Privacyverklaring iBabs

15-05-2023

In deze privacyverklaring leggen we uit wat er gebeurt met jouw persoonsgegevens wanneer deze worden verwerkt bij het gebruik van de applicatie iBabs.

Wie is er verantwoordelijk voor de gegevensverwerking?

De Universiteit Utrecht, gevestigd aan de Heidelberglaan 8, 3584 CS Utrecht, is verantwoordelijk voor de verwerkingen die worden omschreven in deze privacyverklaring.

Voor welke doeleinden worden mijn persoonsgegevens verwerkt?

Het doel is van iBabs is het faciliteren van de vergaderagenda van de bestuurslaag van de UU en hen te helpen om gestructureerd en efficiënt te vergaderen.  Naast de mogelijkheid om vergaderingen efficiënter te kunnen organiseren is het van belang dat de vertrouwelijke stukken die tijdens dergelijke vergaderingen worden besproken en gedeeld voldoende beschermd worden en de genomen maatregelen voldoen aan de beveiligings- en datalekvereisten zoals voorgeschreven in de AVG.

Welke persoonsgegevens worden verwerkt?

De volgende gegevens worden verwerkt wanneer je gebruik maakt van iBabs:

• Namen;
• Identificatienummers (SolisId);
• Email adres;
• Loggegevens;
• Agenda punten;
• Agendastukken;
• Actie punten;
• Voorzitterschap;
• Metadata.

Hoe lang worden deze persoonsgegevens bewaard?

Na 30 dagen van inactiviteit wordt een gebruiker op non-actief gezet. Alle gekoppelde gegevens blijven op dat moment nog beschikbaar binnen de iBabs omgeving.

Na 90 dagen van inactiviteit wordt de gebruiker en bijbehorende gegevens gekoppeld aan de gebruiker verwijderd uit de iBabs omgeving.

Worden mijn gegevens gedeeld met derden?

iBabs B.V. biedt de dienst van iBabs aan als een clouddienst, zij treden daarom in opdracht van de Universiteit Utrecht op als verwerker van de gegevens binnen iBabs. Tussen de Universiteit Utrecht en iBabs is een verwerkingsovereenkomst gesloten.

iBabs B.V. maakt gebruik van CYSO Hosting B.V. als hostingpartner, CYSO Hosting B.V. treed daarmee op als sub-verwerker van iBabs B.V. het gebruik van CYSCO Hosting B.V. is opgenomen in de verwerkingsovereenkomst tussen de Universiteit Utrecht en iBabs.

Worden mijn gegevens doorgegeven naar derde landen?

Nee, er vindt geen doorgifte plaats van gegevens naar derde landen buiten de Europese Economische Ruimte (EER).

Wat is de wettelijke grondslag van deze gegevensverwerking?

De grondslag voor de verwerking van persoonsgegevens via iBabs is het gerechtvaardigd belang. Het gerechtvaardigd belang vereist dat er een afweging wordt gemaakt van de belangen en de noodzakelijkheid van de verwerking. In de toelichting hieronder worden deze uitgewerkt en afgewogen.

Gerechtvaardigd belang van de Universiteit Utrecht

Het is in het belang van de Universiteit Utrecht om de bestuurslaag te voorzien van de middelen effectief en efficiënt te vergaderen. Door het gebruik van een vergader tool als iBabs kan de agenda van de vergadering, alsmede relevante documentatie gedeeld worden met de (gemachtigde) deelnemers van de vergadering.
Ook is het in het belang van de Universiteit om adequate beveiligingsmaatregelen te nemen ter bescherming van de verzamelde (persoons)gegevens van haar medewerkers en om te voldoen aan de beveiligings- en datalekvereisten zoals voorgeschreven in de AVG. Omdat hde bestuurslaag van de Universiteit Utrecht niet onregelmatig met vertrouwelijke informatie werkt en op basis daarvan vergadert, moet de Universiteit over de mogelijkheid beschikken om deze informatie op een gepaste manier te ontsluiten, bespreken en bewerken ter voorbereiding op, of tijdens een vergadering.

