Privacyverklaring werknemers
Deze privacyverklaring is specifiek bedoeld voor werknemers van de Universiteit Utrecht (UU), inclusief promovendi.
De UU wil op een zorgvuldige manier omgaan met de persoonsgegevens van iedereen die bij ons werkt. De privacyregels uit de Algemene verordening gegevensbescherming (AVG) zijn voor ons van cruciaal belang. Deze wetgeving sluit aan bij onze doelstelling om onderwijs en onderzoek op het hoogste niveau te bieden, bij onze ambities over goed werkgeverschap en bij ons uitgangspunt van duurzaamheid. Als werknemer van de UU heb je toegang tot onze intranetsite met informatie over allerlei aspecten van het werken met persoonsgegevens.
In deze privacyverklaring informeren we je in algemene zin over de persoonsgegevens die we verwerken, over de doeleinden waarvoor we dat doen, over jouw privacyrechten en over andere zaken die voor jou van belang kunnen zijn.
De persoonsgegevens die wij van je verzamelen, worden door de UU verwerkt voor de volgende doelen:
- Het naar behoren uitvoeren van de wettelijke taken en plichten als werkgever.
- Het uitvoeren van een deugdelijk personeelsbeleid en de evaluatie daarvan.
- Het waarborgen van de nauwkeurigheid en juistheid van onze financiële en boekhoudkundige gegevens en het controleren van de volledigheid, juistheid en tijdigheid van financiële transacties.
- Diverse verwerkingen voor het uitvoeren van werkzaamheden door werknemers.
De belangrijkste processen waarvoor de UU persoonsgegevens van de werknemers verwerkt zijn:
- Bijhouden van de personeelsadministratie
- Bijhouden van de salarisadministratie
- Controleren en toekennen van vergoedingen en toelagen
- Bijhouden van verlof en verzuim
- Voeren van gesprekken en onderzoek
- Bijhouden van werk, arbeidsduur en studie
- Afhandelen van bezwaren en beroepen
- Beëindigen van dienstverband
- Beheren van pensioen en vervroegde uittreding
- Faciliteren van re-integratie
- Registeren en controleren van en voldoen aan betalingsverplichtingen aan medewerkers, zoals het betalen van salaris, transitievergoedingen, WW-uitkeringen, jubileumvergoedingen en het terugbetalen van declaraties
- Reserveren spaarverlof
- Registeren en controleren van de werkkostenregeling
- Bewaren en delen van persoonsgegevens ten behoeve van onze interne controles met betrekking tot onze financiële administratie en de controle van de jaarrekening door de externe accountant (op het moment dat deze privacyverklaring is opgesteld, is dat Ernst en Young)
- Beheersen van de kwaliteit van de werkzaamheden en workflow management
Daarnaast kunnen we je persoonsgegevens gebruiken voor tal van processen die een rol spelen binnen een organisatie zoals de UU:
- Interne besturing (bijvoorbeeld het faciliteren van overleg en het afhandelen van klachten en geschillen)
- Veiligheid & milieu (bijvoorbeeld het geven van advies over veiligheid en het afhandelen van meldingen die binnenkomen bij het CERT)
- Huisvesting (bijvoorbeeld het houden van cameratoezicht)
- Communicatie (bijvoorbeeld het versturen van nieuwsbrieven)
- IT (bijvoorbeeld het verlenen van toegang tot en het beheren van computersystemen en netwerken)
- De universiteitsbibliotheek (bijvoorbeeld het bijhouden van een lenersadministratie)
- Public engagement (bijvoorbeeld lezingen)
- Documentbeheer (bijvoorbeeld het registreren van post en het bewaren van proefschriften)
- Gegevensbescherming (bijvoorbeeld het afhandelen van datalekken)
- Voorkoming van ongewenste overdracht van kennis en technologie die negatieve gevolgen heeft voor onze nationale veiligheid en de Nederlandse innovatiekracht (kennisveiligheid).
