Overslaan naar inhoud
bedrijfslogo

Privacyverklaring Team 2 – VIVES DBM

Team 2 – VIVES DBM respecteert je privacy en behandelt jouw persoonsgegevens met de grootst mogelijke zorg. We leven de Algemene Verordening Gegevensbescherming (AVG) na – ook bekend als de GDPR – omdat de bescherming van jouw gegevens voor ons heel belangrijk is. In deze privacyverklaring leggen we in duidelijke taal uit welke gegevens we verzamelen, waarom we dat doen, hoe lang we ze bewaren en welke rechten je hebt. We zorgen ervoor dat alle verplichte informatie opgenomen is, zoals onze contactgegevens, de verwerkingsdoeleinden en rechtsgrond, met wie gegevens gedeeld worden, hoelang ze bewaard blijven en welke rechten jij kunt uitoefenen.

*we maken gebruik van bronnen als hubspot en typeform.

Wie zijn wij? (Verwerkingsverantwoordelijke & contact)

Team 2 – VIVES DBM is het projectteam verantwoordelijk voor de verwerking van jouw gegevens in het kader van ons CRM & Marketing Automation examenproject. Wij bepalen welke persoonsgegevens worden verzameld en voor welke doeleinden (wij treden op als verwerkingsverantwoordelijke. Dit team maakt deel uit van de opleiding Digital Business Management aan Hogeschool VIVES.

Onze contactgegevens zijn:
Adres: Doorniksesteenweg 145, 8500 Kortrijk, België.
E-mail: privacy.team2@vivesdbm.be (voor alle privacygerelateerde vragen of verzoeken).
Telefoon: +32 56 26 41 60 (algemeen nummer VIVES Kortrijk).

We hebben een functionaris voor gegevensbescherming (Data Protection Officer, DPO) aangesteld: Mauro Coeckelbergh. Voor vragen of klachten over privacy kun je ook bij hem terecht via bovenstaand e-mailadres.

Welke persoonsgegevens verzamelen wij?

Wij verzamelen enkel persoonsgegevens die relevant zijn voor de hieronder beschreven doeleinden. Het gaat om verschillende categorieën gegevens:

  • Identificatie- en contactgegevens: zoals je voornaam, achternaam en e-mailadres.

  • Profielinformatie: zoals je rol (bijvoorbeeld scholier, student of ouder), de regio waar je woont, en je huidige situatie (bv. laatstejaar middelbaar onderwijs, al ingeschreven student, etc.). Ook vragen we naar je interessegebied (welke studierichting of onderwerp je interesseert) zodat we je gerichte informatie kunnen sturen.

  • Voorkeuren voor evenementen: in het kader van infodagen (open dagen) vragen we je geboortedatum (om je correct te kunnen aanspreken en eventueel leeftijdsgroep te bepalen), welke datum je verkiest voor een infodag en of je iemand meebrengt naar die infodag. Deze informatie helpt ons om de organisatie van het event te plannen en je een persoonlijke ervaring te geven.

  • Schoolcontactgegevens: als je een contactpersoon bent van een school (bijvoorbeeld een leerkracht of studiebegeleider die interesse heeft in onze gastlessen), verzamelen we je naam, schoolnaam en je professioneel e-mailadres. Daarnaast noteren we of je interesse hebt in het ontvangen van informatie over gastlessen voor jouw school.

Bijzondere categorieën van persoonsgegevens (zoals gevoelige gegevens over gezondheid, etniciteit, etc.) worden niet gevraagd of verwerkt in dit project. We beperken ons tot de gegevens die hierboven vermeld staan en die nodig zijn voor onze campagnes (dataminimalisatie is hier van toepassing).

Hoe verzamelen we je gegevens?

De gegevens worden rechtstreeks bij jou verzameld, doorgaans wanneer jij zelf een formulier invult of ons je gegevens geeft:

  • Via online formulieren op onze website of via onze externe tool Typeform. Voor de leadcampagne en infodagcampagne gebruiken we formulieren (soms ingebed via HubSpot, soms via Typeform) waarin we je vragen om de hierboven genoemde gegevens in te vullen. Bij het invullen krijg je toelichting over waarom we die gegevens vragen.

  • Via inschrijvingen of downloads: bijvoorbeeld als je een brochure downloadt of je aanmeldt voor een nieuwsbrief of event, vragen we om je contactgegevens.

  • Interacties in HubSpot: Als je e-mails van ons opent of op links klikt, kan ons systeem dat bijhouden (tracking) om te zien waar je interesse ligt. Dit gebeurt alleen als je ons daar toestemming voor hebt gegeven (zie het deel over cookies en marketing verderop).

  • Contact vanuit scholen: In de scholen-campagne kan het zijn dat een leerkracht of schooldirecteur zijn/haar gegevens aan ons doorgeeft (bijvoorbeeld via een Typeform of een e-mail) om aan te geven dat de school interesse heeft in een gastles. Ook die gegevens registreren we in ons systeem.

We verkrijgen dus meestal rechtstreeks van jou de gegevens. We gebruiken geen derde partijen om stiekem extra gegevens over jou te verzamelen. Als we ooit persoonsgegevens uit andere bronnen zouden halen, brengen we je daarvan op de hoogte, maar dit is niet van toepassing in dit project.

Waarom verwerken wij jouw gegevens? (Doeleinden & rechtsgrond)

We verwerken jouw persoonsgegevens alleen voor duidelijk omschreven doeleinden. Hieronder lichten we per campagne het doel toe, welke gegevens we daarbij gebruiken en op welke rechtsgrond (juridische basis) we steunen om dit te doen:

  • 1. Lead generation & nurturing campagne: Dit is een campagne om potentiële studenten (of geïnteresseerde jongeren en hun ouders) te bereiken en te begeleiden richting onze infodagen. We verzamelen hiervoor je naam, e-mail, rol, regio, huidige situatie en interessegebied via een inschrijvingsformulier. Doel: we sturen je informatieve e-mails over onze opleiding(en), nodigen je uit voor infodagen en delen nuttige tips om je te helpen bij je studiekeuze. Rechtsgrond: toestemming. Je ontvangt deze berichten alleen als je hier expliciet mee hebt ingestemd, bijvoorbeeld door een selectievakje aan te vinken of je aan te melden voor de nieuwsbrief. Je toestemming is vrij, specifiek, geïnformeerd en je kunt ze op elk moment weer intrekken (zie verder voor uitleg over toestemming).

