De AVG en RT, hoe bescherm jij de rechten van je klanten?

Geschreven op

In het blog waarin ik je algemene informatie gaf over de AVG, somde ik kort de rechten die betrokkenen (de mensen wiens persoonsgegevens verwerkt worden) hebben op. Ik beloofde je toen dat ik daar in een later blog op terug zou komen en in dit blog over de 2e stap in het stappenplan zal ik dat dan ook gaan doen.

Dit blog maakt deel uit van een reeks waarin ik je vertel over hoe ik in mijn praktijk en bij Mijn Superkracht omga met de AVG en welke stappen ik nog wil zetten.  Voor de zekerheid zet ik er wel elke keer even deze disclaimer bij: ik ben geen jurist en deze blogs zijn geen juridisch advies. Bovendien is elke situatie anders, dus wat voor mij belangrijk is, is dat misschien niet voor jou. Toch hoop ik dat mijn blogs je helpen om na te denken over wat jij wilt regelen voor jouw praktijk en jouw leerlingen.

In mijn vorige blog heb ik je de link gegeven naar het stappenplan dat de AP (Autoriteit Persoonsgegevens) heeft opgesteld voor bedrijven. We zijn toen begonnen met de eerste stap: bewustwording. Vandaag vertel ik je zoals gezegd meer over de 2e stap: de rechten van betrokkenen.

Reageren op een verzoek

In de AVG gaat het vooral om het versterken van de rechten van iedereen wiens gegevens verwerkt worden. In de infographic "De AVG in een notendop" laat de AP zien wat de belangrijkste zaken zijn om als bedrijf of organisatie rekening mee te houden. Als ik zelf de volgorde hierin zou bepalen, zou ik onderaan beginnen; als je begint bij de rechten, zijn de maatregelen die je moet treffen daar een logisch gevolg van.

Wanneer je een praktijk hebt, zoals wij, waarin je behoorlijk wat persoonlijke gegevens van kinderen, hun familie en hun school verzamelt en verwerkt, is het vanzelfsprekend dat je zorgvuldig met die gegevens om gaat. Iedereen van wie jij gegevens verwerkt, heeft een aantal rechten en kan daar gebruik van maken. Op het moment dat je hier een verzoek over krijgt, is het belangrijk dat je snel en goed op kun reageren. En met snel wordt in dit geval binnen een maand bedoeld. 

Let er op dat je, wanneer je persoonsgegevens aan een derde partij hebt doorgegeven en iemand zich op 1 van deze rechten beroept, dit mogelijk ook aan die partij door moet geven.

Rechten van betrokkenen

Recht om in te zien

Hoe zorg jij er voor dat je leerlingen, hun ouders en eventuele anderen van wie jij gegevens hebt, die gegevens in kunnen zien? En welke afspraken maak jij hierover? Je kunt bijvoorbeeld afspreken dat je leerlingen en hun ouders hun dossier bij jou kunnen opvragen, in dat geval moet je binnen een maand aan dat verzoek kunnen voldoen. Hierbij moet je dan wel weer rekening houden met rechten van andere mensen die hierbij betrokken kunnen zijn. Staan er bijvoorbeeld gegevens in van andere leerlingen omdat je een groepstraining geeft, dan zorg je ervoor dat je inzage geeft in het dossier zonder dat deze gegevens zichtbaar zijn.

Omdat gevraagd kan worden inzicht te krijgen in alle gegevens die jij verwerkt hebt, is het wel belangrijk om te beschrijven wat je met de gegevens doet. Dat zorgt er namelijk voor dat je alles ook snel terug kunt vinden en niets vergeet. In de afbeelding hiernaast zie je een overzicht dat ik heb gemaakt en dat de basis wordt voor mijn register van verwerkingsactiviteiten. Hier kom ik in mijn volgende blog op terug.

Recht om te wijzigen

Heb jij je systemen zo ingericht dat je gegevens aan kunt passen of kunt verwijderen als iemand daar om vraagt? Dit hoeft overigens niet altijd. Als er bijvoorbeeld een wettelijke verplichting is om gegevens te bewaren, zoals de bewaarplicht voor je (financiële) administratie, weegt die zwaarder dan het recht om gegevens te wijzigen.

Recht om gegevens over te dragen

Betrokkenen kunnen je vragen om hun gegevens aan het over te dragen, zodat zij ze aan een andere instantie door kunnen geven. Het gaat hier alleen om digitale gegevens en het is dan belangrijk dat je de gegevens over kunt dragen in een gangbaar formaat, bijvoorbeeld als tekstbestand of in een spreadsheet.

