Privacy Statements
Versie 29-02-2024
In deze privacyverklaring leggen we uit wat er gebeurt met jouw persoonsgegevens wanneer deze worden verwerkt bij in het mobile endpoint management systeem (Intune); het beheer systeem voor mobiele apparaten (telefoons en tablets) die door de UU in bruikleen worden gesteld, of persoonlijke (bring your own) apparaten die ook zakelijk gebruikt worden voor toegang tot UU informatievoorzieningen.
Wie is er verantwoordelijk voor de gegevensverwerking?
De Universiteit Utrecht (hierna UU), gevestigd aan de Heidelberglaan 8, 3584 CS Utrecht, is verantwoordelijk voor de verwerkingen die worden omschreven in deze privacyverklaring.
Voor welke doeleinden worden mijn persoonsgegevens verwerkt?
De doelstelling van het beheer van mobiele apparaten (mobile endpoint management) is de UU-data op mobiele apparaten op een dusdanige manier te beveiligen dat deze niet onbedoeld beschikbaar worden voor iemand anders dan de eigenaar van het apparaat. Dit platform stelt de medewerkers in staat om productief te zijn op al hun apparaten, terwijl de informatie van de UU beveiligd blijft op basis van het UU-informatiebeveiligingsbeleid.
Welke persoonsgegevens worden verwerkt?
Bij het gebruik van een zakelijk, door de UU beheerd, apparaat:
Voor het beheer van de door de UU uitgegeven mobiele apparaten worden de volgende persoonsgegevens verwerkt:
| Naamgegevens |
|
| Contactgegevens |
|
| Apparaat informatie |
|
| Activiteiten logboek |
|
Bij het gebruik van een persoonlijk, bring your own device, met toegang tot UU informatievoorzieningen:
| Naamgegevens |
|
| Contactgegevens |
|
| Apparaat informatie |
|
| Activiteiten logboek |
|
Hoe lang worden deze persoonsgegevens bewaard?
Universiteit Utrecht:
De bewaartermijn van het Intune beheerprofiel binnen Intune loopt gelijk met de algemene systemen van de UU voor het beheren van (digitale) toegangsrechten. Zodra een medewerker uit dienst treedt bij de UU zullen de gegevens uit deze systemen, en daarmee ook uit Intune, verwijderd worden.
Wanneer een zakelijk apparaat weer wordt ingeleverd, wordt deze wel uit Intune verwijderd. Na het verwijderen is er geen informatie over het apparaat meer beschikbaar.
Microsoft:
Microsoft bewaard de Azure logs gedurende 30 tot 90 dagen. De audit logs van het betreffende beheerprofiel bewaren zij tot één jaar.
Welke beheer mogelijkheden heeft de UU op het mobiele apparaat?
Bij het gebruik van een zakelijk, door de UU beheerd, apparaat:
Wanneer het mobiele apparaat wordt aan de medewerkers ter beschikking gesteld op basis van bruikleen. Het apparaat blijft in eigendom van de UU en het apparaat en de zakelijke applicaties worden gedeeltelijk beheerd door de UU. Dit beheer vindt plaats middels het beheerprofiel op het apparaat: Mobile Application Management (MAM). In de praktijk betekent dit het volgende voor het beheermogelijkheden van het apparaat:
- Het beheerteam van de UU heeft als eigenaar van het apparaat beheermogelijkheden over alle door de UU ter beschikking gestelde apps;
- Alleen de toegang tot zakelijke applicaties wordt beheerd;
- De beheermogelijkheden bestaan uit:
- Het afdwingen van een 6-cijferige pincode op het apparaat;
- Het afdwingen van een 6-cijferige pincode op de zakelijke applicaties;
- Alleen zakelijke applicaties die de UU aanbiedt kunnen geïnstalleerd worden via het UU-account;
- Mogelijkheid tot het uitvoeren van een reset 6-cijferige pincode van de zakelijke applicaties;
- De mogelijkheid tot het verwijderen van de zakelijke UU applicaties;
- Na 30 minuten inactiviteit binnen de zakelijke applicatie moet de code voor de applicatie opnieuw worden ingevoerd;
- De toegang tot de zakelijke applicaties ontzeggen nadat het apparaat 90 dagen geen contact heeft kunnen leggen met Solis Cloud Endpoint Management;
- Mogelijkheid tot het op afstand vergrendelen van de telefoon.
- Door de UU ter beschikking gestelde apps kunnen middels de Company Portal app geïnstalleerd worden door de medewerker;
- De opslag op het apparaat zal versleuteld worden zodat eventueel lokaal opgeslagen bestanden veilig gebruikt kunnen worden;
- Privé gebruik van het zakelijke apparaat is toegestaan, mits binnen de beleidsregels
Bij het gebruik van een persoonlijk, bring your own device, met toegang tot UU informatievoorzieningen:
Het mobiele apparaat is een persoonlijk apparaat van de gebruiker. De gebruiker is en blijft eigenaar van het mobiele privé apparaat. Wanner de gebruiker het apparaat aanmeldt om toegang te krijgen tot UU informatievoorzieningen komt de toegang tot de zakelijke UU applicaties onder het beheer van de UU te vallen. Dit beheer vindt plaats middels het beheerprofiel op het apparaat: Mobile Application Management – Without Enrollment (MAM-WE). In de praktijk betekent dit het volgende voor het beheermogelijkheden van het apparaat:
- Het apparaat is en blijft eigendom van de medewerker;
- De medewerker heeft toegang tot de beheerde zakelijke apps;
- Alleen data in de apps waar het zakelijke account voor gebruikt wordt worden beheerd;
- Het apparaat moet voorzien worden van een 6-cijferige pincode;
- Alle data van de zakelijke applicaties staan in de cloud en kunnen niet lokaal uitgewisseld worden;
- De toegang tot zakelijke applicaties kan worden ingetrokken.
