Informatie over de AVG voor remedial teachers

Wat moet je weten?

Toen ik alle informatie bij elkaar ging zetten, merkte ik dat je om je voor te kunnen bereiden op de AVG een bepaalde basiskennis nodig hebt. Er is een aantal termen en uitgangspunten dat steeds terugkomt. Alle informatie en documenten die je voor je klanten en voor je praktijk op gaat stellen, zijn daar op gebaseerd. Dan is het natuurlijk wel handig om met die basiskennis te beginnen, dus die zet ik voor je bij elkaar in dit eerste blog.

Veel informatie die ik hier deel, is gebaseerd op de website van de Autoriteit Persoonsgegevens, ik heb dan ook steeds de link naar het betreffende deel van die pagina voor je erbij gezet.

De bescherming van persoonsgegevens

De AVG gaat over de bescherming van persoonsgegevens. Dit zijn alle gegevens die te herleiden zijn tot een natuurlijk persoon, zoals naam en adres, maar ook IP-adres en initialen. Deze gegevens worden verdeeld in 3 groepen: gewone, bijzondere en strafrechtelijke persoonsgegevens.

In de AVG is omschreven wat de rechten zijn van de personen van wie de gegevens zijn (de betrokkenen) en welke verplichtingen organisaties en bedrijven hebben bij het verwerken van die gegevens. Het gaat hierbij zowel om gegevens die je digitaal verwerkt, als om de gegevens die je op papier hebt staan.

Belangrijke principes

De AVG heeft als doel om betrokkenen zo veel mogelijk duidelijkheid te geven over welke gegevens verzameld worden. Verder krijgen zij de controle over wat er met deze gegevens gebeurt. Hierbij zijn deze principes belangrijk:

Wettelijke grondslag

Je mag alleen gegevens verwerken als er sprake is van een wettelijke grondslag. In de AVG worden 6 grondslagen gedefinieerd. Voor mij als rt'er zijn 3 hiervan het belangrijkst, dit zijn de uitvoering van een overeenkomst, de wettelijke verplichting en een gerechtvaardigd belang.

Je ziet hier niet de grondslag "toestemming" staan. Dit komt omdat je in de meeste gevallen geen toestemming nodig hebt. Sterker nog, het kan zelfs heel onhandig zijn om toestemming als grondslag te gebruiken. Je hebt namelijk voor de verwerking van gewone persoonsgegevens maar 1 grondslag nodig. Die kies je als je begint met de verwerking en dat is de grondslag die je blijft gebruiken als basis voor de verwerking. 

Dat betekent dat je, als je een overeenkomst hebt voor bijvoorbeeld een didactisch onderzoek en een begeleidingstraject, geen toestemming hoeft te vragen om de persoonsgegevens met deze doelen te verwerken. Ook als een verwerking voor jouw bedrijf heel belangrijk is en dat opweegt tegen de inbreuk op de privacy van de betrokkene, mag je gegevens verwerken zonder toestemming. Maar heb je wel toestemming gevraagd en wordt die ingetrokken, dan mag je niet meer alsnog kiezen voor de grondslag overeenkomst. in dat geval moet je dus stoppen met de verwerking van de gegevens en kun je je overeenkomst niet meer uitvoeren.

Dit betekent dat je alleen kiest voor de grondslag toestemming als geen enkele andere grondslag van toepassing is. Dat is bijvoorbeeld het geval als je nieuwsbrieven wil versturen of een andere marketingactie uitvoert. Verder heb je voor de verwerking van bijzondere persoonsgegevens zoals medische informatie en gegevens over iemands etnische achtergrond of religie wel toestemming nodig.

Doelbinding

Je mag de gegevens alleen verwerken voor het doel waarvoor je ze verzameld hebt. Dus heb je bijvoorbeeld een e-mailadres gekregen om de factuur heen te sturen, dan mag je dit niet zomaar gebruiken om een licentie aan te maken voor een oefenwebsite.

Dataminimalisatie

Je verwerkt alleen de gegevens die noodzakelijk zijn voor het doel waarvoor je ze verzamelt. Bovendien is het belangrijk dat je de gegevens vernietigt zodra je ze niet meer nodig hebt voor je doel. Dit betekent dat je goed nadenkt welke informatie jij echt nodig hebt voordat je een begeleidingstraject goed vorm kunt geven. Zelf heb ik weer eens goed gekeken naar mijn intakeformulier: staan er nog vragen op waarbij het antwoord niet echt voor mijn handelen van belang is?

Passende beveiliging

Je zorgt voor technische en organisatorische maatregelen om de gegevens die je verzamelt en verwerkt te beveiligen. Je zorgt er hierbij voor dat alleen personen met de passende toestemming bij de gegevens kunnen en dat je de gegevens niet verliest of per ongeluk vernietigt.

Dus dat betekent dat je goed nadenkt over het opslaan van de persoonsgegevens die je verwerkt. Hoe ga je bijvoorbeeld om met je dossiers. Staan ze op de computer die je partner ook gebruikt en heeft die toegang tot die bestanden? Dan kun je je afvragen of jouw beveiliging passend is voor de gegevens die je verwerkt. En wat schrijf je wel of niet in een mail of in wisselschrift dat mee gaat naar school?