- Het beheer van eHerkenning
- Het beheer van autorisatierollen voor SAP
Jouw persoonsgegevens worden niet zonder jouw toestemming verder verwerkt voor een doel dat daarmee niet verenigbaar is.
De UU verwerkt de volgende gegevens van jou als werknemer:
- NAW-gegevens (naam, adres, woonplaats)
- Geboortedatum
- Aanhef
- Nationaliteit
- Burgelijke staat
- Telefoonnummer(s)
- E-mailadres
- Bankrekeningnummer (IBAN)
- Burgerservicenummer (BSN) of vreemdelingennummer (V-nummer)
- Personeelsnummer
- Verklaring Omtrent het Gedrag (VOG) (indien van toepassing)
- Kopie legitimatiebewijs (inclusief naam, BSN, documentnummer en pasfoto) / verblijfsvergunning of visum
- Gegevens met betrekking tot de loonadministratie, waaronder in ieder geval loonstroken, jaaropgaven, journaalposten, pensioenstukken en aangiftes loonbelasting
- Gegevens over gevolgde en te volgen opleidingen, cursussen en stages
- Gegevens over jouw functie of voormalige functie bij de UU
- Gegevens in het belang van jouw beoordeling
- Gegevens voor de uitvoering van een Keuzemodel Arbeidsvoorwaarden
- Gegevens over jouw gezinsleden en voormalig gezinsleden voor zover noodzakelijk met het oog op een overeengekomen arbeidsvoorwaarde
- Jouw Solis-id
- Jouw campuskaartgegevens
- Gegevens die in jouw belang worden verwerkt met het oog op jouw arbeidsomstandigheden
- Beelden (foto’s en video’s)
- Nevenfuncties
- Ziekmeldingen
- Verlofregistratie inclusief bijzonder verlof en zwangerschaps- en bevallingsverlof
De UU verzamelt (persoons)gegevens direct bij jou, maar in voorkomende gevallen ontvangt de UU ook persoonsgegevens via derden. Dit gebeurt alleen voor zover dat in overeenstemming is met de wet of voor zover je daar toestemming voor hebt gegeven.
De UU mag jouw persoonsgegevens alleen verwerken op basis van een grondslag die in de wet is genoemd. De UU verwerkt jouw persoonsgegevens op basis van de volgende grondslagen:
- De verwerking is noodzakelijk voor de uitvoering van een overeenkomst die we met jou zijn aangegaan of zullen aangaan. Denk hierbij in de eerste plaats aan je arbeidsovereenkomst.
- De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op ons rust. Hierbij kun je bijvoorbeeld denken aan het verstrekken van jouw salarisgegevens aan de belastingdienst, of aan het pensioenfonds.
- De verwerking is noodzakelijk om de vitale belangen van jou te beschermen. Denk hierbij aan een situatie waarin er sprake is van een levensbedreigende situatie (bijvoorbeeld een ernstig ongeval) waarin je niet in staat bent om toestemming te geven voor de verwerking van jouw gegevens.
- De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of ter uitoefening van het openbaar gezag.
- De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de UU of van een derde. Voorbeelden hiervan zijn het verstrekken van jouw persoonsgegevens aan de externe accountant voor de controle van de jaarrekening en de interne controles die nodig zijn om een juiste verwerking van personeelsvoorzieningen en de werkkostenregeling te waarborgen. Of het versturen van nieuwsbrieven binnen de UU.
- Je hebt toestemming gegeven voor deze verwerking van jouw persoonsgegevens. Je zou hier bijvoorbeeld kunnen denken aan de verstrekking van jouw persoonsgegevens aan derden.
Bijzondere persoonsgegevens
Bijzondere persoonsgegevens zijn gevoeliger dan gewone persoonsgegevens. Verwerking van bijzondere persoonsgegevens vindt alleen plaats als is voldaan aan de voorwaarden die in de wet worden genoemd, en alleen als er sprake is van een van de in de geldende wet- en regelgeving genoemde uitzonderingsgronden.
