Privacyverklaring Surf Research Drive

In deze privacyverklaring leggen we uit wat er gebeurt met jouw persoonsgegevens wanneer deze worden verwerkt bij gebruik van SURF Research Drive.

Wie is er verantwoordelijk voor de gegevensverwerking?

De Universiteit Utrecht is verantwoordelijk voor de verwerkingen die worden omschreven in deze privacyverklaring.

Voor welke doeleinden worden mijn persoonsgegevens verwerkt?

Je persoonsgegevens worden verwerkt om het gebruik van SURF Research Drive mogelijk gemaakt. Het doel van SURF Research Drive is om onderzoeksdata gemakkelijk te delen met andere onderzoekers, met name bij andere onderzoeksinstellingen.

Welke persoonsgegevens worden verwerkt?

Los van persoonsgegevens die je zelf opslaat op SURF Research Drive worden de volgende gegevens verwerkt:

• Je e-mail adres,
• Je SolisID of EduID,
• Je IP-adres en andere loggingsgegevens,
• Gegevens over je gebruik, zoals hoeveel opslag je gebruikt, wie de eigenaar of gebruiker is van een mapje, en
• Bij welk bedrijfsonderdeel van de UU je werkzaam bent.

Hoe lang worden deze persoonsgegevens bewaard?

Gegevens met betrekking tot je account worden bewaard zolang je een account bij de UU hebt.

Gegevens over je logging worden beperkt bewaard.

De bewaartermijn van de onderzoeksgegevens dien je zelf in de gaten te houden en zelf te bepalen.

Worden mijn gegevens gedeeld met derden?

De SURF Research Drive wordt geleverd door SURF.

Worden mijn gegevens doorgegeven naar derde landen?

Nee, er vindt geen doorgifte plaats van gegevens naar derde landen buiten de Europese Economische Ruimte.

Wat is de wettelijke grondslag van deze gegevensverwerking?

Gerechtvaardigde belang van de Universiteit Utrecht

Het gerechtvaardigde belang van de Universiteit Utrecht om gebruik te maken van de SURF Research Drive (RD) ligt in het ondersteunen van wetenschappelijk onderzoek door middel van veilige, efficiënte en schaalbare opslag- en samenwerkingsmogelijkheden. De dienst biedt de noodzakelijke infrastructuur voor het opslaan, beheren en delen van grote hoeveelheden onderzoek data, die noodzakelijk zijn voor grootschalige en data-intensieve onderzoeken. SURF Hierbij voldoet SURF RD aan zowel de functionele eisen rondom het eenvoudig samenwerken met zowel interne als externe partners, als ook de eisen rondom gegevensbescherming en

informatiebeveiliging.

Ook maakt SURF Research Drive het mogelijk om beschikbare opslag capaciteit centraal toe te delen aan specifieke organisatieonderdelen, zoals faculteiten. Dit maakt dat de UU voldoende controle en inzicht heeft over de verdeelde capaciteit en hierover kan rapporteren. De faculteiten kunnen de toegekende capaciteit vervolgens verder onderverdelen aan onderzoekers en/ of projecten.

Verder is het platform goed geïntegreerd met diensten van SURF, wat de efficiëntie van onderzoeksprocessen vergroot.

Noodzakelijkheid

De toetsing van de noodzakelijkheid van de verwerking bestaat uit twee beginselen, het proportionaliteitsbeginsel en het subsidiariteitsbeginsel.

Het proportionaliteitsbeginsel vereist dat een gebalanceerde afweging tussen de belangen van de verweringsverantwoordelijke en de betrokkene. De verwerking moet passend en proportioneel zijn met het beoogde doel van de verwerking en mag niet excessief zijn ten opzichte van het doel. Als het doel bereikt kan worden met minder data zou het aantal verwerkte gegevens moeten worden teruggebracht.

Voor het subsidiariteitsbeginsel moet de afweging gemaakt worden of het doel redelijkerwijs bereikt kan worden met minder invasieve alternatieven.

– Proportionaliteit

Het beoogde doel van het gebruik van SURF Research Drive is het aanbieden van een gebruiksvriendelijke en veilige omgeving waar onderzoekers hun data kunnen opslaan, delen en kunnen samenwerken met hun partners.