  • 2. Infodag follow-up (Sales campagne): Deze campagne treedt in werking zodra je interesse toont in een infodag (bijvoorbeeld door je in te schrijven voor een open dag via onze site of Typeform). We vragen dan aanvullend je geboortedatum, welke infodagdatum je verkiest en of je alleen of met iemand komt, bovenop de gegevens van de eerste campagne. Doel: we begeleiden je richting een daadwerkelijke inschrijving als student. Dat betekent dat we je gerichte informatie sturen over de infodag (bv. bevestiging en praktische info), je nadien vragen of alles duidelijk was, en opvolgen of je verdere vragen hebt tot aan een eventuele inschrijving voor de opleiding. Rechtsgrond: ook hier baseren we ons hoofdzakelijk op toestemming. Wanneer je je inschrijft voor een infodag, vragen we je om aan te geven of je vervolgmailings en begeleiding wenst (opt-in voor sales communicatie). Alleen als je dat aanvinkt, zullen onze medewerkers of automatische workflows je verder opvolgen per e-mail of telefoon. In bepaalde gevallen kunnen we voor deze specifieke opvolging ook beroep doen op een andere grondslag: als jij expliciet verzoekt om informatie of deelname aan de infodag, dan is het noodzakelijk om jouw gegevens te verwerken om die dienst te verlenen (uitvoering van een overeenkomst of precontractuele maatregel). Bijvoorbeeld, de bevestigingsmail met jouw infodag-ticket of -bevestiging sturen we zonder aparte opt-in, omdat dit gezien wordt als een noodzakelijke servicebericht ter uitvoering van jouw inschrijving. Maar alle bijkomende marketinggerichte opvolging (zoals herinneringen om je in te schrijven als student) gebeurt alleen met jouw toestemming of als je daar duidelijk om verzocht hebt.

  • 3. Campagne voor scholen (gastlessen): Hierbij richten we ons tot middelbare scholen. We verzamelen de contactgegevens van een contactpersoon (naam, zakelijk e-mailadres) en de naam van de school, plus of er interesse is in het organiseren van gastlessen. Doel: de opleiding promoten bij scholen door bijvoorbeeld gratis gastlessen aan te bieden of informatiepakketten voor studiekeuzebegeleiding. We gebruiken de gegevens van de schoolcontactpersoon enkel om informatie te sturen die hij/zij heeft aangevraagd of waarmee ingestemd is, zoals voorstellen voor een gastlezing of nieuws over ons studieaanbod dat relevant is voor laatstejaarsleerlingen. Rechtsgrond: wederom toestemming. De contactpersoon ontvangt communicatie alleen als hij/zij daar expliciet voor gekozen heeft (bijvoorbeeld door ons formulier in te vullen of op een onderwijsbeurs zijn/haar kaartje te geven met de vraag om info te krijgen). Omdat dit vaak een B2B-situatie betreft (school naar hogeschool communicatie), zouden we in theorie ook kunnen steunen op “gerechtvaardigd belang” voor beperkte contactname. Maar in dit project kiezen we voor de veilige weg: we vragen steeds vooraf toestemming van de contactpersoon. Zo weten we zeker dat onze e-mails welkom zijn en voldoen we aan de regels voor elektronische direct marketing.

Enkel de bevestigingsmail na een definitieve inschrijving als student wordt zonder opt-in verzonden. Dat is een puur transactionele e-mail (ter bevestiging van jouw inschrijving) en valt onder uitvoering van de overeenkomst (jouw inschrijving) in plaats van marketing. Voor alle andere communicatie houden we ons aan opt-in: je ontvangt dus niets onverwachts.

We zullen je persoonsgegevens niet gebruiken voor andere, onverenigbare doelen. We verkopen of verhuren jouw gegevens ook nooit aan derden voor hun eigen marketingdoeleinden. Mocht in de toekomst een nieuw doel ontstaan, zullen we jou eerst informeren en indien nodig om toestemming vragen (dit heet het doelbindingsprincipe – gegevens worden alleen gebruikt voor de oorspronkelijke, duidelijk omschreven doelen).

Toestemming en opt-in beleid

Zoals hierboven vermeld, is jouw toestemming de belangrijkste basis voor onze verwerkingen, met name voor alle marketing- en wervingscommunicatie. We vinden het belangrijk dat je controle hebt over welke informatie je van ons ontvangt. Daarom hanteren we een zorgvuldig opt-in beleid:

  • Vrije en specifieke toestemming: We vragen je toestemming per campagne of communicatietype. Bijvoorbeeld, apart voor marketingnieuwsbrieven, voor infodag-opvolging, en voor scholencommunicatie. Je bent niet verplicht om overal “ja” op te zeggen – je kunt bijvoorbeeld wel infomails ontvangen over de opleiding, maar geen telefoontjes over inschrijving, als je dat liever hebt. Elke toestemming vragen we afzonderlijk en los van andere voorwaarden. We combineren toestemmingsvragen niet met bijvoorbeeld algemene gebruiksvoorwaarden. Je hebt steeds de keuze om iets wel of niet aan te vinken. Niets is vooraf aangevinkt en er is geen enkele negatieve consequentie als je geen toestemming geeft – behalve dat je bepaalde informatie dan mogelijk mist natuurlijk.

  • Goed geïnformeerd: Bij elke toestemmingsvraag informeren we je duidelijk wat je kunt verwachten. We leggen uit waarvoor je precies toestemming geeft – bijvoorbeeld “Ik wil de nieuwsbrief ontvangen met studietips en info over de opleiding” of “Ja, ik wil opvolgmails ontvangen over de infodag en inschrijfmogelijkheden”. We geven ook aan met wie je gegevens eventueel gedeeld worden en hoelang we ze bewaren, voor zover mogelijk, zodat je met kennis van zaken je keuze maakt. Bovendien verwijzen we naar deze privacyverklaring voor alle details.