Rechten van betrokkenen

Daarnaast is het belangrijk om rekening met de rechten die betrokkenen hebben, dit zijn:

  • Recht om in te zien
  • Recht om te wijzigen
  • Recht om gegevens over te dragen
  • Recht op beperking van de verwerking
  • Recht om vergeten te worden
  • Recht om bezwaar te maken tegen de verwerking
  • Recht op een menselijke blik bij besluiten
  • Recht op informatie

Als bedrijf heb je de plicht om te laten zien dat je aan de regels van de AVG voldoet en dat je rekening houdt met de rechten van de betrokkenen. Dit betekent dat je een verantwoordingsplicht hebt. Hierover zal ik je verderop in dit blog meer vertellen.

Nu we het gehad hebben over de algemene principes en de rechten van betrokkenen, is het tijd om aan de slag te gaan.

Een stappenplan

In het stuk hierboven heb ik je de belangrijkste dingen verteld die je volgens mij zou moeten weten voordat je met de AVG aan de slag gaat. Ik kan me voorstellen dat jij dit blog niet leest om die algemene informatie te krijgen, maar omdat je wilt weten wat jij voor jouw praktijk moet gaan regelen. De Autoriteit Persoonsgegevens (AP) heeft een stappenplan opgesteld dat je kunt gebruiken om je voor te bereiden. Dit stappenplan gebruik ik ook als leidraad voor dit stuk, maar ik heb er een laatste stap aan toegevoegd: welke documenten heb ik (misschien) nodig?

In dit blog beschrijf ik per stap waar we als rt'ers rekening mee moeten houden. Verder waren er regelmatig zaken die me verbaasden of waar ik nooit bij stil gestaan had, uiteraard noem ik die in dit blog ook.

Bewustwording, de eerste stap

In het stappenplan noemt de AP bewustwording als de eerste stap. Bij deze stap gaat het erom dat je zorgt dat jijzelf, maar ook anderen met wie je samenwerkt, op de hoogte zijn van de AVG en de gevolgen die deze wetgeving heeft voor de manier waarop je omgaat met persoonsgegevens. Uiteraard is het de bedoeling dat mijn blog je daarbij gaat helpen.

Hoe bescherm jij als remedial teacher de rechten van je leerlingen en hun ouders?

Eerder in dit blog somde ik kort de rechten die betrokkenen (de mensen wiens persoonsgegevens verwerkt worden) hebben op. Ik beloofde je toen dat ik daar op een later moment op terug zou komen en dat ga ik dan ook nu doen.

Reageren op een verzoek

In de AVG gaat het vooral om het versterken van de rechten van iedereen wiens gegevens verwerkt worden. In de infographic "De AVG in een notendop" laat de AP zien wat de belangrijkste zaken zijn om als bedrijf of organisatie rekening mee te houden. Als ik zelf de volgorde hierin zou bepalen, zou ik onderaan beginnen; als je begint bij de rechten, zijn de maatregelen die je moet treffen daar een logisch gevolg van.

Wanneer je een praktijk hebt, zoals wij, waarin je behoorlijk wat persoonlijke gegevens van kinderen, hun familie en hun school verzamelt en verwerkt, is het vanzelfsprekend dat je zorgvuldig met die gegevens om gaat. Iedereen van wie jij gegevens verwerkt, heeft een aantal rechten en kan daar gebruik van maken. Op het moment dat je hier een verzoek over krijgt, is het belangrijk dat je snel en goed op kun reageren. En met snel wordt in dit geval binnen een maand bedoeld.

Let er op dat je, wanneer je persoonsgegevens aan een derde partij hebt doorgegeven en iemand zich op 1 van deze rechten beroept, dit mogelijk ook aan die partij door moet geven.

Rechten van betrokkenen

Recht om in te zien

Hoe zorg jij er voor dat je leerlingen, hun ouders en eventuele anderen van wie jij gegevens hebt, die gegevens in kunnen zien? En welke afspraken maak jij hierover? Je kunt bijvoorbeeld afspreken dat je leerlingen en hun ouders hun dossier bij jou kunnen opvragen, in dat geval moet je binnen een maand aan dat verzoek kunnen voldoen. Hierbij moet je dan wel weer rekening houden met rechten van andere mensen die hierbij betrokken kunnen zijn. Staan er bijvoorbeeld gegevens in van andere leerlingen omdat je een groepstraining geeft, dan zorg je ervoor dat je inzage geeft in het dossier zonder dat deze gegevens zichtbaar zijn.

Omdat gevraagd kan worden inzicht te krijgen in alle gegevens die jij verwerkt hebt, is het wel belangrijk om te beschrijven wat je met de gegevens doet. Dat zorgt er namelijk voor dat je alles ook snel terug kunt vinden en niets vergeet. Dit doe je in een register van verwerkingsactiviteiten en daar kom ik later in dit blog nog op terug.

Recht om te wijzigen

Heb jij je systemen zo ingericht dat je gegevens aan kunt passen of kunt verwijderen als iemand daar om vraagt? Dit hoeft overigens niet altijd. Als er bijvoorbeeld een wettelijke verplichting is om gegevens te bewaren, zoals de bewaarplicht voor je (financiële) administratie, weegt die zwaarder dan het recht om gegevens te wijzigen.

