adres toegang geeft tot een bestand binnen de UU omgeving.
- Je e-mailadres,
- De naam van het de delen bestand,
- Het tijdstip waarop het bestand is gedeeld, en
- Het ontvangende email adres.
De volgende gegevens worden verwerkt wanneer een bestand vanuit een UU email adres met jouw externe email adres deelt.
- Jouw e-mailadres,
- Het tijdstip waarop het bestand is gedeeld, en
- De naam van het gedeelde bestand.
Hoe lang worden deze persoonsgegevens bewaard?
Gegevens bij deze verwerking worden 6 maanden bewaard. Daarna worden deze automatisch verwijderd.
Worden mijn gegevens gedeeld met derden?
Je gegevens worden niet gedeeld met derden bij deze verwerking.
Worden mijn gegevens doorgegeven naar derde landen?
Je gegevens worden niet doorgegeven naar landen buiten de EER.
Wat is de wettelijke grondslag van deze gegevensverwerking?
De gebruikte grondslag bij deze verwerking is het gerechtvaardigde belang. Deze grondslag is als volgt uitgewerkt:
Het belang van de Universiteit Utrecht dat hier gewogen wordt is dat van het beveiligen van diens omgeving en (intellectuele) eigendommen. Meer specifiek gaat het hier om het beveiligen van documenten binnen sharepoint omgevingen. Deze worden bij deze verwerking gelogd zodat teruggekeken kan worden wanneer een medewerker of student een externe toegang heeft gegeven tot een bepaald document.
Dit belang dient gewogen te worden tegen dat van de medewerkers, studenten en ontvangers wier gegevens worden bijgehouden. Hier wordt buiten beschouwing gelaten dat deze gegevens in ieder geval bijgehouden worden. Deze verwerking heeft de strekking dat deze gegevens in geval van problemen makkelijker doorzocht kunnen worden. Het belang van de medewerkers en studenten is dat hun gegevens niet, zo min mogelijk en in ieder geval niet onnodig verwerkt worden. Daarnaast hebben studenten en medewerkers ook belang bij dat indien er sprake is van een geslaagde phishing actie of anderszins verschafte toegang tot diens accounts, teruggekeken kan worden met wie en wanneer bepaalde bestanden zijn gedeeld.
In deze verwerking worden natuurlijk wel gegevens, hoewel in geringe hoeveelheden, verwerkt. Daarnaast zijn er wel vragen geweest over het nut van deze gegevensverwerking. In het kader daarvan is besloten om de eerste periode deze dienst als pilot te gebruiken en daarna te evalueren of deze verwerking nuttig blijkt. Dit nut is initieel aangenomen, omdat het bijhouden van deze shareverzoeken een industriestandaard is die ook vanuit de leverancier wordt aangeraden.
Dat het belang van de Universiteit Utrecht in deze ook geldt voor een deel van de betrokkenen, namelijk de studenten en medewerkers. Voor externen geldt dit niet direct, gezien zij niet meedelen in de veilige werkomgeving van de Universiteit Utrecht. Als we het behaalde voordeel voor de Universiteit afwegen tegenover de privacy inbreuk, namelijk een momentopname dat een bepaald emailadres toegang heeft gekregen tot een bestand, dan valt op dat het beveiligingsvoordeel hier toch zwaarder lijkt te wegen. Dit komt met name door, wederom, de zeer geringe hoeveelheid gegevens die verwerkt worden bij de betrokkenen.
In deze afweging wordt dus geconcludeerd dat het gerechtvaardigde belang van de Universiteit Utrecht prevaleert op de privacybelangen van de betrokkenen.
Welke rechten heb ik volgens de AVG en hoe kan ik deze uitoefenen?
Als betrokkene heb je bepaalde rechten. Namelijk het recht op inzage, het recht op rectificatie van persoonsgegevens, het recht op gegevenswissing, het recht op beperking van verwerking en het recht op bezwaar. Mocht je gebruik willen maken van deze rechten, dan kunt je jouw verzoek richten aan Privacy@uu.nl. Het kan voorkomen dat tijdens deze procedure om identiteitsbewijzen wordt gevraagd.
Wanneer je bezwaar maakt, zal er van geval tot geval bekeken worden of aan dit bezwaar kan of moet worden voldaan. De Universiteit Utrecht staakt de verwerking van persoonsgegevens tenzij er dringende gerechtvaardigde gronden aangevoerd worden die zwaarder wegen dan jouw belangen, rechten en vrijheden.
Is er sprake van geautomatiseerde besluitvorming of profilering?
Er is geen sprake van geautomatiseerde besluitvorming. Dat wil zeggen dat er nooit besluiten worden genomen zonder menselijke tussenkomst. Er is ook geen sprake van profilering.
Vragen
Als u vragen heeft over dit privacy statement, dan kan u die stellen aan privacy@uu.nl. Wilt u een klacht indienen? Dan kan dat bij de functionaris voor gegevensbescherming van de Universiteit Utrecht, te bereiken op fg@uu.nl. Het staat u ook altijd vrij om een klacht in te dienen bij de Autoriteit Persoonsgegevens, de privacy waakhond van Nederland.