  • Actieve handeling: Toestemming geven doe je bij ons altijd via een bewuste, actieve handeling, bijvoorbeeld het aanvinken van een checkbox of het expliciet invullen van je e-mailadres in combinatie met klikken op “Verstuur” bij een inschrijfformulier. Door deze actieve stap is duidelijk dat je akkoord gaat. We registreren het moment en de manier waarop je toestemming gaf, zodat we dat later kunnen aantonen indien nodig (de AVG vereist dat toestemming aantoonbaar is – we houden dus bv. bij in HubSpot dat je op datum X het vakje “email updates” aanvinkte).

  • Intrekbaarheid: Je mag je eenmaal gegeven toestemming altijd intrekken. Dat is net zo makkelijk als toestemming geven. Elke e-mail die je van ons krijgt in het kader van marketing of opvolging, bevat onderaan een uitschrijflink waarmee je je direct kunt afmelden. Je kunt ook ons een mail sturen of het via je voorkeuren aangeven als je bepaalde communicatie niet meer wilt. Zodra je je uitschrijft of je toestemming intrekt, ontvang je dat type communicatie niet langer van ons. Het intrekken van toestemming heeft geen nadelige gevolgen voor jou – uiteraard kunnen we je dan niet meer op de hoogte houden, maar er staat geen “straf” op. Het intrekken beïnvloedt ook niet met terugwerkende kracht de reeds uitgevoerde verwerkingen: wat we al gestuurd hebben op basis van je eerdere toestemming was op dat moment geldig. Wel stoppen we onmiddellijk verdere verwerking.

  • Leeftijd en toestemming door ouders: Onze campagnes richten zich op jongeren die een studiekeuze moeten maken, vaak rond de 17-18 jaar, en hun ouders. Als je jonger bent dan 16 jaar, verzoeken we dat je een ouder of wettelijke voogd mee laat kijken en toestemming laat geven waar nodig. Hoewel jongeren vanaf 13 à 16 jaar (afhankelijk van land) in bepaalde gevallen zelf online toestemming mogen geven, houden wij het liever veilig: bij twijfel vragen we om ouderlijke toestemming. Dit om te verzekeren dat de toestemming in elk geval rechtsgeldig en informed is voor minderjarigen.

Geautomatiseerde besluitvorming (profilering)

Binnen ons project gebruiken we in beperkte mate geautomatiseerde beslissingen of profilering, namelijk via onze CRM-software (HubSpot) om het opvolgproces efficiënter te maken. Hieronder valt met name lead scoring en lead routing:

  • Lead scoring: Het systeem kan automatisch punten toekennen aan jouw profiel op basis van bepaalde criteria, bijvoorbeeld jouw interessegebied of of je op links in e-mails klikt. Op basis van deze score kunnen we inschatten hoe ver je staat in het keuzeproces. Deze score kan bijvoorbeeld omhoog gaan als je meerdere keren onze website bezoekt of een bepaalde pagina (zoals “inschrijven”) bekijkt. Waarom? Dit helpt ons om te begrijpen welke kandidaten mogelijk extra hulp of info nodig hebben en welke al heel geïnteresseerd zijn.

  • Lead routing: Afhankelijk van bepaalde gegevens (zoals regio of interessegebied) en eventueel de lead score, kan HubSpot automatisch een contact owner (contactverantwoordelijke) aan jou toewijzen. Concreet betekent dit dat het systeem beslist welke van onze teamleden jouw aanspreekpunt wordt. Iemand uit onze ploeg zal dan verantwoordelijk zijn om jou verder op te volgen. Dit gebeurt zonder menselijke tussenkomst – het is een automatisch verdeelsysteem.

Belangrijk om te melden: geen van deze geautomatiseerde beslissingen heeft juridische of vergelijkbaar significante gevolgen voor jou. Ze beïnvloeden enkel onze interne werking (wie neemt contact op, of hoe prioriteren we contacten). Of je nu een hoge of lage lead score hebt, je wordt in geen geval anders behandeld wat betreft rechten of mogelijkheden: het bepaalt alleen op welke manier en door wie we jou benaderen. Er is altijd een menselijke tussenkomst in die zin dat onze medewerkers de communicatie uitvoeren en kunnen afwijken van het lead score advies als dat gepast is.

Volgens de AVG heb je het recht om niet onderworpen te worden aan uitsluitend geautomatiseerde besluitvorming met aanzienlijke impact. We zijn van mening dat onze automatische beslissingen niet in die categorie vallen (ze hebben beperkte impact en er is wel menselijke opvolging). Toch willen we transparant zijn dat dit gebeurt. Als jij toch bezwaar hebt tegen zo’n automatische toewijzing of profiling, laat het ons gerust weten. Je mag bijvoorbeeld vragen dat er een mens naar jouw dossier kijkt als je denkt dat de computer het mis heeft. We zullen daar dan gehoor aan geven, want jouw geruststelling en vertrouwen zijn voor ons belangrijk.

Met wie delen wij jouw gegevens?

Jouw persoonsgegevens worden binnen Team 2 – VIVES DBM verwerkt en niet zomaar aan anderen doorgegeven. We beperken de toegang tot jouw gegevens tot de teamleden die ze nodig hebben voor hun taak. Al onze teamleden hebben een geheimhoudingsplicht en krijgen instructies om zorgvuldig met de data om te gaan.

We doen in dit project wel beroep op een paar externe diensten om onze campagnes technisch te ondersteunen. Deze externe partijen verwerken gegevens in onze opdracht, en we hebben met elk van hen een verwerkersovereenkomst of duidelijke voorwaarden om je privacy te waarborgen. De belangrijkste verwerkers/ontvangers zijn:

  • HubSpot: Dit is ons CRM-platform waarin alle contactgegevens beheerd worden en van waaruit we e-mails en workflows aansturen. HubSpot fungeert als onze verwerker voor de contactendatabase en marketing automation. Dit betekent dat HubSpot jouw gegevens opslaat op hun servers en ze verwerkt volgens onze instructies (bijvoorbeeld om een e-mail te versturen of een formulier te hosten). HubSpot zelf zal jouw gegevens niet voor eigen doeleinden gebruiken. We hebben met HubSpot een contract dat voldoet aan de AVG-vereisten. Locatie gegevens: HubSpot heeft data centers zowel in de EU als in de VS. Nieuwe EU-klanten (zoals wij) worden normaal op Europese servers gehost, maar sommige gegevens kunnen alsnog in de VS of elders verwerkt worden (bijvoorbeeld voor bepaalde functionaliteiten of support)knowledge.hubspot.comknowledge.hubspot.com. HubSpot heeft echter passende waarborgen getroffen, waaronder Standard Contractual Clauses (standaardcontractbepalingen) en deelname aan het EU–VS Data Privacy Framework, om zulke datatransfers rechtmatig en veilig te houdenknowledge.hubspot.com. (Meer hierover in het volgende onderdeel over derde landen.)

