Privacyverklaring Microsoft Defender for Endpoint

Versie 27-11-2024

In deze privacyverklaring leggen we uit wat er gebeurt met jouw persoonsgegevens wanneer deze worden verwerkt door het antivirus programma op je werklaptop of computer. Deze antivirus is Microsoft Defender for Endpoint.

Wie is er verantwoordelijk voor de gegevensverwerking?

De Universiteit Utrecht, gevestigd aan de Heidelberglaan 8, 3584 CS Utrecht, is verantwoordelijk voor de verwerkingen die worden omschreven in deze privacyverklaring.

Hoe ziet de verwerking er uit?

Terwijl jij je werkcomputer gebruikt draait Microsoft Defender in de achtergrond. Dit programma houdt in de gaten of welke applicaties op de computer aanwezig zijn, wanneer applicaties worden opgestart en wat voor verbindingen er worden gemaakt via het internet.

Microsoft Defender herkent wanneer een applicatie die wordt gestart, of een internet verbinding wordt gemaakt, schadelijk is voor jouw apparaat of de Universiteit Utrecht. Daarnaast houdt het bij of de applicaties op de computer de meest recente updates hebben.

Deze verwerking is niet van toepassing op privé apparaten die niet in bezit zijn van de Universiteit Utrecht.

Voor welke doeleinden worden mijn persoonsgegevens verwerkt?

Bovenstaande gegevens worden verwerkt om de Universiteit Utrecht te beveiligen tegen cyberaanvallen of cyberincidenten. Een cyberincident kan namelijk ook beginnen op de laptop van een medewerker.

Welke persoonsgegevens worden verwerkt?

De volgende gegevens worden verwerkt wanneer Microsoft Defender op je Windows UU-apparaat is geactiveerd:

• Unieke identificatienummers,
• Informatie over hard- & software,
• Technische informatie,
• Activiteitenregistratie.

Hoe lang worden deze persoonsgegevens bewaard?

Alle bovenstaande gegevens worden tijdelijk bewaard.

Wie hebben er toegang tot deze gegevens?

Een beperkte groep beheerders en beveiligingsprofessionals hebben toegang tot deze gegevens. Zij gaan hier ook niet zomaar in kijken. Zij kijken pas in deze gegevens als er een zogenaamde alert afgaat, een indicatie vanuit het systeem zelf dat er een beveiligingsrisico is. Om onnodige toegang te ontmoedigen is ook tot een jaar terug te zien wie gegevens van medewerkers heeft bekeken binnen het systeem.

Worden mijn gegevens gedeeld met derden?

Nee, je gegevens worden niet gedeeld met derden.

Wat is de wettelijke grondslag van deze gegevensverwerking?

De wettelijke grondslag betreft een gerechtvaardigd belang. In het kader van dit gerechtvaardigde belang is het volgende overwogen:

Het gerechtvaardigde belang dat de Universiteit Utrecht heeft bij deze verwerking komt voort uit het beveiligen van de omgeving en de (persoons)gegevens die zich daarin bevinden. Deze brengt positieve volgen met zich mee voor de beveiliging van onze digitale omgeving.

Het privacybelang van de betrokkenen moet in deze afgewogen worden tegen het belang van de Universiteit Utrecht. In beginsel hebben gebruikers er namelijk geen belang bij dat hun gegevens verwerkt worden. De gegevensverwerking in kwestie gaat ook vrij ver. Vandaar dat de Universiteit Utrecht beheersmaatregelen heeft genomen om onnodige toegang uit te sluiten en te ontmoedigen.

Uiteindelijk zal het gerechtvaardigde belang van de Universiteit Utrecht bij deze verwerking prevaleren boven de privacy belangen van de gebruikers, gezien de beveiliging van onze omgeving een groot goed is, wat uiteindelijk ook weer positieve privacy effecten met zich meebrengt voor de eindgebruikers. Deze gegevensverwerking draagt immers bij aan het goed functioneren van de beveiliging van IT binnen de Universiteit Utrecht.

Welke rechten heb ik volgens de AVG en hoe kan ik deze uitoefenen?

Als betrokkene heb je bepaalde rechten. Namelijk het recht op inzage, het recht op rectificatie van persoonsgegevens, het recht op gegevenswissing, het recht op beperking van verwerking, het recht op bezwaar. Mocht je gebruik willen maken van deze rechten, dan kunt je jouw verzoek richten aan Privacy@uu.nl. Het kan voorkomen dat tijdens deze procedure om identiteitsbewijzen wordt gevraagd.

Wanneer je bezwaar maakt, zal er van geval tot geval bekeken worden of aan dit bezwaar kan of moet worden voldaan. De Universiteit Utrecht staakt de verwerking van persoonsgegevens tenzij er dringende gerechtvaardigde gronden aangevoerd worden die zwaarder wegen dan jouw belangen, rechten en vrijheden.

Is er sprake van geautomatiseerde besluitvorming of profilering?

Er is geen sprake van geautomatiseerde besluitvorming die significante gevolgen voor je zal hebben.

Vragen

Als u vragen heeft over dit privacy statement, dan kan u die stellen aan privacy@uu.nl. Wilt u een klacht indienen? Dan kan dat bij de functionaris voor gegevensbescherming van de Universiteit Utrecht, te bereiken op fg@uu.nl. Het staat u ook altijd vrij om een klacht in te dienen bij de Autoriteit Persoonsgegevens, de privacy waakhond van Nederland.