Privacyverklaring centrale opslag data met betrekking tot digitale gebruikerservaringen (UX)

Versie 31-10-2024

Deze privacyverklaring is specifiek bedoeld voor medewerkers die gebruik maken van het UX (User Experience) opslagplaats en voor deelnemers aan user experience gerelateerd onderzoek wiens gegevens worden verwerkt bij de Universiteit Utrecht (UU).

Een UX opslagplaats is een centrale digitale plek waar alle bestanden, ontwerpen en documenten voor de gebruikerservaring (UX) van een product of applicatie worden bewaard. Hierbij valt te denken aan:

• Ontwerpen van schermen en knoppen;
• Onderzoek naar de gebruikerservaringen of behoeftes;
• Beschrijvingen van hoe een gebruiker door de app beweegt;
• Stijlrichtlijnen, zoals kleuren en lettertypes.

De UU wil op een zorgvuldige manier omgaan met de persoonsgegevens van iedereen die bij ons werkt, studeert of deelneemt aan onderzoek.

In deze privacyverklaring informeren we je in algemene zin over de persoonsgegevens die we verwerken, over de doeleinden waarvoor we dat doen, over jouw privacyrechten en over andere zaken die voor jou van belang kunnen zijn.

Voor welke doeleinden verwerkt de UU mijn persoonsgegevens?

De persoonsgegevens die wij van je verzamelen, worden door de UU verwerkt voor de volgende doelen:

Ter centralisatie van onderzoeksdata met betrekking tot de gebruikerservaring in één georganiseerd systeem. Dit draagt bij aan het verbeteren en waarborgen van de kwaliteit, consistentie en efficiëntie van de data. Deze kunnen vervolgens worden gebruikt als input voor producten, diensten of programma’s.

Welke persoonsgegevens verzamelt de UU van mij?

De UU verwerkt de volgende gegevens van jou als deelnemer van een UX gerelateerd onderzoek:

• Onderzoek data, zoals audiovisuele opnames of gepseudonimiseerde enquête resultaten of interviews.

De UU verwerkt de volgende gegevens van jou als gebruiker (UU medewerker):

• Naamgegevens;
• SolisID;
• UU mailadres;
• Persoonsgegevens als onderdeel van de loggegevens.

De UU verzamelt (persoons)gegevens direct bij jou, maar in voorkomende gevallen ontvangt de UU ook persoonsgegevens via derden. Dit gebeurt alleen voor zover dat in overeenstemming is met de wet of voor zover je daar toestemming voor hebt gegeven.

Mag de UU mijn persoonsgegevens verwerken?

De UU mag jouw persoonsgegevens alleen verwerken op basis van een grondslag die in de wet is genoemd. De UU verwerkt jouw persoonsgegevens op basis van de volgende grondslag(en):

• De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de UU.

De verwerking van persoonsgegevens ten behoeve van toegang tot het systeem vindt plaats op basis van het gerechtvaardigde belang van de UU.

De UU dient de data waarvoor zij verantwoordelijk is op gepaste wijze te beschermen en beperkt daarom de toegang tot degene die daar toe bevoegd zijn. Voor de toegang tot het systeem worden slechts noodzakelijke persoonsgegevens verwerkt om de identiteit te controleren en vast te stellen bevoegd bent om toegang tot het systeem te krijgen.

• Je hebt toestemming gegeven voor deze verwerking van jouw persoonsgegevens.

U hebt toestemming gegeven voor deze verwerking van uw persoonsgegevens als deelnemer van een UX gerelateerd onderzoek. Als u meedoet met een onderzoek kan er bijvoorbeeld aan u worden gevraagd of u toestemming geeft voor de verwerking van uw persoonsgegevens.

Hoe lang bewaart de UU mijn persoonsgegevens?

De UU bewaart jouw persoonsgegevens in overeenstemming met de AVG. Dit wil zeggen dat de gegevens niet langer worden bewaard dan strikt noodzakelijk is om de doelen te bereiken waarvoor de gegevens verzameld zijn.