In de omgeving van Mijn Superkracht kun je vanwege dit recht de berichten die je geplaatst hebt later nog aanpassen of verwijderen.

Recht om gegevens over te dragen

Betrokkenen kunnen je vragen om hun gegevens aan het over te dragen, zodat zij ze aan een andere instantie door kunnen geven. Het gaat hier alleen om digitale gegevens en het is dan belangrijk dat je de gegevens over kunt dragen in een gangbaar formaat, bijvoorbeeld als tekstbestand of in een spreadsheet.

Recht op beperking van de verwerking

In bepaalde gevallen mag je gegevens die je van personen hebt, soms tijdelijk, niet meer gebruiken, maar moet je ze wel bewaren. Dit is bijvoorbeeld omdat ze misschien niet kloppen of omdat je ze niet op de goede manier hebt gekregen. In dat geval is dus de verwerking beperkt. In het geval van niet kloppende gegevens, mag je ze wel weer gaan gebruiken als je hebt gecontroleerd of ze kloppen en ze eventueel hebt aangepast.

Recht om vergeten te worden

Dit recht houdt in dat je op verzoek de gegevens van betrokkenen vernietigt, maar ook dat je ze sowieso niet langer bewaart dan je ze nodig hebt.
Dit betekent bijvoorbeeld dat je vast moet leggen wanneer je papieren dossiers vernietigt en digitale dossiers verwijdert van je computer en uit je back-ups. Denk hierbij ook aan gegevens die je op andere plekken hebt opgeslagen, zoals accounts die je voor leerlingen hebt aangemaakt bij websites en digitale normeringen van toetsen.

Hoe lang je gegevens bewaart kan af hangen van het soort gegevens, de gegevens die op de facturen staan bewaar je bijvoorbeeld langer dan de uitslagen van toetsen. Al deze bewaartermijnen noteer je zo concreet mogelijk in je privacyverklaring.

In de leeromgeving van Mijn Superkracht zit een functie om je daar bij te helpen. Op verzoek kun je een leerling direct verwijderen als dat nodig is, maar je kunt ook een account deactiveren. Het dossier blijft dan wel voor jou toegankelijk gedurende de bewaarperiode. Na afloop van deze periode (en je kunt in het systeem noteren wanneer dat is) kun je het account alsnog verwijderen.

Recht om bezwaar te maken tegen de verwerking

Dit recht geldt wanneer je gegevens verwerkt op grond van een taak van algemeen belang of op grond van een gerechtvaardigd belang. Hier is bijvoorbeeld sprake van als je personeel hebt en een personeelsadministratie bijhoudt. Indien je op basis van deze grondslagen persoonsgegevens verwerkt, kunnen betrokkenen bezwaar maken tegen deze verwerking.

Recht op een menselijke blik bij besluiten

Als je op basis van automatisch verwerkte gegevens besluiten neemt over personen kunnen zij zich op dit recht beroepen. Mocht je bijvoorbeeld personeel aan willen nemen en het sollicitatieproces volledig gaan automatiseren, dan kunnen sollicitanten zich beroepen op dit recht. Zij vragen dan om een nieuw besluit, waarbij een mens de gegevens beoordeelt.

Dit speelt ook een rol bij het gebruik van digitale toetsen waarbij automatisch een besluit genomen wordt over degene die getoetst wordt.

Recht op informatie

Degene van wie je de gegevens verwerkt, heeft recht op duidelijk informatie over wat je met zijn gegevens doet. Dit doe je bijvoorbeeld in een privacyverklaring die je op je website plaatst of als bijlage meestuurt met je overeenkomst.
Denk er hierbij aan dat je ook persoonsgegevens verwerkt op het moment dat je mensen een contactformulier in laat vullen op je website of een formulier gebruikt waarmee mensen zich kunnen aanmelden voor je nieuwsbrief. Je kunt op deze pagina of op dit formulier een link plaatsen naar je privacyverklaring.

Bescherm de rechten makkelijker dankzij de beveiligde online omgeving

Hierboven heb ik een aantal mogelijkheden genoemd van de leeromgeving. Mocht je hier zelf kennis mee willen maken, dan kun je je aanmelden om de leeromgeving 3 maanden gratis te gebruiken.

Hieronder vertel ik je zoals gezegd meer over het register van verwerkingsactiviteiten, het document dat je helpt inzicht te krijgen in wat jij doet met de gegevens van je leerlingen en klanten.

Zorgen voor voldoende overzicht

Hierboven beschreef ik de rechten die betrokkenen hebben als jij hun gegevens verwerkt. Wanneer iemand jou vraagt iets aan te passen of te verwijderen op basis van deze rechten, is het wel fijn als je weet waar je die gegevens precies hebt staan. Hoe je zorgt dat je dit snel terug kunt vinden en welke eisen de AVG stelt, vertel ik je nu.

Een register van verwerkingsactiviteiten

Volgens de AVG heb je een verantwoordingsplicht. Dit betekent dat jij je moet verantwoorden voor de wijze waarop je omgaat met persoonsgegevens. Dit doe je in een aantal documenten, waarvan de meesten later in dit blog aan bod zullen komen. Hier ga ik alleen in op het register van verwerkingsactiviteiten.