De UU bewaart jouw persoonsgegevens in overeenstemming met de AVG. Dit wil zeggen dat de gegevens niet langer worden bewaard dan strikt noodzakelijk is om de doelen te bereiken waarvoor de gegevens verzameld zijn.
De persoonsgegevens van werknemers worden niet langer bewaard dan twee jaar nadat het dienstverband of de werkzaamheden van de werknemer ten behoeve van de UU zijn geëindigd, tenzij het verwerken van de desbetreffende persoonsgegevens nog langer noodzakelijk is om te voldoen aan een wettelijke bewaarplicht.
Voor gegevens betreffende de salarisadministratie geldt een wettelijke bewaarplicht van zeven jaar nadat de werknemer uit dienst is getreden of nadat de werkzaamheden ten behoeve van de UU zijn gestaakt. Voor gegevens betreffende loonbelastingverklaringen en voor identiteitsbewijzen ten behoeve van de loonbelasting is deze wettelijke bewaarplicht vijf jaar. Na het verstrijken van deze bewaartermijnen zal de UU de betreffende persoonsgegevens verwijderen.
De UU kan andere organisaties opdracht geven om bepaalde onderdelen van onze dienstverlening namens ons te verzorgen. Als dergelijke organisaties in het kader van die opdracht persoonsgegevens verwerken, noemen we hen verwerkers. De UU maakt afspraken met deze verwerkers om een vertrouwelijke en zorgvuldige omgang met persoonsgegevens te waarborgen. Deze afspraken worden contractueel vastgelegd in zogeheten verwerkersovereenkomsten.
Jouw persoonsgegevens worden nooit verhuurd of verkocht. De UU kan jouw (persoons)gegevens wél met derden delen als je daar bijvoorbeeld zelf toestemming voor hebt gegeven of als dat noodzakelijk is om een overeenkomst tussen jou en de UU te kunnen uitvoeren. In bepaalde gevallen zijn wij bovendien wettelijk verplicht om jouw persoonsgegevens aan derden te verstrekken. Denk aan overheidsorganisaties zoals de Belastingdienst, aan handhavende autoriteiten zoals de Autoriteit Persoonsgegevens of aan fraudebestrijdingsorganisaties zoals het Openbaar Ministerie.
De categorieën van derden waarmee de UU persoonsgegevens deelt zijn:
- Overheidsinstanties, zoals Belastingdienst en Immigratie- en Naturalisatiedienst (IND)
- Pensioenfonds ABP
- Verzekeraars in het kader van het aanbieden collectieve verzekeringen
- Opsporingsinstanties
- Andere universiteiten
- Externe accountant
De UU verstrekt in enkele gevallen persoonsgegevens aan landen buiten de Europese Unie (EU). Dit gebeurt indien er een verwerker wordt ingeschakeld die buiten de EU is gevestigd.
De AVG geeft jou als werknemer een groot aantal rechten met betrekking tot je persoonsgegevens. Zo heb je het recht om tijdig, duidelijk en volledig te worden geïnformeerd over onze verwerking van jouw gegevens. Vandaar onder meer deze privacyverklaring. Daarnaast heb je het recht om je gegevens in te zien en om ze te laten corrigeren of verwijderen. In bepaalde gevallen heb je het recht om de verwerking van je gegevens tijdelijk te laten bevriezen (‘beperken’), het recht om bezwaar te maken tegen de verwerking en het recht om niet te worden onderworpen aan beslissingen die voortvloeien uit volledig geautomatiseerde processen (dus zonder menselijke tussenkomst) waar je serieuze gevolgen van kunt ondervinden. En tot slot heb je in enkele gevallen het recht om een hele set aan gegevens die we van je hebben, te laten overdragen op een andere organisatie. Dit wordt het recht op overdraagbaarheid genoemd.
