De AVG en RT, informatie vooraf

Geschreven op

Zoals je in mijn eerdere blogs over de AVG hebt kunnen lezen, heb ik me de afgelopen maanden veel bezig gehouden met de gevolgen van deze verordening voor mij als rt'er en natuurlijk ook voor mij als eigenaar van Mijn Superkracht. Inmiddels heb ik een vrij aardig beeld van wat ik kan doen om aan alle regels te voldoen en zoals beloofd deel ik dat weer graag met je. 

Omdat ik zelf op een gegeven moment door de bomen het bos niet meer zag, heb ik alle informatie die ik gevonden heb bij elkaar gezet in 1 document. Dit beslaat inmiddels 9 bladzijdes, dus is veel te lang om in 1 keer te delen. Vandaar dat ik het zal verspreiden over een aantal blogs. Binnenkort zal ik hier ook een e-book van maken dat je ontvangt als je je aanmeldt om mijn mails te ontvangen.

Voordat we beginnen weer even de bekende disclaimer: ik ben geen jurist en plaats in dit blog de informatie die ik verzameld heb om voor mijn eigen situatie duidelijk te krijgen wat ik moet doen. Voor jouw praktijk kunnen andere dingen nodig zijn en dit blog is geen juridisch advies, maar is puur bedoeld om als collega mijn ervaringen te delen.

Goed, nu we dat achter de rug hebben, kunnen we beginnen .

Wat moet je weten?

Toen ik alle informatie bij elkaar ging zetten, merkte ik dat je om je voor te kunnen bereiden op de AVG een bepaalde basiskennis nodig hebt. Er is een aantal termen en uitgangspunten dat steeds terugkomt. Alle informatie en documenten die je voor je klanten en voor je praktijk op gaat stellen, zijn daar op gebaseerd. Dan is het natuurlijk wel handig om met die basiskennis te beginnen, dus die zet ik voor je bij elkaar in dit eerste blog.

Veel informatie die ik hier deel, is gebaseerd op de website van de Autoriteit Persoonsgegevens, ik heb dan ook steeds de link naar het betreffende deel van die pagina voor je erbij gezet.

De bescherming van persoonsgegevens

De AVG gaat over de bescherming van persoonsgegevens. Dit zijn alle gegevens die te herleiden zijn tot een natuurlijk persoon, zoals naam en adres, maar ook IP-adres en initialen. Deze gegevens worden verdeeld in 3 groepen: gewone, bijzondere en strafrechtelijke persoonsgegevens.

 In de AVG is omschreven wat de rechten zijn van de personen van wie de gegevens zijn (de betrokkenen) en welke verplichtingen organisaties en bedrijven hebben bij het verwerken van die gegevens. Het gaat hierbij zowel om gegevens die je digitaal verwerkt, als om de gegevens die je op papier hebt staan.

Belangrijke principes

De AVG heeft als doel om betrokkenen zo veel mogelijk duidelijkheid te geven over welke gegevens verzameld worden. Verder krijgen zij de controle over wat er met deze gegevens gebeurt. Hierbij zijn deze principes belangrijk:

Wettelijke grondslag

Je mag alleen gegevens verwerken als er sprake is van een wettelijke grondslag. In de AVG worden 6 grondslagen gedefinieerd. Voor mij als rt'er zijn 3 hiervan het belangrijkst, dit zijn de toestemming van de betrokkene (of zijn ouders, afhankelijk van de leeftijd van de betrokkene), de uitvoering van een overeenkomst en een gerechtvaardigd belang.
Dat betekent dat je, als je een overeenkomst hebt voor bijvoorbeeld een didactisch onderzoek en een begeleidingstraject, geen toestemming hoeft te vragen om de persoonsgegevens met deze doelen te verwerken. Ook als een verwerking voor jouw bedrijf heel belangrijk is en dat opweegt tegen de inbreuk op de privacy van de betrokkene, mag je gegevens verwerken zonder toestemming. Maar heb je wel toestemming gevraagd en wordt die ingetrokken, dan mag je niet meer alsnog kiezen voor de grondslag overeenkomst. Maak dus aan het begin van het proces een bewuste keus.

Doelbinding

Je mag de gegevens alleen verwerken voor het doel waarvoor je ze verzameld hebt. Dus heb je bijvoorbeeld een e-mailadres gekregen om de factuur heen te sturen, dan mag je dit niet zomaar gebruiken om een licentie aan te maken voor een oefenwebsite.

Dataminimalisatie

Je verwerkt alleen de gegevens die noodzakelijk zijn voor het doel waarvoor je ze verzamelt. Bovendien is het belangrijk dat je de gegevens vernietigt zodra je ze niet meer nodig hebt voor je doel. Dit betekent dat je goed nadenkt welke informatie jij echt nodig hebt voordat je een begeleidingstraject goed vorm kunt geven. Zelf heb ik weer eens goed gekeken naar mijn intakeformulier: staan er nog vragen op waarbij het antwoord niet echt voor mijn handelen van belang is?

Passende beveiliging

Je zorgt voor technische en organisatorische maatregelen om de gegevens die je verzamelt en verwerkt te beveiligen. Je zorgt er hierbij voor dat alleen personen met de passende toestemming bij de gegevens kunnen en dat je de gegevens niet verliest of per ongeluk vernietigt.

Dus dat betekent dat je goed nadenkt over het opslaan van de persoonsgegevens die je verwerkt. Hoe ga je bijvoorbeeld om met je dossiers. Staan ze op de computer die je partner ook gebruikt en heeft die toegang tot die bestanden? Dan kun je je afvragen of jouw beveiliging passend is voor de gegevens die je verwerkt. En wat schrijf je wel of niet in een mail of in wisselschrift dat mee gaat naar school?

In een later blog zal ik hier nog verder op door gaan.

Rechten van betrokkenen

Daarnaast is het belangrijk om rekening met de rechten die betrokkenen hebben, dit zijn:

  • Recht om in te zien
  • Recht om te wijzigen
  • Recht om gegevens over te dragen
  • Recht op beperking van de verwerking
  • Recht om vergeten te worden
  • Recht om bezwaar te maken tegen de verwerking
  • Recht op een menselijke blik bij besluiten
  • Recht op informatie

Als bedrijf heb je de plicht om te laten zien dat je aan de regels van de AVG voldoet en dat je rekening houdt met de rechten van de betrekkenen. Dit betekent dat je een verantwoordingsplicht hebt. Hierover zal ik je in één van mijn volgende blogs meer vertellen.

Nu we het gehad hebben over de algemene principes en de rechten van betrokkenen, is het tijd om aan de slag te gaan. In mijn volgende blog heb ik een link voor je naar een algemeen stappenplan en werk ik de eerste stap daarvan al uit.