Privacy Statements
Privacyverklaring SURF Works (Nextcloud)
In deze privacyverklaring leggen we uit wat er gebeurt met jouw persoonsgegevens wanneer deze worden verwerkt bij gebruik van SURF Works.
Wie is er verantwoordelijk voor de gegevensverwerking?
De Universiteit Utrecht is verantwoordelijk voor de verwerkingen die worden omschreven in deze privacyverklaring.
Voor welke doeleinden worden mijn persoonsgegevens verwerkt?
Je persoonsgegevens worden verwerkt om het gebruik van de SURF Works mogelijk te maken. Het doel van SURF Works is samen te kunnen werken met partijen binnen en buiten de UU.
Welke persoonsgegevens worden verwerkt?
Los van gegevens die je zelf deelt en bewaart in SURF Works worden de volgende gegevens verwerkt:
- Je naam,
- Je e-mail adres,
- Je SolisID of EduID en een uniek ID in beheer van SURF,
- Je IP-adres en andere loggingsgegevens,
- Gegevens over je gebruik, zoals hoeveel opslag je gebruikt, wie de eigenaar of gebruiker is van een mapje, en
- Bij welk bedrijfsonderdeel van de UU je werkzaam bent.
Hoe lang worden deze persoonsgegevens bewaard?
Gegevens met betrekking tot je account worden bewaard zolang je een account bij de UU hebt.
Gegevens over je gebruik (logging) worden beperkt bewaard voor beveiliginsdoeleinden.
Worden mijn gegevens gedeeld met derden?
Het platform SURF works wordt geleverd door SURF. SURF beheert de technologie waarop SURF Works gebaseerd is (Nextcloud) en stelt deze via haar datacenters in Nederland beschikbaar.
Worden mijn gegevens doorgegeven naar derde landen?
Nee, er vindt geen doorgifte plaats van gegevens naar derde landen buiten de Europese Economische Ruimte.
Wat is de wettelijke grondslag van deze gegevensverwerking?
Gerechtvaardigde belang van de Universiteit Utrecht
De Universiteit Utrecht streeft naar meer autonomie en soevereiniteit op het gebied van IT. SURF Works biedt is een samenwerkingsplatform dat dit streven ondersteund doordat het binnen Nederland door een Nederlandse organisatie (SURF) beheerd en gehost wordt. Het platform is daarnaast transparant (open source), maakt een naadloze gebruiksvriendelijke integratie mogelijk met de bestaande IT-infrastructuur en voldoet aan de eisen rondom gegevensbescherming en informatiebeveiliging.
Noodzakelijkheid
De toetsing van de noodzakelijkheid van de verwerking bestaat uit twee beginselen, het proportionaliteitsbeginsel en het subsidiariteitsbeginsel.
Het proportionaliteitsbeginsel vereist dat een gebalanceerde afweging tussen de belangen van de verwerkingsverantwoordelijke en de betrokkene. De verwerking moet passend en proportioneel zijn met het beoogde doel van de verwerking en mag niet excessief zijn ten opzichte van het doel. Als het doel bereikt kan worden met minder data zou het aantal verwerkte gegevens moeten worden teruggebracht.
Voor het subsidiariteitsbeginsel moet de afweging gemaakt worden of het doel redelijkerwijs bereikt kan worden met minder invasieve alternatieven.
– Proportionaliteit
Het beoogde doel van het gebruik van SURF Works is het aanbieden van een meer autonome en soevereine gebruiksvriendelijke en veilige omgeving waar medewerkers en studenten kunnen samenwerken binnen de UU en ook met partijen buiten de UU.
Hierbij is het noodzakelijk dat er inzicht en beheer mogelijkheden zijn en genoemde persoonsgegevens worden verwerkt. Voor gebruikers zodat zij weten of zij zelf regie kunnen voeren over hun data en in hun samenwerking met anderen en voor de UU om overzicht te houden over kosten en veiligheid.