Als we jouw gegevens verwerken op basis van je toestemming, heb je het recht om deze toestemming ook weer in te trekken. Dit kan altijd, dus ook nadat we jouw gegevens al hebben verzameld. Het intrekken van je toestemming gaat net zo gemakkelijk als het verlenen ervan, en je hoeft niet te zeggen waaróm je je toestemming intrekt. Houd wel rekening met het volgende: als je je toestemming intrekt, hoeven we datgene wat we tot op dat moment met je persoonsgegevens hebben gedaan, niet ongedaan te maken. Het intrekken van je toestemming werkt dus niet met terugwerkende kracht.
Je hebt het recht om te weten welke persoonsgegevens we van jou verwerken. Op jouw verzoek verstrekken we je kosteloos een overzicht van al die gegevens of een specifiek deel waarin jij geïnteresseerd bent. Daarbij geven we je aanvullende informatie, bijvoorbeeld waarom we die gegevens verwerken, hoelang we ze bewaren, enzovoort.
Wij moeten er zorg voor dragen dat al jouw persoonsgegevens die op onze systemen staan, correct zijn. Als je merkt (of als je denkt) dat bepaalde persoonsgegevens feitelijk onjuist zijn, kun je ons verzoeken die gegevens te corrigeren. En omdat onze gegevens niet alleen correct moeten zijn, maar ook volledig, mag je die gegevens aanvullen. In bepaalde gevallen kun je dit doen door ons een verklaring aan te bieden die wij dan aan je gegevens toevoegen.
Er zijn situaties waarin je ons kunt vragen bepaalde gegevens van jou te wissen. Je kunt dit bijvoorbeeld doen als je vindt dat wij deze gegevens niet meer nodig hebben of dat we deze onrechtmatig verwerken, als je je toestemming hebt ingetrokken of als je bezwaar hebt gemaakt tegen de verwerking. Wij gaan dan na of er gegronde redenen zijn om je persoonsgegevens desondanks te bewaren. Zijn die redenen er niet, dan wissen we jouw gegevens.
In bepaalde gevallen verwerken we jouw persoonsgegevens omdat dit nodig is voor het uitvoeren van een taak van algemeen belang of voor het behartigen van onze gerechtvaardigde belangen (of die van een andere persoon of organisatie). In dergelijke gevallen vragen we je niet om toestemming te geven voor de verwerking, maar kun je daar wel bezwaar tegen maken op basis van jouw specifieke situatie. Als je bezwaar maakt, zullen we de verwerking opschorten en jouw rechten, vrijheden en belangen afwegen tegen onze belangen. Daarbij letten we op jouw specifieke situatie. Wegen onze belangen zwaarder, dan hervatten we de verwerking. Wegen de rechten, vrijheden en belangen in jouw specifieke geval zwaarder, dan stoppen we de verwerking definitief. In beide gevallen laten we je weten wat we hebben besloten.
Het beperken van de verwerking is niets anders dan dat je de verwerking tijdelijk kunt ‘bevriezen’. Als je ons verzoekt de verwerking van jouw persoonsgegevens te beperken, mogen we er niets anders meer mee doen dan ze bewaren. Je hebt het recht om de verwerking van jouw persoonsgegevens te beperken als een van de volgende situaties van toepassing is:
- Je betwist de nauwkeurigheid van de gegevens, in welk geval we de verwerking van jouw gegevens onderbreken totdat we de juistheid ervan hebben geverifieerd.
- De verwerking is onrechtmatig of de UU heeft je persoonsgegevens niet meer nodig voor het doel waarvoor de gegevens zijn verzameld en je wilt niet dat wij jouw persoonsgegevens wissen.
- Je hebt, in overeenstemming met jouw recht op bezwaar, bezwaar gemaakt tegen de verwerking van jouw persoonsgegevens en je bent in afwachting van de uitkomst op jouw bezwaar.
Je hoeft het niet te accepteren dat er beslissingen over jou worden genomen zonder dat daar een mens aan te pas komt, terwijl die beslissingen voor jou wél wezenlijke gevolgen hebben.