Het register helpt zoals gezegd om je verwerkingen in kaart te brengen en is officieel verplicht, maar er is een aantal uitzonderingen. Deze uitzonderingen vind je op de site van de AP.

Het opstellen van een register van verwerkingsactiviteiten

Als je een register op moet stellen, dan zijn er richtlijnen hoe je je verwerkingen in kaart moet brengen. Als je geen register opstelt, is het toch belangrijk om ervoor te zorgen dat je inzicht hebt in welke gegevens je verwerkt en hoe je hiermee omgaat.

In een overzicht van verwerkingen noteer je bijvoorbeeld:

  • Welke gegevens je verzamelt en of het bijzondere persoonsgegevens zijn
  • Met welk doel je de gegevens verzamelt, bijvoorbeeld het versturen van facturen, opstellen van een onderzoeksverslag en het geven van een goed handelingsadvies of het versturen van een nieuwsbrief
  • Op welke grondslag je je baseert bij de verwerking van die gegevens. Bij klanten zal dit op grond van een overeenkomst zijn, maar verwerk je bijvoorbeeld ook gegevens van leerkracht zodat je met ze kunt communiceren over de voortgang van je leerlingen, dan is er toestemming nodig. Dat geldt ook wanneer je nieuwsbrieven verstuurt.
  • Hoe of waar je de gegevens verzamelt, gebeurt dit in een gesprek, heb je hier een formulier voor dat je mailt of dat op je website staat, etc.
  • Hoe lang je gegevens bewaart en ook op welk moment en hoe je ze vernietigt of verwijdert
  • Hoe en waar je de gegevens opslaat/ bewaart, zodat je ze zelf goed terug kunt vinden als dat nodig is, maar je ook hebt staan aan welke andere partijen je ze eventueel hebt doorgegeven

Wat ga ik daarna met mijn overzicht doen?

Mijn plan is om een verkorte versie van het overzicht te maken, waarop ik per klant aan kan geven wat ik geregeld heb en waar de gegevens staan. Werk ik bijvoorbeeld op basis van een overeenkomst, dan kan ik in dat overzicht aanvinken of ik de overeenkomst ontvangen heb. En maak ik een account aan bij een website, dan vink ik dat aan.

Dit overzicht doe ik in het dossier van de leerling en zodra er een vraag komt of de begeleiding beëindigd wordt, weet ik op basis van dat overzicht wat ik moet doen. Als er dan eventueel zaken zijn die nog niet direct kunnen, kan ik ze, met datum, ook op dat overzicht zetten. Dus als ik een jaar na het beëindigen van de overeenkomst het dossier moet vernietigen, dan zet ik dat al direct met datum op het overzicht.

En nu?

Zodra je overzicht hebt in welke gegevens je verwerkt en wat je er mee doet, is het tijd om te kijken welke eisen de AVG stelt aan je praktijk en wat je nog kunt doen om eventuele risico's te verkleinen. Een aantal van deze zaken beschrijf ik in het volgende deel van mijn blog.

Welke eisen worden door de AVG gesteld aan jouw praktijk voor remedial teaching?

Tot nu toe heb ik beschreven hoe je inzicht kunt krijgen in de manier waarop jij omgaat met persoonsgegevens en hoe dat je helpt om tegemoet te komen aan de rechten van betrokkenen. Naast dat het verplicht kan zijn om hiervoor een register van verwerkingsactiviteiten op te stellen, stelt de AVG in een aantal gevallen nog meer eisen aan jouw praktijk. Nu ga ik 5 zaken beschrijven die je mogelijk moet regelen of uitzoeken.

Data Protection Impact Assessment (DPIA)

Met een DPIA breng je voordat je begint met een project of dienst in kaart welke risico’s het verwerken van persoonsgegevens met zich mee brengt en wat je kunt doen om die risico’s te verkleinen. Een DPIA is alleen verplicht als de verwerking van de gegevens grote risico’s oplevert, maar de AP adviseert om ook een DPIA uit te voeren als het niet verplicht is.
Meer informatie over een DPIA en een handreiking om er één uit te voeren vind je op de website van de beroepsorganisatie van IT-auditors (NOREA).

Privacy by design & Privacy by default

Belangrijke principes binnen de AVG zijn privacy by design en privacy by default.

Privacy by design betekent dat je er al bij het ontwerpen van je diensten en producten rekening houdt met de uitgangspunten van de AVG. Dus dat je persoonsgegevens goed beschermt, maar ook dat je alleen die gegevens verzamelt die je nodig hebt en dat je ze niet langer bewaart dan nodig.

Privacy by default betekent dat je, als standaard, niet meer gegevens verwerkt dan noodzakelijk is voor het doel waarvoor je ze verzamelt. Geef je bijvoorbeeld een e-book weg en moeten mensen een formulier invullen om het te kunnen downloaden, dan mag niet standaard een vinkje staan bij het vakje waarmee ze toestemming geven om hen de nieuwsbrief te sturen. Maar het betekent bijvoorbeeld ook dat je op je contactformulier niet meer gegevens (verplicht) in laat vullen dan jij nodig hebt om een reactie te geven.