Hierbij is het noodzakelijk dat er inzicht en beheer mogelijkheden zijn voor het efficiënt toewijzen van de beschikbare opslag capaciteit. Voor onderzoekers zodat zij weten of zij voldoende capaciteit tot hun beschikking hebben en voor de UU om overzicht te houden over kosten.

Als onderdeel van het aanbieden van een veilige omgeving voor het opslaan van data is het noodzakelijk om alleen geautoriseerde gebruikers toegang te geven tot de omgeving en hen te voorzien van de passende permissies op bestanden en/of folders.

De persoonsgegevens die binnen SURF RD worden verwerkt staan in verhouding tot deze doelen en worden niet voor andere doeleindes gebruikt. De gegevensverwerking door SURF RD is wordt dan ook als proportioneel beoordeeld omdat deze noodzakelijk en passend zijn voor de beoogde doelen en de beveiliging van persoonsgegevens wordt gewaarborgd.

– Subsidiariteit

SURF RD is een gespecialiseerde dienst voor het opslaan, delen en samenwerken aan onderzoek. Lokale opslag- of minder specialistische cloudoplossingen zouden ten kosten gaan van de efficiëntie en de mogelijkheden tot samenwerking. SURFdrive verwerkt slecht de minimaal noodzakelijke data het veilig aanbieden van de dienst.

Afweging

Zowel de UU als haar onderzoekers en partners hebben belang bij een gebruiksvriendelijk en efficiënt systeem voor het opslaan, delen en samenwerken aan data en onderzoek waarbij de persoonsgegevens voldoende worden beschermd en de beschikbaarheid, integriteit en vertrouwelijkheid van data worden gewaarborgd.

SURF RD wordt hierbij gezien als de minst ingrijpende en effectieve oplossing. Daar waar het voldoet aan de eisen voor zowel de informatiebeveiliging als gegevensbescherming van de UU alsook de gewenste business functionaliteit.

Welke rechten heb ik volgens de AVG en hoe kan ik deze uitoefenen?

De AVG geeft jou een aantal rechten met betrekking tot je persoonsgegevens. Je hebt het recht om je gegevens in te zien en om ze te laten corrigeren of verwijderen. Bij deze verwerking heb je ook het recht om de verwerking van je gegevens tijdelijk te laten bevriezen (‘beperken’) en het recht om bezwaar te maken tegen de verwerking.

Hoe kan ik deze rechten uitoefenen?

Als je een of meer van bovengenoemde rechten wilt uitoefenen, kun je een verzoek indienen middels het formulier privacy verzoek. Wij hebben dan een maand de tijd om op je verzoek te reageren. Bij heel complexe verzoeken (of als er heel veel verzoeken tegelijk binnenkomen) hebben we soms meer tijd nodig (maximaal twee maanden extra). Dit laten we je dan binnen die eerste maand weten.

Is er sprake van geautomatiseerde besluitvorming of profilering?

Er is geen sprake van geautomatiseerde besluitvorming. Dat wil zeggen dat er nooit besluiten worden genomen zonder menselijke tussenkomst. Er is ook geen sprake van profilering.

Vragen? Klachten?

Heb je naar aanleiding van de bovenstaande informatie nog specifieke vragen of heb je op- of aanmerkingen over deze privacyverklaring? Neem dan gerust contact met ons op. Je kunt hiervoor een bericht sturen aan privacy@uu.nl.

De UU heeft een functionaris voor de gegevensbescherming (FG) aangesteld. Dit is een interne adviseur en toezichthouder die ook voor jou van belang kan zijn, namelijk wanneer je informatie wenst over onze verwerking van persoonsgegevens of wanneer je daarover een klacht wilt indienen. Je kunt contact met onze FG opnemen via fg@uu.nl.

We wijzen je erop dat je bovendien het recht hebt om een klacht in te dienen bij de toezichthouder, de Autoriteit Persoonsgegevens.

Contactgegevens Universiteit Utrecht

Heidelberglaan 8
3584 CS Utrecht
Tel. (030) 253 35 50

Privacyverklaring: versie en beleidsdocument

Deze privacyverklaring is voor het laatst gewijzigd op 6 november 2025. Van tijd tot tijd brengen we wijzigingen aan in deze privacyverklaring.