  • Typeform: Dit is een online formulierendienst die we voor één of meer campagnes inzetten om gegevens te verzamelen (bijvoorbeeld een mooie vragenlijst voor leadgeneratie of het scholenformulier). Wanneer je een Typeform invult, worden je antwoorden rechtstreeks bij Typeform opgeslagen en later naar ons CRM overgebracht. Typeform treedt dus op als verwerker van de gegevens die je in dat formulier invult, namens ons. Locatie gegevens: Typeform host alle formuliergegevens op Amazon Web Services (AWS) servers. Hun hoofddatacenters bevinden zich in Virginia, VShelp.typeform.com. Dit betekent dat de informatie die je invult in een Typeform-formulier naar de Verenigde Staten verzonden en daar opgeslagen wordt. Typeform neemt beveiligingsmaatregelen zoals versleuteling tijdens transport en opslag (TLS 1.2 en AES-256 encryptie) om je data te beschermenhelp.typeform.com. Daarnaast heeft Typeform, net als HubSpot, standaardcontractclausules (SCC’s) in hun voorwaarden opgenomenhelp.typeform.com. Die clausules zijn door de Europese Commissie goedgekeurde afspraken om te zorgen dat jouw data ook bij verwerking buiten de EU volgens de Europese privacystandaarden wordt beschermdhelp.typeform.com. Met andere woorden: Typeform belooft contractueel dat jouw privacy niet geschonden wordt, ook al staan de servers in de VS.

  • E-mailprovider (SMTP) en andere tools: Voor het versturen van e-mails gebruiken we de e-mailfunctie van HubSpot, die op zijn beurt weer via vertrouwde e-mailservers loopt. Eventueel kunnen er kleine tools of integraties zijn (bijvoorbeeld een koppeling tussen Typeform en HubSpot); al deze verwerkers zijn eveneens gebonden aan privacyvoorwaarden en verwerken gegevens alleen voor ons doeleinde. We zorgen dat we enkel tools gebruiken die in lijn zijn met de GDPR.

Belangrijk: Geen van deze partijen krijgt eigenaar over jouw gegevens. Zij mogen jouw data niet gebruiken voor hun eigen doeleinden. Ze handelen puur in onze opdracht. We hebben ervoor gezorgd dat ze minstens even hoge privacy- en beveiligingsstandaarden hanteren als wij.

Verder delen we jouw persoonsgegevens niet met andere derden, tenzij dit nodig is om een door jou gevraagde dienst te verlenen of we wettelijk verplicht zijn. Bijvoorbeeld, stel dat je na onze campagne effectief besluit je in te schrijven aan VIVES Hogeschool als student: dan zullen je gegevens natuurlijk in het officiële studentenadministratiesysteem van de hogeschool worden opgenomen. Op dat moment val je onder de privacyverklaring van de hogeschool zelf, en worden je gegevens eventueel gedeeld met overheidsdatabanken (zoals Databank Hoger Onderwijs) volgens de wettelijke verplichtingen. Dit voorbeeld is echter buiten het kader van ons projectteam – wij houden ons enkel bezig met de marketing & werving vooraf.

Tenzij je dus zelf besluit verder te gaan in het inschrijvingsproces, zullen jouw gegevens niet verder verstrekt worden aan partijen buiten Team 2 en de hierboven genoemde verwerkers. In geen geval geven wij gegevens door aan bijvoorbeeld adverteerders of onbekende commerciële partijen.

Doorgifte van gegevens buiten de EU

Omdat we tools gebruiken die hun servers buiten Europa hebben, is het belangrijk je te wijzen op mogelijke doorgifte van jouw gegevens naar derde landen (landen buiten de Europese Economische Ruimte). In ons geval betreft dit voornamelijk de Verenigde Staten, via onze verwerkers HubSpot en Typeform.

Verenigde Staten (VS): Zowel HubSpot als Typeform zijn Amerikaanse bedrijven of hebben hun hoofdservers in de VS. De VS heeft op dit moment niet dezelfde wettelijke databescherming als Europa. Dit betekent dat gegevens in de VS mogelijk onderhevig kunnen zijn aan Amerikaanse wetgeving, die in bepaalde gevallen overheidsinstanties toegang kan geven tot data. Dit betekent niet dat jouw data zomaar wordt bekeken – onze dienstverleners ondernemen stappen om dit te voorkomen – maar we willen transparant zijn dat er een risico is, hoe klein ook, verbonden aan opslag in de VS.

Beschermingsmaatregelen: Om deze risico’s te mitigeren, vertrouwen wij op de volgende maatregelen van onze dienstverleners:

  • Standaardcontractclausules (SCC’s): Dit zijn door de EU opgestelde contractuele bepalingen die we met HubSpot en Typeform zijn overeengekomenhelp.typeform.com. Hierin beloven zij jouw data volgens GDPR-normen te behandelen, ook al gebeurt de verwerking in de VS. Deze clausules verplichten bijvoorbeeld tot strenge veiligheidsmaatregelen en geven jou bepaalde rechten.

  • EU–VS Data Privacy Framework: HubSpot is aangesloten bij het nieuwe EU–VS Data Privacy Framework, een mechanisme dat in 2023 door de EU als adequaat is beoordeeld om data-uitwisseling met gecertificeerde Amerikaanse bedrijven te regulerenknowledge.hubspot.com. Dit kader is de opvolger van het vroegere Privacy Shield. Voor Typeform geldt dat hun verwerking onder SCC’s valt, aangezien zij naar onze kennis (nog) niet onder een dergelijke certificering vallen.