Worden mijn gegevens gedeeld met derden?
Intune is een dienst die op basis van cloud technologie wordt aangeboden (Software as a Service) en draait binnen de digitale Azure omgeving van Microsoft.
Als verwerker en aanbieder van de dienst worden er tijdens deze verwerking gegevens gedeeld met Microsoft.
Worden mijn gegevens doorgegeven naar derde landen?
De data centers waarop de Azure servers waar de UU gebruik van maakt, bevinden zich binnen de EER. Echter worden er gedurende de verwerking door Intune gegevens doorgegeven naar Microsofts vestigingen in de Verenigde Staten. Het gaat hierbij om de volgende gegevens:
- IMEI nummer;
- Naam account;
- Email adres;
- Fabrikant;
- Model;
- Serie nummer apparaat;
- Laatste login gebruiker;
- Laatste contact met Solis Cloud Endpoint Management;
- Besturingssysteem en versie;
- User ID;
- Naam apparaat;
- Apparaat type;
- IP adres.
Voor internationale doorgifte van persoonsgegevens naar de Verenigde Staten heeft de Europese Commissie op 10 juli 2023 een adequaatheidsbesluit genomen.
Tevens maakt de UU gebruik van de model overeenkomst voor de educatieve sector, waarin SURF aanvullende maatregelen overeen is gekomen met Microsoft omtrent de bescherming van persoonsgegevens.
Wat is de wettelijke grondslag van deze gegevensverwerking?
De verwerking vindt plaats in overeenstemming met artikel 6, lid 1, sub f AVG op basis van het gerechtvaardigd belang van de UU.
Het is in het belang van de UU en haar medewerkers dat medewerkers hun werk op een flexibele en veilige manier kunnen uitvoeren. De UU stelt hiervoor verschillende middelen beschikbaar ter bescherming van de verzamelde persoonsgegevens van haar medewerkers. Omdat de UU eigenaar blijft van de middelen die in bruikleen worden gegeven, is het ook de UU die zorg draagt voor een juiste inrichting van deze middelen. Dit geldt ook voor de digitale omgeving van de UU en daarmee is de UU verantwoordelijk voor een veilige digitale omgeving waarin het al haar medewerkers beschermt.
Middels het beheerprofiel op de zakelijke middelen die de UU beschikbaar stelt, is het mogelijk om eventuele privé activiteiten tot op zekere hoogte te monitoren (Bv. een inventarisatie van alle geïnstalleerde applicaties op het apparaat).
De UU heeft zowel technische als organisatorische maatregelen genomen om de verwerking op een veilige en verantwoorde manier te laten verlopen. Zo is de toegang tot het beheerportal alleen beschikbaar voor een beperkt aantal medewerkers en krijgen zij alleen de rechten toegewezen die noodzakelijk zijn voor het uitvoeren van hun werkzaamheden. Daarbij worden de acties die de beheerders uitvoeren altijd gelogd, zodat genomen acties altijd herleidbaar zijn naar een individu.
Welke rechten heb ik volgens de AVG en hoe kan ik deze uitoefenen?
Als betrokkene heb je bepaalde rechten. Namelijk het recht op inzage, het recht op rectificatie van persoonsgegevens, het recht op gegevenswissing, het recht op beperking van verwerking, het recht op bezwaar. Mocht je gebruik willen maken van deze rechten, dan kunt je via Formulier privacy verzoek (uu.nl) jouw verzoek indienen.
Wanneer je bezwaar maakt, zal er van geval tot geval bekeken worden of aan dit bezwaar kan of moet worden voldaan. De UU staakt de verwerking van persoonsgegevens tenzij er dringende gerechtvaardigde gronden aangevoerd worden die zwaarder wegen dan jouw belangen, rechten en vrijheden.
Is er sprake van geautomatiseerde besluitvorming of profilering?
Er is geen sprake van geautomatiseerde besluitvorming. Dat wil zeggen dat er nooit besluiten worden genomen zonder menselijke tussenkomst. Er is ook geen sprake van profilering.
Vragen of klachten?
Heb je naar aanleiding van de bovenstaande informatie nog specifieke vragen of heb je op- of aanmerkingen over deze privacyverklaring? Neem dan gerust contact met ons op. Je kunt hiervoor een bericht sturen aan privacy@uu.nl.
De UU heeft een functionaris voor de gegevensbescherming (FG) aangesteld. Dit is een interne adviseur en toezichthouder die ook voor jou van belang kan zijn, namelijk wanneer je informatie wenst over onze verwerking van persoonsgegevens of wanneer je daarover een klacht wilt indienen. Je kunt contact met onze FG opnemen via fg@uu.nl.
We wijzen je erop dat je bovendien het recht hebt om een klacht in te dienen bij de toezichthouder, de Autoriteit Persoonsgegevens.
Contactgegevens Universiteit Utrecht
Heidelberglaan 8
3584 CS Utrecht
Tel. (030) 253 35 50