In Mijn Superkracht wordt met het oog op dit recht een functie gemaakt waarmee je zowel het logboek (een soort digitaal wisselschrift) als het digitale dossier kunt downloaden als spreadsheet. 

Recht op beperking van de verwerking

In bepaalde gevallen mag je gegevens die je van personen hebt, soms tijdelijk, niet meer gebruiken, maar moet je ze wel bewaren. Dit is bijvoorbeeld omdat ze misschien niet kloppen of omdat je ze niet op de goede manier hebt gekregen. In dat geval is dus de verwerking beperkt. In het geval van niet kloppende gegevens, mag je ze wel weer gaan gebruiken als je hebt gecontroleerd of ze kloppen enze eventueel hebt aangepast.

Recht om vergeten te worden

Dit recht houdt in dat je op verzoek de gegevens van betrokkenen vernietigt, maar ook dat je ze sowieso niet langer bewaart dan je ze nodig hebt.
Dit betekent bijvoorbeeld dat je vast moet leggen wanneer je papieren dossiers vernietigt en digitale dossiers verwijdert van je computer en uit je back-ups. Denk hierbij ook aan gegevens die je op andere plekken hebt opgeslagen, zoals accounts die je voor leerlingen hebt aangemaakt bij websites en digitale normeringen van toetsen.

Hoe lang je gegevens bewaart kan af hangen van het soort gegevens, de gegevens die op de facturen staan bewaar je bijvoorbeeld langer dan de uitslagen van toetsen. Al deze bewaartermijnen noteer je zo concreet mogelijk in je privacyverklaring.

In de leeromgeving van Mijn Superkracht wordt op dit moment een functie gebouwd om je daar bij te helpen. Op verzoek kun je een leerling direct verwijderen als dat nodig is, maar je kunt ook een account deactiveren. Het dossier blijft dan wel voor jou toegankelijk gedurende de bewaarperiode. Na afloop van deze periode (en je kunt in het systeem noteren wanneer dat is) kun je het account alsnog verwijderen.

Recht om bezwaar te maken tegen de verwerking

Dit recht geldt wanneer je gegevens verwerkt op grond van een taak van algemeen belang of op grond van een gerechtvaardigd belang. Hier is bijvoorbeeld sprake van als je personeel hebt en een personeelsadministratie bijhoudt. Indien je op basis van deze grondslagen persoonsgegevens verwerkt, kunnen betrokkenen bezwaar maken tegen deze verwerking.

Recht op een menselijke blik bij besluiten

Als je op basis van automatisch verwerkte gegevens besluiten neemt over personen kunnen zij zich op dit recht beroepen. Mocht je bijvoorbeeld personeel aan willen nemen en het sollicitatieproces volledig gaan automatiseren, dan kunnen sollicitanten zich beroepen op dit recht. Zij vragen dan om een nieuw besluit, waarbij een mens de gegevens beoordeelt.

Dit speelt ook een rol bij het gebruik van digitale toetsen waarbij automatisch een besluit genomen wordt over degene die getoetst wordt.

Recht op informatie

Degene van wie je de gegevens verwerkt, heeft recht op duidelijk informatie over wat je met zijn gegevens doet. Dit doe je bijvoorbeeld in een privacyverklaring die je op je website plaatst of als bijlage meestuurt met je overeenkomst.
Denk er hierbij aan dat je ook persoonsgegevens verwerkt op het moment dat je mensen een contactformulier in laat vullen op je website of een formulier gebruikt waarmee mensen zich kunnen aanmelden voor je nieuwsbrief. Je kunt op deze pagina of op dit formulier een link plaatsen naar je privacyverklaring.

Op dit moment wordt heel hard gewerkt aan de vernieuwde privacyverklaring van Mijn Superkracht en uiteraard zal die binnenkort hier op de site te vinden zijn.

Meer informatie

In dit blog heb ik een aantal mogelijkheden genoemd van de leeromgeving. Mocht je hier zelf kennis mee willen maken, dan kun je je aanmelden om de leeromgeving 3 maanden gratis te gebruiken. Bovendien ontvang je dan als eerste het e-book over de AVG waarin alle informatie uit deze blogs bij elkaar staat!

In mijn volgende blog vertel ik je zoals gezegd meer over het register van verwerkingsactiviteiten, het document dat je helpt inzicht te krijgen in wat jij doet met de gegevens van je leerlingen en klanten.