  • Versleuteling & beveiliging: Zoals eerder vermeld, passen beide partijen sterke encryptie toe op onze datahelp.typeform.com. Hierdoor is de data onleesbaar voor onbevoegden, ook al zou die onderschept worden. Daarnaast zijn hun medewerkers gehouden aan vertrouwelijkheidhelp.typeform.com en worden gegevens alleen ingezien indien noodzakelijk (bijvoorbeeld voor troubleshooting op ons verzoek).

  • Minimale doorgifte: We beperken zoveel mogelijk welke gegevens via deze weg gaan. Gevoelige informatie sturen we sowieso niet via deze tools. Wat we wel sturen (zoals je naam, contactinfo, voorkeuren) is informatie die jij zelf aan ons geeft voor de aangegeven doeleinden.

Mocht je hierover zorgen hebben, dan mag je ons altijd benaderen. We kunnen je desgewenst meer uitleg geven of nagaan of er alternatieven zijn. We benadrukken dat we deze gerenommeerde diensten zorgvuldig hebben geselecteerd en vertrouwen op hun compliance. Uiteindelijk blijven wij verantwoordelijk om jouw rechten te beschermen, ongeacht waar de data fysiek staat.

Cookies en tracking

Onze website en digitale tools gebruiken cookies en gelijkaardige technologieën. Cookies zijn kleine tekstbestandjes die op je apparaat worden geplaatst om informatie te onthouden. We onderscheiden verschillende soorten cookies en hanteren een cookiebanner om jouw voorkeuren te vragen, in lijn met de “cookiewet” (AVG in combinatie met e-Privacy regels):

  • Functionele en noodzakelijke cookies: Dit zijn cookies die strikt nodig zijn om de site of dienst goed te laten werken. Bijvoorbeeld, als je een formulier invult, kan een cookie zorgen dat de site jouw invoer niet vergeet als je per ongeluk navigeert, of een cookie dat onthoudt dat jij de cookie-instellingen hebt gekozen zodat we niet steeds dezelfde vraag tonen. Voor dit soort cookies is geen toestemming vereist, maar we informeren je er wel over. Zonder deze cookies zou de dienstverlening niet optimaal zijn, dus we plaatsen ze altijd. Ze verzamelen geen persoonlijke details buiten wat nodig is voor de functionaliteit.

  • Analytische cookies: Deze helpen ons te begrijpen hoe de website en onze campagnepagina’s worden gebruikt, bijvoorbeeld hoeveel bezoekers op een bepaalde infopagina komen. Waar mogelijk proberen we analytics zo privacyvriendelijk mogelijk in te richten (bijv. IP-adressen anonimiseren). Indien de analytische cookies volledig geanonimiseerd zijn, vallen ze niet onder persoonsgegevens. Echter, veelgebruikte tools zoals Google Analytics sturen toch bepaalde data door (en bovendien naar de VS), waardoor volgens de laatste richtlijnen toestemming nodig is. Daarom vragen we voor niet-strikt-noodzakelijke analytische cookies wel degelijk jouw toestemming via de banner. Pas als jij “Akkoord” geeft, worden bijvoorbeeld Google Analytics of HubSpot tracking cookies geactiveerd. Geen toestemming = geen trackingdata – je kunt de site blijven gebruiken, we respecteren dan gewoon dat we minder inzicht hebben in het bezoek.

  • Marketing- en trackingcookies: Dit zijn cookies die jouw surf- en klikgedrag bijhouden om je gerichter informatie te kunnen bieden. In ons project gaat het bijvoorbeeld om HubSpot cookies die kijken welke pagina’s je bezoekt of of je onze e-mail opent, zodat we je interesse kunnen inschatten en daaropvolgend relevante content sturen. Ook cookies voor social media of eventuele advertentiecampagnes vallen hieronder. Deze cookies worden alleen geplaatst als jij daar expliciet mee instemt (opt-in). Via de cookiebanner kun je bijvoorbeeld “Marketing cookies toestaan” aanvinken. Doe je dat niet, dan laten we ze achterwege. Je krijgt dan nog steeds algemene informatie, maar niet gepersonaliseerd. Let op: als je onze e-mails opent, zit daar mogelijk een pixel in die meet of de mail geopend is. Die pixel activeren we enkel als je marketingtracking hebt geaccepteerd via onze voorkeuren (bijvoorbeeld tijdens het aanmelden heb je ingestemd dat we je gedrag opvolgen).

Wanneer je onze website voor het eerst bezoekt, krijg je dus een cookiebanner te zien. Daarin kun je je voorkeuren beheren: je kunt alle niet-essentiële cookies weigeren, of selectief toestaan. Je kunt deze keuze later ook altijd wijzigen via een “cookie-instellingen” link op onze site (meestal onderaan de pagina). We bewaren je keuze in – jawel – een cookie, zodat we die respecteren bij vervolgbezoeken. 

Voor meer details verwijzen we naar ons volledige cookiebeleid (als bijlage bij deze verklaring of op onze site beschikbaar). Daar staat bijvoorbeeld een lijst van alle cookies die we gebruiken, hun functie, herkomst, bewaartermijn, enz. In het kort komt het erop neer dat we nooit cookies van derden laden zonder jouw toestemming als ze niet puur functioneel zijn. We conformeren ons hiermee aan de Belgische en Europese regels, zoals ook bevestigd in recente uitspraken van de Gegevensbeschermingsautoriteit (GBA) over cookiegebruik.

Hou er rekening mee dat je via je browserinstellingen cookies ook volledig kunt blokkeren of verwijderen. Dit kan echter invloed hebben op de werking van onze online formulieren of diensten (bijvoorbeeld Typeform kan mogelijk niet werken zonder bepaalde cookies). In de cookiebanner informeren we je ook hierover: als je alles weigert, kan het zijn dat bepaalde onderdelen van de site niet optimaal functioneren.

Hoe lang bewaren we je gegevens?