Functionaris voor de Gegevensbescherming (FG)

In een aantal gevallen is het verplicht om een FG aan te stellen. Dit is degene die binnen een organisatie toezicht houdt op de toepassing en naleving van de AVG. Op de site van de AP kun je zien of dit voor jouw organisatie geldt.

Meldplicht Datalekken

In oktober 2017 hebben de Europese Privacytoezichthouders guidelines gepubliceerd over de meldplicht datalekken. Deze richtlijnen zijn op het moment van schrijven van dit stappenplan nog niet definitief vastgesteld en vertaald, vandaar dat ik hier nog niet kan verwijzen naar een Nederlandse vertaling. In dit document staat de volgende definitie van een datalek: “a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed
Als organisatie moet je een registratie bijhouden van alle datalekken. In het geval van een ernstig datalek ben je ook verplicht dit direct te melden bij de AP en soms ook aan de betrokkenen.

Leidende toezichthouder

Werk je in verschillende landen binnen de EU of heb je meer vestigingen in de EU? Dan is het belangrijk om te bepalen wie voor jou de leidende toezichthouder is. Meer informatie hierover vind je op de site van de AP.

Na deze wat meer feitelijk regeldingetjes, die misschien wel helemaal niet van toepassing zijn, komt er nu nog een aantal zaken die dat vrijwel zeker wel zijn; verwerkersovereenkomsten, de manier waarop betrokkenen jou toestemming geven en de eisen die aan die toestemming gesteld worden, de beveiligingsmaatregelen en een overzicht van documenten die je nodig hebt om te voldoen aan de verantwoordingsplicht. Je begrijpt dat deze onderwerpen te breed zijn om te verwerken in 1 stukje, dus ik heb ze weer opgesplitst. In onderdeel van dit blog vertel ik je alles over verwerkersovereenkomsten, omdat je de informatie daaruit nodig hebt voor de overige documenten.

Verwerkersovereenkomsten

Verwerkersverantwoordelijke of verwerker

In de AVG wordt een onderscheid gemaakt tussen de persoon die (of het bedrijf dat) verantwoordelijk is voor de verwerking van de gegevens en degene die de daadwerkelijke verwerking uitvoert. Een voorbeeld hiervan is wanneer je gebruikt maakt van toetsen die digitaal genormeerd worden. Jij bent verantwoordelijk voor de gegevens die je van je leerlingen hebt gekregen en bepaalt wat ermee gebeurt, maar de eigenaar van de normeringswebsite verwerkt de gegevens die jij doorgeeft. In dat geval ben jij de verwerkingsverantwoordelijke en de eigenaar van die website is de verwerker.

Als je heel precies je overzicht hebt ingevuld dat ik al eerder beschreef, ben je waarschijnlijk een aantal van dit soort situaties tegengekomen. Sommige zijn heel duidelijk, zoals het voorbeeld hierboven of wanneer je voor je leerling een account aanmaakt bij een website om te oefenen, maar anderen liggen minder voor de hand. Zelf dacht ik bijvoorbeeld niet direct aan mijn telefoon die contactpersonen synchroniseert met mijn Gmail-account en de back-ups die ik opsla in "the cloud".

Verwerkersovereenkomsten

In alle gevallen waarin je samenwerkt met een externe verwerker, is het belangrijk dat je duidelijk afspraken maakt met die verwerker. Volgens de AVG is dit jouw verantwoordelijkheid omdat je klanten hun gegevens aan jou toevertrouwd hebben.
Om dit goed te regelen (en om te voldoen aan de verantwoordingsplicht) sluit je verwerkersovereenkomsten af met het bedrijf waar jij de gegevens aan doorgeeft. In die overeenkomst leg je bijvoorbeeld vast dat dat bedrijf niets anders mag doen met die gegevens dan waar jij opdracht voor hebt gegeven en welke maatregelen zij treffen om de gegevens veilig te bewaren.

Wie stelt de overeenkomst op?

Omdat jij verantwoordelijk bent, zou jij officieel degene zijn die deze overeenkomst opstelt, maar gelukkig zal dat in de praktijk meestal niet zo zijn. Voor grote bedrijven die vaak optreden als verwerkers is het veel handiger om zelf een overeenkomst op te stellen en die voor te leggen aan hun klanten, dan om met alle klanten losse overeenkomsten af te sluiten. De afgelopen maanden heb je dan ook misschien wel gemerkt dat je al een aantal van deze overeenkomsten opgestuurd hebt gekregen. Ook ik ben hier voor de klanten die werken met Mijn Superkracht druk mee bezig, dus als je bij het netwerk bent aangesloten, kun je binnenkort een voorstel verwachten.

Keuzes maken

Het is heel belangrijk om te onthouden dat jij verantwoordelijk blijft, jij bent dus ook degene die bepaalt of de overeenkomst in orde is en of de gegevens bij dat bedrijf inderdaad zo veilig zijn dat jij ze aan hen door wilt geven. Als je hier aan twijfelt, is het belangrijk om goed te kijken of je de software of de website van dat bedrijf wel wilt gebruiken. En als je denkt dat dat echt nodig is, kun je ervoor kiezen om extra maatregelen te treffen om de gegevens van je klanten te beschermen.

