Een stapje verder met de AVG

Geschreven op

In mijn blog "de rt'er en de AVG" beschreef ik eind vorig jaar al mijn eerste gedachten naar aanleiding van de AVG (algemene verordening gegevensbescherming). Ik ben nu iets meer dan een maand verder en heb al weer een aantal stappen gezet. Wel een beetje jammer dat bij elke stap die ik zet, weer nieuwe vragen komen, maar ik krijg ook steeds meer inzicht en dat is denk ik het belangrijkste!

In dit blog vertel ik je meer over wat ik tot nu toe heb gedaan. Ik hoop dat dit jou, voor jouw praktijk, helpt om je eigen stappen te zetten. Let wel op de disclaimer onder dit blog, ik ben nog steeds geen juriste .

Stap 1. Inventariseer welke documenten je nog nodig hebt om te gaan voldoen aan de AVG

Het eerste wat ik gedaan heb, is uitzoeken wat ik precies nodig heb om te voldoen aan de AVG. Daarbij merkte ik dat ik wel bewust bezig ben met de privacy van mijn leerlingen, maar dat ik het formeel nog niet zo goed geregeld heb. De AVG is een mooie gelegenheid om daar eens verandering in te gaan brengen en helpt me ook om weer eens kritisch naar mijn eigen manier van werken te kijken. Voor zover ik nu weet heb ik in elk geval de volgende documenten nodig voor mijn eigen praktijk:

  1. Een aangepaste overeenkomst of een los toestemmingsformulier voor het verwerken van persoonsgegevens van mijn leerling en leerkrachten en een toestemmingsregister. 
    Tot nu toe kreeg ik altijd de gegevens van de leerkracht van de ouders van mijn leerlingen, maar officieel heb ik dan geen toestemming van de leerkracht om die gegevens te verwerken. Daarom heb ik nu een los toestemmingsformulier opgesteld voor leerkrachten. Ook hield ik niet duidelijk bij van wie ik toetsemming heb (of had), dus dat heb ik nu ook aangepast.
  2. Een privacyverklaring.
    Hierin staat, voor de mensen wiens gegevens ik bewaar, welke afspraken we maken over die gegevens. Deze verklaring stel ik niet zelf op, maar die laat ik opstellen door Charlotte's Law zodat hij straks aan alle eisen voldoet.
  3. Een privacybeleid.
    In dit beleid wordt beschreven hoe ik binnen mijn praktijk omga met persoonsgegevens en hoe ik er voor zorg dat ze veilig zijn. Gelukkig wordt ook dit beleid opgesteld door Charlotte's Law.
  4. Verwerkersovereenkomsten.
    Als je de gegevens ergens opslaat, heb je ook een verwerkersovereenkomst nodig met degene bij wie je het opslaat. Dit geldt bijvoorbeeld als je gebruik maakt van websites waar je leerlingen oefenen en waar jij voor hen een account aanmaakt, maar ook voor Dropbox als jij daar documenten hebt staan waar hun gegevens in staan en voor Google als je gebruik maakt van analytics of Google drive. Ik merkte dat bij het nadenken over de volgende stappen steeds meer bedrijven naar boven kwamen, waar ik een verwerkersovereenkomst mee af moet gaan sluiten.
  5. Register verwerkingsactiviteiten
    Wie kon er op welk moment bij de gegevens van je leerlingen? In dit register houd je dat bij en dit is iets wat doorloopt. Voor mij is dit een werk in uitvoering, want hoe ik dit ga vormgeven weet ik nog niet precies, dus daar kom ik in een later blog vast bij je op terug.

Je begrijpt dat je deze documenten niet in een paar minuten opstelt en dat je vooral wat werk hebt aan het verzamelen van de informatie die in de documenten komt te staan. Daarom ben ik snel doorgegegaan met de volgende stap.

Stap 2. Breng in kaart welke persoonsgegevens je registreert en waarom.

Een belangrijk punt van de AVG is dat bedrijven, wij dus, niet zonder goede reden persoonsgegevens mogen verwerken. Op de website van de Autoriteit Persoonsgegevens staan 6 grondslagen (simpel gezegd redenen of voorwaarden) om persoongegevens te mogen gebruiken. Als je gegevens gebruikt en ergens opslaat zonder dat je dat baseert op in elk geval 1 van deze grondslagen, mag dat dus niet.

In mijn geval, en ik verwacht ook in dat van jullie, baseer ik me op de eerste 2 grondslagen en het is dus de bedoeling dat ik dat ga verantwoorden in mijn privacybeleid. Als voorbereiding daarop heb ik geprobeerd een soort kaart te maken van welke gegevens ik (globaal) verzamel op welk punt in een begeleidingstraject. En voor de duidelijkheid heb ik daar ook maar direct bijgezet op welke manier daar toestemming voor gegeven wordt (of gaat worden). 

Bij het opstellen van deze kaart heb ik ook direct nagedacht waar ik de gegevens voor gebruik en of ze dus wel echt nodig zijn, als dat niet zo was, zouden ze niet op de kaart terechtkomen. Gelukkig bleek dat nergens het geval.