• Naamgegevens: Tot 30 dagen nadat het account wordt verwijderd;
• SolisID: Tot 30 dagen nadat het account wordt verwijderd;
• UU mailadres: Tot 30 dagen nadat het account wordt verwijderd;
• Persoonsgegevens als onderdeel van de loggegevens: Tot 30 dagen nadat het account wordt verwijderd;
• Onderzoek data, zoals audiovisuele opnames of gepseudonimiseerde enquête resultaten of interviews: Audiovisuele opnames worden verwijderd zodra het project is afgerond. Voor gepseudonimiseerde onderzoek data geldt dat deze worden verwijderd wanneer ze niet meer relevant zijn voor het initiële doel waarvoor deze gegevens verzameld zijn. De data wordt hier periodiek op geavaleerd.

Na het verstrijken van deze bewaartermijnen zal de UU de betreffende persoonsgegevens verwijderen.

Met wie worden mijn persoonsgegevens gedeeld?

De UU kan andere organisaties opdracht geven om bepaalde onderdelen van onze dienstverlening namens ons te verzorgen. Als dergelijke organisaties in het kader van die opdracht persoonsgegevens verwerken, noemen we hen verwerkers. De UU maakt afspraken met deze verwerkers om een vertrouwelijke en zorgvuldige omgang met persoonsgegevens te waarborgen. Deze afspraken worden contractueel vastgelegd in zogeheten verwerkersovereenkomsten. Soms maken deze verwerkers voor het verlenen van hun dienst gebruik van diensten van derden. Deze derden noemen we sub-verwerkers. Voor deze sub-verwerkers gelden dezelfde voorwaarden als voor de verwerker.

Jouw persoonsgegevens worden nooit verhuurd of verkocht. De UU kan jouw (persoons)gegevens wél met derden delen als je daar bijvoorbeeld zelf toestemming voor hebt gegeven of als dat noodzakelijk is om een overeenkomst tussen jou en de UU te kunnen uitvoeren.

De categorieën van derden waarmee de UU persoonsgegevens deelt zijn:

Organisaties die betrokken zijn bij de verwerking van uw persoonsgegevens kunnen mogelijk ook gevestigd zijn buiten de Europese Economische Ruimte (EER). Voor landen gevestigd buiten de EER gelden aparte regels. Doorgifte mag alleen plaatsvinden naar derde landen met een passend beschermingsniveau, dit kan op basis van een adequaatheidsbesluit van de Europese Commissie, passende waarborgen en of specifieke uitzonderingen. Als je daar meer over wil weten kan je contact opnemen met privacy@uu.nl.

Wat zijn mijn rechten onder de AVG?

De AVG geeft jou een groot aantal rechten met betrekking tot je persoonsgegevens. Zo heb je het recht om tijdig, duidelijk en volledig te worden geïnformeerd over onze verwerking van jouw gegevens. Vandaar onder meer deze privacyverklaring. Daarnaast heb je het recht om je gegevens in te zien en om ze te laten corrigeren of verwijderen. In bepaalde gevallen heb je het recht om de verwerking van je gegevens tijdelijk te laten bevriezen (‘beperken’), het recht om bezwaar te maken tegen de verwerking en het recht om niet te worden onderworpen aan beslissingen die voortvloeien uit volledig geautomatiseerde processen (dus zonder menselijke tussenkomst) waar je serieuze gevolgen van kunt ondervinden. En tot slot heb je in enkele gevallen het recht om een hele set aan gegevens die we van je hebben, te laten overdragen op een andere organisatie. Dit wordt het recht op overdraagbaarheid genoemd.

Hoe zit het met het geven en intrekken van toestemming?