En als ik mijn leerlingen anoniem invoer?

Van een aantal begeleiders kreeg ik de vraag of het aangaan van deze overeenkomsten niet te voorkomen is door je leerlingen anoniem in te voeren. Omdat ik zelf niet voor deze optie kies heb ik het niet nagevraagd bij mijn juriste, maar volgens mij kan dat inderdaad, maar dan is er wel een heel belangrijke voorwaarde: de gegevens die je invoert mogen echt niet te herleiden zijn naar een persoon. Als je bijvoorbeeld in plaats van een naam de initialen van je leerling invoert, zou je, op basis van de andere documenten die jij hebt, wel kunnen achterhalen om wie het gaat. Dit wordt pseudonimiseren genoemd en in dat geval zijn de gegevens niet volledig anoniem. Een verwerkersovereenkomst is dan wel noodzakelijk. Dit zou wel een maatregel kunnen zijn om gegevens te beschermen bij bedrijven die zelf (te) weinig beveiligingsmaatregelen treffen en waarvoor je geen alternatief hebt. (Meer informatie vind je in dit document op bladzijde 26)

Je zou de gegevens ook volledig kunnen anonimiseren door bijvoorbeeld een fictieve naam of een willekeurig nummer te gebruiken en dan ook nergens te noteren welke naam of welk nummer bij welke leerling hoort. Zelf vrees ik dat dat voor veel verwarring gaat zorgen, dus ik kies daar niet voor.

Verwerkersovereenkomsten zijn een flinke klus

Als je voor het eerst aan de slag gaat met het voldoen aan de AVG of met je praktijk, is het regelen van deze verwerkersovereenkomsten een flinke klus, maar ik denk dat dat vooral komt doordat je het je moet regelen met alle verwerkers waarmee je samenwerkt en doordat het nog erg nieuw is. Ik verwacht dat je er vrij snel aan gewend zult zijn en dat het dan geen enkel probleem meer is.

Wanneer je alle overeenkomsten geregeld hebt, kun je door met het opstellen van de overige documenten, waar ik je nu meer over zal vertellen.

Het vragen van toestemming voor het verwerken van bijzondere persoonsgegevens

In het begin van dit blog schreef ik dat er 6 grondslagen zijn op basis waarvan je persoonsgegevens mag verwerken. Voor mij zijn de 3 belangrijkste grondslagen overeenkomst, wettelijke verplichting en gerechtvaardigd belang. Met (de ouders van) mijn leerlingen heb ik een overeenkomst, dus hun gegevens mag ik verwerken wanneer dit voor de begeleiding noodzakelijk is. Maar wanneer ik van hen bijzondere persoonsgegevens wil verwerken, zoals informatie over hun gezondheid, heb ik daar uitdrukkelijke toestemming voor nodig. Dat betekent dus dat ik al toestemming nodig heb wanneer ik in mijn anamnese iets wil vermelden over medicijngebruik of problemen met hun gehoor of zicht. Bij verwerking van de gegevens van kinderen van jonger dan 16 jaar geldt dat je (ook) toestemming moet hebben van de ouders. En aan die toestemming worden in de AVG eisen gesteld, het is niet voldoende wanneer de ouder me zegt dat ik die gegevens mag gebruiken.

Hieronder vertel ik je meer over die eisen, maar eerst nog even een herhaling van de bekende disclaimer: ik ben geen jurist en dit blog is geen juridisch advies. Wanneer je zeker wilt weten of jouw manier van toestemming vragen voldoet aan de eisen die de AVG daar aan stelt, kun je een jurist om advies vragen.

Eisen die gesteld worden aan de toestemming

Als je gegevens verwerkt op basis van toestemming worden de volgende eisen gesteld aan de toestemming:

Vrijelijk gegeven

Je mag geen druk uitoefenen om de toestemming te geven en dus ook niet dreigen om iemand anders te gaan behandelen als die geen toestemming geeft.

Ondubbelzinnig

De toestemming moet in een actieve handeling gegeven zijn waarbij het volkomen duidelijk is dat er toestemming gegeven is. Hierbij geldt dus dat het vakje om toestemming te geven niet standaard aangevinkt mag zijn en dat je ook niet mag stellen dat je de gegevens verwerkt tenzij een betrokkene aangeeft bezwaar te hebben.

Geïnformeerd

Het moet de betrokkenen volkomen duidelijk zijn dat ze toestemming geven, aan wie ze de toestemming geven, om welke gegevens het gaat en hoe ze de toestemming weer in kunnen trekken.

Specifiek

Er wordt toestemming gegeven voor een specifiek doel en een specifieke verwerking. Je mag dit niet later veranderen zonder nogmaals toestemming te vragen. En wil je gegevens op verschillende manieren of met verschillende doelen verwerken, dan moet je voor alle verwerkingen en doelen toestemming vragen

Makkelijk in te trekken

Het intrekken van de toestemming is net zo makkelijk als het geven ervan was. Dus als ze de toestemming kunnen geven door een vinkje in een vakje te zetten of door op een link te klikken, is het belangrijk dat het intrekken net zo snel gedaan kan worden. Zou je de toestemming alleen kunnen intrekken door een brief te sturen, dan is aan deze voorwaarde niet voldaan.