We houden jouw persoonsgegevens niet langer bij dan nodig is voor de doelen die eerder beschreven zijn. De exacte bewaartermijn kan variëren per campagne en situatie:

  • Gegevens die we verzamelen voor lead nurturing (campagne 1) bewaren we gedurende de looptijd van de wervingscampagne. Concreet betekent dit dat we jouw contactgegevens houden tot het einde van de huidige inschrijvingsperiode (bijvoorbeeld tot het einde van het schooljaar of academiejaar waarin jij interesse toonde), omdat we tot dan nuttige info kunnen bieden over infodagen en opleidingen. Na afloop daarvan, als je je niet hebt ingeschreven als student en ook niet langer geïnteresseerd lijkt, verwijderen of anonimiseren we jouw gegevens. We kunnen bijvoorbeeld na het academiejaar een grote schoonmaak doen: contacten die al meer dan x maanden niet gereageerd hebben of alle mails ongelezen lieten, worden dan gewist. Uiterlijk een jaar na de laatste communicatie zullen we je gegevens verwijderen, tenzij je ons toestemming geeft ze langer te bewaren.

  • Gegevens in het kader van infodag opvolging (campagne 2) bewaren we tot duidelijk is of je je al dan niet inschrijft als student. Dit traject is typisch korter: rond de periode van jouw gekozen infodag zullen we intensiever contact houden. Als je besluit je in te schrijven voor de opleiding, worden je gegevens (zoals eerder vermeld) overgedragen aan de officiële studentenadministratie en gaat de bewaartermijn van die administratie gelden (wat vaak vele jaren is, gezien diploma’s en wettelijke verplichtingen). De gegevens die wij in HubSpot/Typeform hadden verzameld voor werving zullen we in dat geval ook opschonen, of alleen minimaal bewaren (bv. naam en dat je al ingeschreven bent, voor rapportagedoeleinden). Als je niet inschrijft, dan volgen we nog een korte tijd op (bv. tot het eind van het inschrijvingsdeadine). Daarna beëindigen we de campagne. We houden jouw contactgegevens dan nog tot maximaal het eind van dat kalenderjaar, voor het geval je je toch bedenkt of nog vragen hebt, maar daarna wissen we ze. Uiteraard kun je op elk moment eerder al vragen om je gegevens te verwijderen, dan doen we dat meteen (zie jouw rechten hieronder).

  • Gegevens van schoolcontacten (campagne 3) kunnen we over langere periodes bewaren, omdat scholen vaak elk jaar nieuwe potentiële studenten hebben en onze relatie met scholen doorgaans doorlopend is. Echter, we zullen ook hier periodiek evalueren of het contact nog actief is. Als een leerkracht bijvoorbeeld aangeeft geen interesse meer te hebben of de school niet langer deelneemt, zullen we die contactgegevens verwijderen. Ook als e-mails onbestelbaar worden (bijvoorbeeld het e-mailadres werkt niet meer) halen we de gegevens uit ons bestand. We bewaren deze gegevens in ieder geval niet langer dan 3 jaar zonder interactie. Vaak sturen we jaarlijks één update; reageren contacten drie jaar op rij niet of vragen ze niets aan, dan gaan we ervan uit dat de toestemming niet langer geldt. Uiteraard zullen we bij elke mailing een uitschrijfmogelijkheid bieden zodat de contactpersoon zich meteen kan laten verwijderen.

  • Uitschrijvingen en intrekkingen: Als je aangeeft geen mails meer te willen (uitschrijving), bewaren we minimalistisch gezien wel jouw e-mailadres op een zwarte lijst of in een opt-out register. Dit klinkt misschien tegenstrijdig, maar het is nodig om te onthouden dat je geen mails wenst, zodat we je niet per ongeluk opnieuw toevoegen vanuit een oude lijst of via een nieuwe campagne. We bewaren zo’n opt-out registratie voor onbepaalde duur (tot je eventueel zelf weer wil inschrijven) strikt met het doel je wens te respecteren. Uiteraard kun je ook vragen om volledige verwijdering; dan doen we dat, maar dan heb je kans dat je bij een volgende wervingsactie weer opnieuw in onze kijker komt omdat we geen gegevens meer hebben om te herkennen dat je niet gecontacteerd wilde worden.

  • Logs en backups: Onze systemen (HubSpot, Typeform) maken beveiligingskopieën en logbestanden. Bijvoorbeeld, als we een contact verwijderen, kan het tot 30 dagen duren voor het overal uit back-ups weg is. We zorgen ervoor dat zulke back-upgegevens niet actief gebruikt worden en alleen kortstondig bewaard blijven.

Samengevat hanteren we een principe van opslagbeperking: persoonsgegevens worden gewist of geanonimiseerd zodra het doel bereikt is en eventuele wettelijke archiveringsplichten dat toelaten. Waar mogelijk vermelden we bovenal al concrete termijnen, maar omdat dit een project is met mogelijk wisselende tijdlijnen, houden we ons aan de bovengenoemde richtsnoeren.

Hoe beveiligen wij jouw gegevens? (Technische en organisatorische maatregelen)

We nemen de beveiliging van jouw persoonsgegevens zeer serieus. Zowel technisch als organisatorisch hebben we maatregelen getroffen om misbruik, ongeoorloofde toegang, verlies of ongewenste openbaarmaking te voorkomen:

  • Beperkte toegangsrechten: Alleen bevoegde leden van Team 2 – VIVES DBM kunnen bij jouw gegevens, en dan nog enkel tot die gegevens die ze nodig hebben voor hun rol. Onze HubSpot omgeving is zo ingericht dat bijvoorbeeld iemand die enkel de scholencontacten opvolgt, geen toegang heeft tot de hele lead database van individuele studenten, en vice versa. We hanteren dus een vorm van segmentatie of need-to-know-principe: je gegevens zijn niet vrij toegankelijk voor iedereen, maar afgeschermd per functie.

  • Authenticatie en autorisatie: Al onze systemen zijn beveiligd met sterke wachtwoorden en waar mogelijk twee-factor-authenticatie (2FA). Dit betekent dat zelfs als een wachtwoord ooit zou uitlekken, een buitenstaander nog steeds niet kan inloggen zonder de tweede verificatiestap. Toegang tot HubSpot en Typeform is gelimiteerd tot onze teamaccounts. Accounts worden direct ingetrokken als een teamlid niet langer betrokken is.