Als we jouw gegevens verwerken op basis van je toestemming, heb je het recht om deze toestemming ook weer in te trekken. Dit kan altijd, dus ook nadat we jouw gegevens al hebben verzameld. Het intrekken van je toestemming gaat net zo gemakkelijk als het verlenen ervan, en je hoeft niet te zeggen waaróm je je toestemming intrekt. Houd wel rekening met het volgende: als je je toestemming intrekt, hoeven we datgene wat we tot op dat moment met je persoonsgegevens hebben gedaan, niet ongedaan te maken. Het intrekken van je toestemming werkt dus niet met terugwerkende kracht.

Kan ik mijn persoonsgegevens inzien, (laten) corrigeren of (laten) verwijderen?

Je hebt het recht om te weten welke persoonsgegevens we van jou verwerken. Op jouw verzoek verstrekken we je kosteloos een overzicht van al die gegevens of een specifiek deel waarin jij geïnteresseerd bent. Daarbij geven we je aanvullende informatie, bijvoorbeeld waarom we die gegevens verwerken, hoelang we ze bewaren, enzovoort.

Wij moeten er zorg voor dragen dat al jouw persoonsgegevens die op onze systemen staan, correct zijn. Als je merkt (of als je denkt) dat bepaalde persoonsgegevens feitelijk onjuist zijn, kun je ons verzoeken die gegevens te corrigeren. En omdat onze gegevens niet alleen correct moeten zijn, maar ook volledig, mag je die gegevens aanvullen. In bepaalde gevallen kun je dit doen door ons een verklaring aan te bieden die wij dan aan je gegevens toevoegen.

Er zijn situaties waarin je ons kunt vragen bepaalde gegevens van jou te wissen. Je kunt dit bijvoorbeeld doen als je vindt dat wij deze gegevens niet meer nodig hebben of dat we deze onrechtmatig verwerken, als je je toestemming hebt ingetrokken of als je bezwaar hebt gemaakt tegen de verwerking. Wij gaan dan na of er gegronde redenen zijn om je persoonsgegevens desondanks te bewaren. Zijn die redenen er niet, dan wissen we jouw gegevens.

Wanneer kan ik bezwaar maken tegen de verwerking?

In bepaalde gevallen verwerken we jouw persoonsgegevens omdat dit nodig is voor het uitvoeren van een taak van algemeen belang of voor het behartigen van onze gerechtvaardigde belangen (of die van een andere persoon of organisatie). In dergelijke gevallen vragen we je niet om toestemming te geven voor de verwerking, maar kun je daar wel bezwaar tegen maken op basis van jouw specifieke situatie. Als je bezwaar maakt, zullen we de verwerking opschorten en jouw rechten, vrijheden en belangen afwegen tegen onze belangen. Daarbij letten we op jouw specifieke situatie. Wegen onze belangen zwaarder, dan hervatten we de verwerking. Wegen de rechten, vrijheden en belangen in jouw specifieke geval zwaarder, dan stoppen we de verwerking definitief. In beide gevallen laten we je weten wat we hebben besloten.

Wat houdt het in dat ik de verwerking kan ‘beperken’?

Het beperken van de verwerking is niets anders dan dat je de verwerking tijdelijk kunt ‘bevriezen’. Als je ons verzoekt de verwerking van jouw persoonsgegevens te beperken, mogen we er niets anders meer mee doen dan ze bewaren. Je hebt het recht om de verwerking van jouw persoonsgegevens te beperken als een van de volgende situaties van toepassing is:

• Je betwist de nauwkeurigheid van de gegevens, in welk geval we de verwerking van jouw gegevens onderbreken totdat we de juistheid ervan hebben geverifieerd.
• De verwerking is onrechtmatig of de UU heeft je persoonsgegevens niet meer nodig voor het doel waarvoor de gegevens zijn verzameld en je wilt niet dat wij jouw persoonsgegevens wissen.
• Je hebt, in overeenstemming met jouw recht op bezwaar, bezwaar gemaakt tegen de verwerking van jouw persoonsgegevens en je bent in afwachting van de uitkomst op jouw bezwaar.

Neemt de UU volledig geautomatiseerde beslissingen?