Verantwoordingsplicht

Je kunt aantonen dat er toestemming gegeven is. Je zult dus een administratie bij moeten houden waaruit blijkt voor welke verwerkingen met welke doelen je toestemming gekregen hebt. Hierbij registreer je ook welke informatie de personen vooraf gekregen hebben. Het is dan niet voldoende om te vermelden dat ze een formulier en een brief hebben gekregen, want het gaat ook om de inhoud van dat formulier of die brief. Voeg die dan dus ook toe aan je administratie.

Voorbeeldformulieren voor remedial teachers

Speciaal voor de begeleiders die zijn aangesloten bij Mijn Superkracht heb ik een aantal voorbeeldformulieren opgesteld die zij kunnen gebruiken om de overeenkomst en de toestemming om bijzondere gegevens vast te leggen. Deze formulieren stuur ik je graag toe als je je aanmeldt om de digitale omgeving 2 weken uit te proberen.

Hoe bewaar en verstuur jij je gegevens veilig?

Tot nu toe heb ik je verteld in welke gevallen je persoonsgegevens mag verzamelen en verwerken, maar we hebben het er nog niet over gehad hoe je ze vervolgens veilig bewaart.

Organisatorische en technische maatregelen

Als verwerkingsverantwoordelijke ben je verplicht de persoonsgegevens die jij verwerkt ergens veilig te bewaren of op te slaan. In de AVG wordt gesteld dat je verplicht bent "passende organisatorische en technologische maatregelen" te treffen om datalekken te voorkomen. Wat deze passende maatregelen zijn, wordt niet precies omschreven, maar er wordt op de site van de AP wel een aantal voorbeelden genoemd van maatregelen waar je aan kunt denken in dit kader.

Je dossiers veilig bewaren

Wanneer ik andere rt'ers spreek, hoor ik vooral vragen over de documenten die we op moeten stellen volgens de AVG en de beveiliging van de leerlingdossiers. Op die documenten kom ik in het laatste deel van dit blog terug, over die dossiers zal ik het nu hebben. 

Op papier

Als het gaat om die beveiliging, zijn er eigenlijk 2 dingen die je met die dossiers doet en waarbij je wilt zorgen dat ze veilig zijn; je bewaart ze, op papier of digitaal, en je verstuurt ze, bijvoorbeeld in de vorm van een onderzoeksverslag. Dit doe je ook weer op papier of digitaal.

Volgens mij zijn de maatregelen die je kunt treffen wanneer je dossiers op papier bewaart of verstuurt vrij voor de hand liggend. Je kunt hier denken aan het afsluiten van de kamer en/ of de kast en bij het versturen aan het gebruiken van een dichtgeplakte envelop en eventueel zelf afgeven of aan de leerling meegeven in plaats van versturen met een bezorgdienst. 

Digitaal

Als het gaat om het digitaal bewaren en/ of versturen van de dossiers, zijn er ook volop mogelijkheden om ze te beschermen. Let er hierbij wel op, dat je echt passende maatregelen treft. Zo zijn de meeste pc's beveiligd met een password, maar als je computer gestolen wordt, is dat meestal zo gekraakt en als je geen verdere maatregelen getroffen hebt, zoals het beschermen van de dossiers met een wachtwoord, kunnen ze dan dus gewoon bij alle bestanden.

Een andere belangrijke maatregel is het zorgen voor back-ups, zodat de bestanden niet zomaar verloren kunnen gaan. Dit kan op een externe harde schijf, maar dan is het wel belangrijk om er voor te zorgen dat die niet ook verloren kan gaan als er iets met je computer gebeurt, zoals bij een brand. Een andere optie is om gebruik te maken van een online server voor de back-ups. In dat geval krijg je uiteraard wel weer te maken met de vraag of de gegevens daar veilig staan en met de verwerkersovereenkomst met die server.

Bij het digitaal versturen van de dossier, bijvoorbeeld per e-mail, komt ook nog best veel kijken. Sowieso is het natuurlijk belangrijk dat je er voor zorgt dat je het naar de goede persoon verstuurt, een foutje is daarin zo gemaakt. Maar er zijn nog meer zaken om aan te denken. Hoe zorg je er bijvoorbeeld voor dat het niet onderschept kan worden en dat, mocht dat toch gebeuren, degene die het onderschept er niets mee kan? En welke overeenkomst heb je met degene die jouw mail verzorgt? 

Veilige dossiers dankzij Mijn Superkracht

Een belangrijke reden voor mijn zoektocht naar wat de AVG betekent voor mij als rt'er, was dat ik ook wilde weten hoe ik kon zorgen dat mijn Superkracht AVG-proof zou zijn. Ik kon me namelijk niet voorstellen dat ik de enige was, die het nogal een gedoe vond om alle bestanden te gaan beveiligen met een wachtwoord en e-mail versleuteld te gaan versturen, met het risico dat mijn klanten het niet zouden kunnen lezen. En het feit dat jij dit blog leest, bewijst volgens mij al dat ik daar gelijk in had.