  • Veilige verbindingen: De gegevensuitwisseling gebeurt altijd via versleutelde verbindingen (HTTPS/TLS). Of je nu ons formulier invult of wij data tussen Typeform en HubSpot synchroniseren, het gebeurt over een kanaal dat beveiligd is zodat niemand onderweg kan meekijkenhelp.typeform.com.

  • Logging en monitoring: Er wordt een logboek bijgehouden van belangrijke acties in onze systemen. Zo is zichtbaar wie wanneer gegevens heeft ingevoerd, gewijzigd of geraadpleegd. Dit verhoogt de traceerbaarheid en maakt het mogelijk om eventuele ongeoorloofde toegang op te sporen (en te herstellen). Zowel HubSpot als Typeform registreren admin-activiteiten. Wij controleren deze logs steekproefsgewijs.

  • Back-ups en herstel: Onze verwerkers verzorgen regelmatige back-ups van de data. Dit zorgt ervoor dat bij een technisch probleem geen gegevens onherroepelijk verloren gaan. Die back-ups zijn vanzelfsprekend eveneens beveiligd en slechts tijdelijk bewaard.

  • Verwerkersovereenkomsten: Zoals eerder genoemd, hebben we contractuele afspraken gemaakt met externe verwerkers over hoe zij met jouw data omgaan. Hierin staat onder meer dat zij passende beveiligingsmaatregelen nemen en ons direct informeren in geval van een data-incident.

  • DPIA en Privacy by design: Bij de start van dit project hebben we nagedacht over privacyrisico’s en geprobeerd met een Data Protection Impact Assessment na te gaan of er hoge risico’s waren. Hoewel dit een studentenproject is, hebben we privacy-by-design toegepast: enkel de noodzakelijkste gegevens gevraagd (geen overbodige data zoals nationaliteit of rijksregisternummer), en strikte opt-ins ingebouwd. Zo hebben we de risico’s voor jouw rechten beperkt.

  • Datalek-procedures: Mocht er ondanks alle voorzorgen toch een data-inbreuk (datalek) plaatsvinden, dan hebben wij een procedure klaarstaan. We zullen in dat geval – indien nodig – jou en de bevoegde autoriteit (GBA) informeren, vooral als het lek mogelijk ongunstige gevolgen voor jou kan hebben.

Kortom, we doen er alles aan om jouw gegevens veilig te houden. Volledige garantie kunnen we uiteraard nooit geven (geen enkel systeem is 100% veilig), maar de maatregelen hierboven zorgen voor een hoog beveiligingsniveau dat in lijn is met de wettelijke vereisten en good practices.

Jouw rechten als betrokken persoon

Als het om jouw persoonsgegevens gaat, heb jij meerdere rechten onder de AVG. We zetten ze hier op een rij en leggen uit hoe je er gebruik van kunt maken. We zullen elke rechtenuitoefening zo vlot en correct mogelijk afhandelen, doorgaans kosteloos en binnen één maand na je verzoek (uiterlijk twee maanden extra als het heel complex is, maar dan berichten we je daar tijdig over).

  • Recht op inzage: Je mag ons vragen of wij persoonsgegevens van jou verwerken, en zo ja, welke. Je hebt het recht om een kopie te krijgen van de gegevens die we van jou hebben. We zullen daarbij ook uitleg geven over de doeleinden van de verwerking, welke categorieën gegevens het betreft, met wie we ze delen, hoelang we ze bewaren en wat je rechten zijn – feitelijk alles wat in deze privacyverklaring staat, maar dan toegespitst op jouw situatie. We moeten wel zeker weten dat we de informatie aan de juiste persoon verstrekken; daarom kunnen we om een bewijs van identiteit vragen voordat we inzage geven (bijvoorbeeld als je via e-mail vraagt om “alle gegevens over Jan Jansen”, zullen we willen bevestigen dat jij echt Jan Jansen bent en niet iemand anders die dat probeert).

  • Recht op rectificatie: Kloppen bepaalde persoonsgegevens niet (meer)? Heb je bijvoorbeeld een typfout ontdekt in je naam, of ben je verhuisd naar een andere regio? Dan heb je het recht om dat te laten corrigeren of aanvullen. We passen dit zo snel mogelijk aan in ons systeem, en als we die onjuiste gegevens ook aan een derde partij hadden doorgegeven, laten we hen dat weten zodat zij het ook kunnen corrigeren.

  • Recht op gegevenswissing (recht om vergeten te worden): In bepaalde gevallen kun je ons vragen om (een deel van) jouw persoonsgegevens te verwijderen. Bijvoorbeeld: je had ons toestemming gegeven voor mails, maar je trekt die in en je wilt dat we al jouw contactgegevens wissen. Of we verwerken gegevens onrechtmatig, of we hebben ze niet meer nodig voor het oorspronkelijke doel. Let wel, dit recht is niet absoluut. Soms mogen of moeten we gegevens toch bewaren (bijv. voor een juridische verplichting, of als je bij ons een contract bent aangegaan dat nog loopt). In het kader van deze specifieke marketingprojecten zullen we echter inwilligen waar mogelijk: als jij geen toekomstige student wordt en je wilt helemaal gewist worden uit onze prospect-database, zullen we daaraan voldoen. Uitzondering: zoals eerder genoemd, kunnen we minimale gegevens behouden op een zwarte lijst om je e-mail te blokkeren voor toekomstige mailings, tenzij je ook daar bezwaar tegen hebt. Als de basis voor verwerking toestemming was en je trekt die in, dan zullen we in principe wissen, tenzij een andere grond van toepassing is.

  • Recht op beperking van verwerking: Je kunt ons vragen om tijdelijk je gegevens niet te gebruiken in bepaalde situaties. Bijvoorbeeld, je betwist de juistheid van bepaalde info en wilt dat we even pauzeren met verwerken totdat het is rechtgezet. Of we willen gegevens wissen maar jij wilt ze eigenlijk nog bewaren (bijv. je bent uitgeschreven maar je wilt later kunnen bewijzen dat je ooit contact met ons had – dan kun je verzoeken dat we je gegevens niet wissen maar blokkeren). Bij beperking zorgen we dat je gegevens er nog zijn, maar we ze niet actief gebruiken tot de beperking weer wordt opgeheven.