Voor werknemers geldt dat er door de UU nooit geautomatiseerde beslissingen worden genomen die wezenlijke gevolgen voor hen hebben.
Als wij persoonsgegevens van jou verwerken op grond van jouw toestemming of een met jou gesloten overeenkomst, heb jij ten aanzien van die gegevens het recht om deze door jou digitaal verstrekte gegevens (terug) te ontvangen in een gangbaar bestandsformaat. Je bent vrij die gegevens vervolgens door te geven aan een andere partij.
Veel persoonsgegevens, zoals je personeelsdossier en je salarisgegevens, kun je zelf opvragen via de portal mijn.uu.nl. Die portal is beveiligd met twee-factor-authenticatie (2FA). Om hier toegang toe te krijgen, moet je (meestal) ook je telefoon bij de hand hebben. Zie je een fout en kun je die niet zelf corrigeren, neem dan contact op met HR.
Als je een of meer van de bovengenoemde rechten wilt uitoefenen en dat lukt niet via mijn.uu.nl of HR, dan kun je via dit formulier een verzoek indienen. Wij hebben dan een maand de tijd om op je verzoek te reageren. Bij heel complexe verzoeken (of als er heel veel verzoeken tegelijk binnenkomen) hebben we soms meer tijd nodig (maximaal twee maanden extra). Dit laten we je dan binnen die eerste maand weten.
Bij het uitoefenen van jouw rechten is het noodzakelijk dat wij eerst jouw identiteit vaststellen. Dit doen we op een manier die past bij de situatie waar het om gaat en bij het recht dat jij wilt uitoefenen.
Individuele beoordeling
We willen je erop wijzen dat de bovenbeschreven rechten geen absolute rechten zijn. Ieder verzoek beoordelen we individueel. Soms kunnen er omstandigheden zijn die maken dat we aan een bepaald verzoek geen gehoor kunnen geven. Als dit zo is, laten we je weten waaróm dat zo is.
De UU gaat vertrouwelijk om met persoonsgegevens. De UU neemt passende technische en organisatorische maatregelen, zodat jouw persoonsgegevens goed worden beschermd.
Technische maatregelen
Om jouw persoonsgegevens optimaal te beschermen tegen onbevoegde toegang of onbevoegd gebruik, heeft de UU passende beveiligingstechnologie in gebruik. Van (pogingen tot) misbruik doen wij aangifte. De UU neemt daarnaast organisatorische maatregelen om persoonsgegevens te beveiligen tegen toegang door onbevoegden.
Organisatorische maatregelen
Binnen de organisatie heeft de UU een groot aantal maatregelen getroffen om ervoor te zorgen dat jouw gegevens niet alleen technisch beveiligd zijn, maar dat ook de kans op menselijke fouten en misbruik tot een minimum beperkt wordt.
Heb je naar aanleiding van de bovenstaande informatie nog specifieke vragen of heb je op- of aanmerkingen over deze privacyverklaring? Neem dan gerust contact met ons op. Je kunt hiervoor een bericht sturen aan privacy@uu.nl.
De UU heeft een functionaris voor de gegevensbescherming (FG) aangesteld. Dit is een interne adviseur en toezichthouder die ook voor jou van belang kan zijn, namelijk wanneer je informatie wenst over onze verwerking van persoonsgegevens of wanneer je daarover een klacht wilt indienen. Je kunt contact met onze FG opnemen via fg@uu.nl.
We wijzen je erop dat je bovendien het recht hebt om een klacht in te dienen bij de toezichthouder, de Autoriteit Persoonsgegevens.
Contactgegevens Universiteit Utrecht
Heidelberglaan 8
3584 CS Utrecht
Tel. (030) 253 35 50
Privacyverklaring - versie
Deze privacyverklaring is voor het laatst gewijzigd op 16 augustus 2023. Van tijd tot tijd brengen we wijzigingen aan in deze privacyverklaring. Wil je zeker weten dat je de meest recente versie gebruikt, kijk dan op onze website.