Het resultaat van die zoektocht is dit blog en een online omgeving met allerlei beveiligingsmaatregelen om dossiers veilig op te slaan en te delen. Je kunt hierbij bijvoorbeeld denken aan:

Het inloggen in 2 stappen, je ontvangt na het invullen van een gebruikersnaam en wachtwoord een code in een app die je nodig hebt om in te loggen. Deze extra stap zorgt ervoor dat het moeilijker is om zonder toestemming toegang tot je gegevens te krijgen.

Het versleuteld opslaan van bestanden, hier merk je als gebruiker niets van, maar alle bestanden staan versleuteld op de servers.

Het gebruiken van een beveiligde verbinding, Mijn Superkracht maakt gebruik van HTTPS, dus alle bestanden die jij naar de leeromgeving stuurt worden versleuteld verzonden.

Verder helpt de leeromgeving je, zoals je eerder in dit blog hebt kunnen lezen, om rekening te houden met de privacyrechten van je klanten.

Mocht je zelf ook gebruik willen maken van de leeromgeving, dan kun je je nu aanmelden voor een begeleidersaccount. De eerste 2 weken zijn dan gratis, zodat je echt de tijd hebt om te bekijken hoe de leeromgeving jou bevalt. 

Wanneer je voor jezelf hebt bepaald wat jij gaat doen om de persoonsgegevens van je leerlingen veilig te bewaren, kun je aan de slag met de verplichte documenten. In het laatste deel van dit blog vertel ik je welke dat zijn.

Deze documenten stel je op als remedial teacher met een eigen praktijk

In dit blog heb ik je van alles verteld over de inhoud van de AVG en welke maatregelen je kunt treffen om hieraan te voldoen. Het is je waarschijnlijk wel duidelijk geworden dat het best een klus is. Maar als je alles geregeld hebt is een jaarlijkse controle van je documenten waarbij je eventueel wat bijstelt op basis van nieuwe inzichten genoeg is om te blijven voldoen aan deze wet. Maar ja, dan moet je wel eerst alle documenten hebben...

In dit laatste deel van het blog vertel ik je welke documenten dat zijn. Natuurlijk wel weer met de waarschuwing dat ik geen jurist ben en dat deze informatie volledig gebaseerd is op mijn eigen uitzoekwerk. Het is dus geen juridisch advies en er kunnen geen rechten aan ontleend worden.

De verantwoordingsplicht

Een belangrijke plicht voor bedrijven, en dus voor ons, is de verantwoordingsplicht. Deze plicht houdt in dat je niet alleen alle maatregelen moet treffen om aan de AVG te voldoen, maar dat je ook moet kunnen aantonen dat je aan de wet voldoet. Voor ons als onderwijsmensen heel herkenbaar: alles wat je doet, moet ook op papier staan.

In de AVG staat een aantal documenten vermeld dat verplicht is. Gelukkig kun je voor een aantal van hen vrijgesteld zijn, maar ook dan heb je nog aardig wat stukken te schrijven. Hieronder geef ik je een overzicht van deze documenten en als ze nog niet eerder aan bod zijn geweest, geef ik ook een korte toelichting.

De documenten

  • Gegevensbeschermingsbeleid
    In een gegevensbeschermingsbeleid, ook wel een privacybeleid genoemd, laat je zien hoe jij aan de AVG voldoet. Je beschrijft dus eigenlijk alles wat je naar aanleiding van de stappen 1 tot en met 10 hebt bedacht en geregeld.
    Dit beleid is niet voor iedereen verplicht. Op de website van de AP staat dat je het alleen hoeft op te stellen als dat in verhouding staat tot je verwerkingsactiviteiten. Dat is bijzonder vaag en het hangt dus van jouw concrete situatie af of het nodig is. Overigens mag je het, als het voor jou niet verplicht is, wel vrijwillig opstellen. Dat heeft als voordeel dat je zowel voor jezelf als voor een eventuele controle alles op papier hebt staan en je meer overzicht hebt in je eigen procedures en maatregelen.
  • Privacyverklaring
    In het gedeelte over de rechten van betrokkenen schreef ik al over het recht op informatie en dat je hier het makkelijkste aan kunt voldoen in een privacyverklaring. De AP geeft een overzicht van wat er in die verklaring moet staan en een aantal tips om hem op te stellen op de website.
  • Verslag van de uitgevoerde DPIA’s
  • Administratie met overeenkomsten wanneer je je baseert op de grondslag overeenkomst
  • Administratie toestemmingsgegevens indien je je baseert op de grondslag toestemming
  • Documentatie gerechtvaardigd belang als je je op deze grondslag baseert
  • Register om datalekken bij te houden en een document met je procedures bij een datalek
  • Register verwerkingsactiviteiten
  • Verwerkersovereenkomsten (voor zover die niet aangeleverd worden door de verwerkers)
  • Logboek of logbestand
    Er kan je gevraagd worden om te laten zien wie er toegang heeft gehad tot de persoonsgegevens en/ of welke bewerkingen zijn uitgevoerd. Om hieraan te kunnen voldoen, moet je loggen wat er met de gegevens gebeurt (als je deze link volgt, vind je onderaan de pagina een vraag hierover)

En dan?

Als je deze documenten hebt opgesteld en je ook houdt aan wat je hebt opgeschreven, ben je er volgens mij helemaal klaar voor; de AP kan gerust bij jou langskomen, jij hebt het geregeld!