Als onderdeel van het aanbieden van een veilige omgeving voor het opslaan van data is het noodzakelijk om alleen geautoriseerde gebruikers toegang te geven tot de omgeving en hen te voorzien van de passende permissies op functies, zoals document editing, communicatie, formulieren en ook op bestanden en/of folders.
De persoonsgegevens die binnen SURF Works worden verwerkt staan in verhouding tot deze doelen en worden niet voor andere doeleindes gebruikt. De gegevensverwerking door SURF Works wordt dan ook als proportioneel beoordeeld omdat deze noodzakelijk en passend zijn voor de beoogde doelen en de beveiliging van persoonsgegevens wordt gewaarborgd.
– Subsidiariteit
SURF Works is een alternatief voor Big Tech-samenwerkingsomgevingen. Voor een succesvolle implementatie is het van belang dat het dezelfde functionaliteit en ook veiligheid biedt als de Big-Tech-omgevingen en het naadloos in het bestaande systeem past. Daarbij is het ook van belang dat het verwerken van persoonsgegevens voor dit doeleinde tot een minimum wordt beperkt om privacy zo goed mogelijk te waarborgen.
Afweging
Zowel de UU als haar medewerkers, studenten en partners hebben belang bij een gebruiksvriendelijk en efficiënt systeem voor het opslaan, delen en samenwerken waarbij de persoonsgegevens voldoende worden beschermd en de beschikbaarheid, integriteit en vertrouwelijkheid van data worden gewaarborgd.
SURF Works wordt hierbij gezien als de minst ingrijpende en effectieve oplossing. Daar waar het voldoet aan de eisen voor zowel de informatiebeveiliging als gegevensbescherming van de UU alsook de gewenste business functionaliteit.
Welke rechten heb ik volgens de AVG en hoe kan ik deze uitoefenen?
De AVG geeft jou een aantal rechten met betrekking tot je persoonsgegevens. Je hebt het recht om je gegevens in te zien en om ze te laten corrigeren of verwijderen. Bij deze verwerking heb je ook het recht om de verwerking van je gegevens tijdelijk te laten bevriezen (‘beperken’) en het recht om bezwaar te maken tegen de verwerking.
Hoe kan ik deze rechten uitoefenen?
Als je een of meer van bovengenoemde rechten wilt uitoefenen, kun je een verzoek indienen middels het formulier privacy verzoek. Wij hebben dan een maand de tijd om op je verzoek te reageren. Bij heel complexe verzoeken (of als er heel veel verzoeken tegelijk binnenkomen) hebben we soms meer tijd nodig (maximaal twee maanden extra). Dit laten we je dan binnen die eerste maand weten.
Is er sprake van geautomatiseerde besluitvorming of profilering?
Er is geen sprake van geautomatiseerde besluitvorming. Dat wil zeggen dat er nooit besluiten worden genomen zonder menselijke tussenkomst. Er is ook geen sprake van profilering.
Vragen? Klachten?
Heb je naar aanleiding van de bovenstaande informatie nog specifieke vragen of heb je op- of aanmerkingen over deze privacyverklaring? Neem dan gerust contact met ons op. Je kunt hiervoor een bericht sturen aan privacy@uu.nl.
De UU heeft een functionaris voor de gegevensbescherming (FG) aangesteld. Dit is een interne adviseur en toezichthouder die ook voor jou van belang kan zijn, namelijk wanneer je informatie wenst over onze verwerking van persoonsgegevens of wanneer je daarover een klacht wilt indienen. Je kunt contact met onze FG opnemen via fg@uu.nl.
We wijzen je erop dat je bovendien het recht hebt om een klacht in te dienen bij de toezichthouder, de Autoriteit Persoonsgegevens.
Contactgegevens Universiteit Utrecht
Heidelberglaan 8
3584 CS Utrecht
Tel. (030) 253 35 50
Privacyverklaring: versie en beleidsdocument
Deze privacyverklaring is voor het laatst gewijzigd op 24 juni 2026. Van tijd tot tijd brengen we wijzigingen aan in deze privacyverklaring.