Je hoeft het niet te accepteren dat er beslissingen over jou worden genomen zonder dat daar een mens aan te pas komt, terwijl die beslissingen voor jou wél wezenlijke gevolgen hebben.

Voor gebruikers of deelnemers aan UX gerelateerd onderzoek geldt dat er door de UU nooit geautomatiseerde beslissingen worden genomen die wezenlijke gevolgen voor hen hebben.

Kan ik mijn persoonsgegevens laten overdragen aan een andere organisatie?

Als wij persoonsgegevens van jou verwerken op grond van jouw toestemming of een met jou gesloten overeenkomst, heb jij ten aanzien van die gegevens het recht om deze door jou digitaal verstrekte gegevens (terug) te ontvangen in een gangbaar bestandsformaat. Je bent vrij die gegevens vervolgens door te geven aan een andere partij.

Hoe kan ik deze rechten uitoefenen?

Als je een of meer van bovengenoemde rechten wilt uitoefenen, kun je een verzoek indienen middels het formulier privacy verzoek Wij hebben dan een maand de tijd om op je verzoek te reageren. Bij heel complexe verzoeken (of als er heel veel verzoeken tegelijk binnenkomen) hebben we soms meer tijd nodig (maximaal twee maanden extra). Dit laten we je dan binnen die eerste maand weten.

Bij het uitoefenen van jouw rechten is het noodzakelijk dat wij eerst jouw identiteit vaststellen. Dit doen we op een manier die past bij de situatie waar het om gaat en bij het recht dat jij wilt uitoefenen.

Individuele beoordeling
We willen je erop wijzen dat de bovenbeschreven rechten geen absolute rechten zijn. Ieder verzoek beoordelen we individueel. Soms kunnen er omstandigheden zijn die maken dat we aan een bepaald verzoek geen gehoor kunnen geven. Als dit zo is, laten we je weten waaróm dat zo is.

Hoe beveiligt de UU mijn persoonsgegevens?

De UU gaat vertrouwelijk om met persoonsgegevens. De UU neemt passende technische en organisatorische maatregelen, zodat jouw persoonsgegevens goed worden beschermd.

Technische maatregelen

Om jouw persoonsgegevens optimaal te beschermen tegen onbevoegde toegang of onbevoegd gebruik, heeft de UU passende beveiligingstechnologie in gebruik. Van (pogingen tot) misbruik doen wij aangifte. De UU neemt daarnaast organisatorische maatregelen om persoonsgegevens te beveiligen tegen toegang door onbevoegden.

Organisatorische maatregelen

Binnen de organisatie heeft de UU een groot aantal maatregelen getroffen om ervoor te zorgen dat jouw gegevens niet alleen technisch beveiligd zijn, maar dat ook de kans op menselijke fouten en misbruik tot een minimum beperkt wordt.

Vragen? Klachten?

Heb je naar aanleiding van de bovenstaande informatie nog specifieke vragen of heb je op- of aanmerkingen over deze privacyverklaring? Neem dan gerust contact met ons op. Je kunt hiervoor een bericht sturen aan privacy@uu.nl.

De UU heeft een functionaris voor de gegevensbescherming (FG) aangesteld. Dit is een interne adviseur en toezichthouder die ook voor jou van belang kan zijn, namelijk wanneer je informatie wenst over onze verwerking van persoonsgegevens of wanneer je daarover een klacht wilt indienen. Je kunt contact met onze FG opnemen via fg@uu.nl.

We wijzen je erop dat je bovendien het recht hebt om een klacht in te dienen bij de toezichthouder, de Autoriteit Persoonsgegevens.

Contactgegevens Universiteit Utrecht

Heidelberglaan 8
3584 CS Utrecht
Tel. (030) 253 35 50

Privacyverklaring: versie en beleidsdocument

Deze privacyverklaring is voor het laatst gewijzigd op 31-10-2024. Van tijd tot tijd brengen we wijzigingen aan in deze privacyverklaring. Wil je zeker weten dat je de meest recente versie gebruikt, kijk dan op onze website.