Noodzakelijkheid 

De toetsing van de noodzakelijkheid van de verwerking bestaat uit twee beginselen, het proportionaliteitsbeginsel en het subsidiariteitsbeginsel.

Het proportionaliteitsbeginsel vereist dat een gebalanceerde afweging tussen de belangen van de verweringsverantwoordelijke en de betrokkene. De verwerking moet passend en proportioneel zijn met het beoogde doel van de verwerking en mag niet excessief zijn ten opzichte van het doel. Als het doel bereikt kan worden met minder data zou het aantal verwerkte gegevens moeten worden teruggebracht.

Voor het subsidiariteitsbeginsel moet de afweging gemaakt worden of het doel redelijkerwijs bereikt kan worden met minder invasieve alternatieven.

Proportionaliteit 

Tegenover het gerechtvaardige belang van de Universiteit Utrecht is er het belang van de betrokkene. Het belang van de betrokkene is dat hun privacy belangen gewaarborgd worden en de verwerking van hun persoonsgegevens wordt beperkt tot het noodzakelijke en rechtmatige doel. Daar waar het toch noodzakelijk is om persoonsgegevens verzameld worden is het van belang voor de betrokkene dat dit op een zorgvuldig manier gebeurt.

Subsidiariteit

iBabs is een volwassen product en het platform is geschikt om veel breder in de organisatie in te zetten. Het is mogelijk om in iBabs een gehele besluitcyclus in te richten, zoals dat bij de lokale overheden (gemeenten) ook vaak wordt gebruikt, bijvoorbeeld om de besluiten van het College van Burgemeester en Wethouders naar de Commissie te brengen, en vervolgens naar de raadsvergaderingen om zo het hele proces in te richten. Er zijn geen dermate grote risico’s geconstateerd die verseisen dat de UU een andere overweging zou moeten maken met betrekking tot de gekozen tooling voor het agenda beheer.

Afweging

De Universiteit heeft een duidelijk belang bij het beheerd delen van agenda’s tbv van vergaderingen en (vertrouwelijke) documenten ter voorbereiding van vergaderingen voor de bestuurslaag van de organisatie. Er wordt voldaan aan het principe van data minimalisatie en de verzamelde persoonsgegevens van de betrokkene zijn proportioneel voor het beoogde doel. Gezien de beperkte inbreuk, de relatief beperkte groep betrokkene en het belang van de Universiteit Utrecht om te voldoen aan de wettelijke vereisten met betrekking tot gegevensbescherming  wegen de belangen van de UU voor het gebruik van iBabs als agendabeheer tool op tegen de (privacy)belangen van de betrokkenen.

Welke rechten heb ik volgens de AVG en hoe kan ik deze uitoefenen?

Als betrokkene heb je bepaalde rechten. Namelijk het recht op inzage, het recht op rectificatie van persoonsgegevens, het recht op gegevenswissing, het recht op beperking van verwerking, het recht op bezwaar. Mocht je gebruik willen maken van deze rechten, dan kunt je jouw verzoek richten aan Privacy@uu.nl. Het kan voorkomen dat tijdens deze procedure om identiteitsbewijzen wordt gevraagd.

Wanneer je bezwaar maakt, zal er van geval tot geval bekeken worden of aan dit bezwaar kan of moet worden voldaan. De Universiteit Utrecht staakt de verwerking van persoonsgegevens tenzij er dringende gerechtvaardigde gronden aangevoerd worden die zwaarder wegen dan jouw belangen, rechten en vrijheden.

Is er sprake van geautomatiseerde besluitvorming of profilering?

Er is geen sprake van geautomatiseerde besluitvorming. Dat wil zeggen dat er nooit besluiten worden genomen zonder menselijke tussenkomst. Er is ook geen sprake van profilering.

Vragen

Als u vragen heeft over dit privacy statement, dan kan u die stellen aan privacy@uu.nl. Wilt u een klacht indienen? Dan kan dat bij de functionaris voor gegevensbescherming van de Universiteit Utrecht, te bereiken op fg@uu.nl. Het staat u ook altijd vrij om een klacht in te dienen bij de Autoriteit Persoonsgegevens, de privacy waakhond van Nederland.