Stap 3. Denk na over de manier waarop je deze gegevens opslaat en eventueel aan anderen doorgeeft

Als je nadenkt over de gegevens die je van je leerlingen, maar ook van hun familie, verzamelt en verwerkt, bijvoorbeeld in onderzoeksverslagen, merk je hoeveel dat eigenlijk is. Natuurlijk vertrouwen jouw klanten er op dat die informatie veilig is bij jou, dus het is heel belangrijk om na te denken hoe jij er zorgvuldig mee omgaat. In je privacybeleid ga je (laten) omschrijven wat jij doet om te voorkomen dat anderen zomaar bij de gegevens kunnen. Daarbij kun je jezelf vragen stellen als:

  1. Hoe is de beveiliging van alle gegevens die ik digitaal bewaar? Op de website van de Autoriteit Persoonsgegevens wordt gesproken over juiste technische en organisatorische maatregelen om de persoonsgegevens te beschermen, maar dat is natuurlijk een vrij vage omschrijving, want wat zijn de JUISTE maatregelen?
    Zelf denk ik dat het niet voldoende is om ze op je computer te beschermen met een algemeen wachtwoord voor je account en de antivirussoftware en een firewall. Ik denk dat dat voor het soort informatie dat in mijn verslagen staat te weinig bescherming biedt, vandaar dat ik gebruik maak van de dossierfunctie van Mijn Superkracht. 
  2. Aan welke andere partijen geef ik de gegevens door, heb ik daar toestemming voor en hoe beveiligen zij de gegevens? Aan de hand van deze inventarisatie weet je welke verwerkersovereenkomsten je nodig hebt, maar alleen de overeenkomsten tekenen is niet voldoende. Lees ze ook echt door en probeer een inschatting te maken of de gegevens die jij doorgeeft daar voldoende beveiligd zijn. Uiteraard is er meer beveiliging nodig bij bijvoorbeeld de normeringswebsite van toetsen dan bij een document met namen en e-mailadressen dat je op een server opslaat, dus kijk per partij welke maatregelen zij treffen.
  3. Hoe deel ik gegevens met anderen? Ik denk hier bijvoorbeeld aan een onderzoeksverslag, mail je dat naar ouders en leerkrachten, print je dat of gebruik je een afgeschermde omgeving om dat met ze te delen? De beveiliging bij mail is afhankelijk van de servers die jij, maar ook degenen naar wie je mailt gebruiken. Je kunt je voorstellen dat mailen vanaf een hotmail-adres minder veilig is dan vanaf je eigen server, maar dat hangt ook af van de maatregelen die het bedrijf waar de server staat getroffen heeft. Dit staat, daar is hij weer, in de verwerkersovereenkonmst die je met hen afsluit.
    Een geprint exemplaar meegeven is natuurlijk extra veilig, maar het heeft ook wel voordelen als de ouders en de leerkracht hem digitaal hebben. Je zou dan ook gebruik kunnen maken van een afgeschermde omgeving, als die echt veilig is.

Stap 4. Stel de documenten op die je nodig hebt of laat die opstellen

Als je echt goed hebt nagedacht over de manier waarop je omgaat met persoonsgegevens, kun je de documenten die je nodig hebt gaan opstellen of ze laten opstellen door een jurist. Mijn ervaring tot nu toe is dat het het handigste is om eerst te zorgen dat je alle verwerkersovereenkomsten in orde maakt, omdat je de informatie die hierin staat nodig hebt om je beleid op te stellen. 

Overigens komen in je beleid nog wat meer zaken aan bod dan wat ik in dit blog beschreven heb, want ook voor een eventuele nieuwsbrief en met je website verzamel je misschien wel persoonsgegevens, dus in je documenten beschrijf je ook hoe je hier mee omgaat. Daarnaast vermeld je er ook nog in hoe lang je alle gegevens bewaart en bij wie mensen met vragen over de manier waarop jij met hun persoonsgegevens omgaat terecht kunnen. Als je alleen een praktijk hebt, ben je dat natuurlijk zelf, maar binnen een grotere praktijk is het verstandig hier een contactpersoon voor aan te wijzen.

Werk in uitvoering

Mijn documenten zijn nog niet af en zoals ik al eerder schreef is het best een werk om alles in orde te krijgen. Ook komen er steeds weer nieuwe vragen langs, waar ik dan weer mee aan de slag "mag". De komende tijd zal ik dus nog waarschijnlijk nog wel vaker bloggen over de AVG en wat ik ontdekt heb. als je hier van op de hoogte wilt blijven, kun je me volgen op Facebook of je kunt je aanmelden om mijn mails te ontvangen. In de op het formulier genoemde toolbox vind je ook het in dit blog genoemde toestemmingsformulier voor leerkrachten dat je aan kunt passen voor je eigen praktijk.

Disclaimer

Het is wel even belangrijk om duidelijk te zeggen: ik ben geen jurist en ik kan je geen juridisch advies geven, maar in dit blog deel ik mijn ervaringen. Ik hoop dat je hier iets aan hebt en zal de komende tijd vaker blogs plaatsen als ik nieuwe inzichten of informatie heb, maar uiteindelijk zul je zelf voor je eigen praktijk moeten bekijken wat jij moet regelen.