  • Recht op bezwaar: Je hebt altijd het recht om bezwaar te maken tegen verwerking van jouw persoonsgegevens in bepaalde gevallen. Voor dit project zijn twee vormen relevant: (a) bezwaar tegen direct marketing. Als je van ons marketingberichten krijgt en je wilt dat niet meer, hoef je dat maar aan te geven – we zullen direct stoppen. In feite valt dit samen met het intrekken van toestemming, dus dit recht is volledig gewaarborgd bij ons (we sturen je niets zonder opt-in, en als je aangeeft “stop”, dan stoppen we). (b) Bezwaar op basis van bijzondere persoonlijke omstandigheden: Stel dat we iets zouden doen op basis van een “gerechtvaardigd belang” (wat we momenteel niet structureel doen, behalve misschien het voorbeeld van scholencontacten of een follow-up mail na infodag als service). Je kunt dan aangeven dat je het hier niet mee eens bent, omdat het bv. jouw privacy te zeer raakt. We zullen zo’n bezwaar beoordelen en in principe honoreren, zeker als het om marketing gaat (de wet zegt dat bij direct marketing bezwaar altijd gehonoreerd moet worden). Alleen in uitzonderlijke gevallen zouden we een verwerking toch voortzetten na bezwaar, namelijk als we dwingende gerechtvaardigde gronden hebben die zwaarder wegen dan jouw belangen (dit is vooral theoretisch voor ons project, dat scenario is onwaarschijnlijk).

  • Recht op overdraagbaarheid: Je hebt het recht om de persoonsgegevens die je zelf aan ons verstrekt hebt, in een gestructureerd, veelgebruikt formaat te verkrijgen, zodat je ze kan overdragen naar een andere dienst. In gewoon Nederlands: we kunnen je bijvoorbeeld een Excel- of CSV-bestand geven met de gegevens die je bij ons invulde (naam, email, interesses, etc.), als je dat wenst. Je kan ons ook vragen – als het technisch haalbaar is – om die gegevens direct door te sturen naar een andere instelling (al is dat in context van deze campagne niet zo waarschijnlijk dat je dat nodig hebt). Dit recht geldt alleen voor gegevens die we digitaal verwerken op basis van jouw toestemming of een overeenkomst. Bij ons zijn dat dus praktisch alle gegevens die je via formulieren gaf, aangezien die op toestemming gebaseerd zijn. We zullen op verzoek zo’n export aanleveren.

  • Recht om niet aan geautomatiseerde besluitvorming onderworpen te worden: Zoals eerder besproken doen wij geen grootschalige besluiten zonder menselijke tussenkomst die jou significant treffen. Mocht je desondanks vinden dat ons automatisch lead-score systeem je benadeelt, dan kun je hierop een beroep doen. Dat houdt in dat we dan bijvoorbeeld een mens naar je situatie laten kijken, of dat we je het besluit toelichten en je de kans geven je standpunt te geven. In de praktijk komt dit bijna op hetzelfde neer als het recht op bezwaar tegen profilering, en dat respecteren we volledig. We garanderen bovendien dat belangrijke zaken altijd door een mens worden gecontroleerd bij ons.

  • Recht op informatie: Ten slotte heb je recht op begrijpelijke en volledige informatie over wat er met je gegevens gebeurt – precies waar deze privacyverklaring voor bedoeld is. We hopen dat we hierin helder zijn geweest. Als er toch iets onduidelijk is, schroom niet om het te vragen. Deze verklaring bevat alle elementen die de wet voorschrijft, maar als je iets mist, laat het ons weten zodat we het kunnen aanvullen.

Om een van deze rechten uit te oefenen, kun je simpelweg contact met ons opnemen via de hierboven vermelde contactgegevens (per e-mail gaat het vlotst). Om zeker te zijn dat het verzoek van jou komt, kunnen we vragen om aanvullende informatie (zoals bevestiging van je e-mailadres of een identificatie bij gevoelige verzoeken). We reageren zo snel mogelijk, uiterlijk binnen 30 dagen. In principe honoreren we je verzoek, tenzij we een juridische reden hebben om het niet te doen – in dat geval leggen we duidelijk uit waarom niet.

Mocht je niet tevreden zijn met hoe wij jouw verzoek of klacht behandelen, dan heb je ook het recht om een klacht in te dienen bij de toezichthoudende autoriteit. Voor Vlaanderen/België is dit de Gegevensbeschermingsautoriteit (GBA). Contactgegevens van de GBA: Drukpersstraat 35, 1000 Brussel, tel. +32 (0)2 274 48 00, e-mail: contact@apd-gba.be. Natuurlijk hopen we dat het niet zover komt en dat we samen eventuele problemen kunnen oplossen.

Vragen of klachten

Heb je na het lezen van deze privacyverklaring nog vragen over hoe wij met jouw gegevens omgaan? Of wil je een van je rechten uitoefenen? Neem dan gerust contact met ons op. Onze gegevens staan bovenaan, maar nogmaals in het kort:

Contactpersoon privacy (Team 2 – VIVES DBM): r0983173@student.vives.be
Data Protection Officer (DPO): Mauro Coeckelbergh – bereikbaar via hetzelfde e-mailadres of telefonisch via VIVES Kortrijk (vraag naar DPO Team 2).

We staan open voor alle feedback. Dit document kan af en toe worden bijgewerkt als er iets verandert in onze verwerking of de wetgeving. Je vindt altijd de meest recente versie op onze projectwebsite of als bijlage in ons rapport. Bij ingrijpende wijzigingen zullen we actief communiceren (bv. per e-mail of via de website) dat er een update is.

Dankjewel voor je vertrouwen in Team 2 – VIVES DBM. We wensen je veel succes bij je studiekeuze en hopen je misschien gauw (virtueel of op de campus) te ontmoeten! Jouw privacy, dat is onze zorg – dus die blijft gegarandeerd bij ons.