Veelgestelde vragen

Bij de definitie ‘geheim adres’ is het uitgangspunt de noodzakelijkheid. Een adres is dus niet geheim omdat iemand dat zelf graag wil, maar omdat het noodzakelijk is om iemand te beschermen tegen kwaadwillenden (denk aan getuigenbescherming). Ook een geheim adres moet de organisatie vastleggen. Als organisatie wil je de privacy beschermen van personen voor wie het noodzakelijk is om een geheim adres te gebruiken. Je wilt immers niet dat zo'n adres verkeerd wordt gebruikt. In de bescherming kan deels met technische maatregelen worden voorzien, deels moet dat met organisatorische maatregelen. Bekijk per geval welke mate van ‘geheim’ nodig is. Er...

Inleiding Instellingen hebben met regelmaat te maken met inzageverzoeken als: 'Ik wil graag alles zien wat jullie over mij hebben.' of 'Verwijder al mijn gegevens a.u.b.' Als instelling wil je zo'n inzageverzoek correct én binnen de wettelijke termijn afhandelen. De gevraagde informatie kun je pas overhandigen nadat je de identiteit van de betrokkene hebt vastgesteld. Je wilt immers voorkomen dat je gegevens aan een kwaadwillende overhandigt. Het is ook fijn als je iets meer weet over de scope van het inzageverzoek, want álles gaat zelfs over de registratiemomenten van de toegangspas. Maar dan komt het probleem: de aanvrager is vaak...

Het korte antwoord is: 'ja'. Eigenlijk altijd. Maar het is ingewikkeld. Geen inzage .... De Autoriteit Persoonsgegevens zegt dat je geen inzage hoeft te geven in gegevens waarbij de aanvrager zelf niet kan controleren of die gegevens kloppen. Dat betekent dat je geen inzage hoeft te geven in: Een mening, verklaring of persoonlijke aantekening van een medewerker in uw organisatie. Een professionele analyse van de persoonsgegevens van degene die de aanvraag doet. Zoals een juridische analyse in een procedure, of een financieel rapport van een bank. Maar, toch wel inzage ... Zodra notities met persoonsgegevens bedoeld zijn om in een...

Nee, waarschijnlijk niet. Een kwetsbaarheid is namelijk geen datalek in de zin van artikel 4, lid 12 van de AVG. We zetten de definities op een rijtje: DatalekEr is ongeoorloofd of onbedoeld toegang tot persoonsgegevens geweest bij een organisatie, of persoonsgegevens zijn onbedoeld vernietigd, verloren gegaan, gewijzigd of tijdelijk niet beschikbaar. (Security)incidentAlle incidenten die een ongeplande (potentiële) aantasting van de Beschikbaarheid, Integriteit of Vertrouwelijkheid (BIV) van informatiesystemen tot gevolg kunnen hebben, maar die de levensvatbaarheid van de hele organisatie niet in gevaar brengt. Een aantasting die nog niet is opgetreden maar dat elk moment wel kan doen, wordt ook beschouwd...

Ja, maar niet zonder meer. Meestal heb je daar toestemming voor nodig. Zie de gerelateerde vragen in deze FAQ.

Ja, dat mag als dag nodig is zodat begeleiders de studenten kunnen herkennen/identificeren. Vergelijk dit bijvoorbeeld met de aanwezigheidsregistratie; ook daarvoor moet je de personen kunnen identificeren. Vertel dit wel aan de studenten van tevoren, zodat het niet als een verrassing komt. Maak afspraken met de begeleiders dat ze het geprinte materiaal met de foto's na gebruik inleveren of vernietigen.

Dit hangt erg af van de afspraken binnen de onderwijsinstelling. De vuistregel is dat toestemming aantoonbaar moet zijn. Als je een goed proces inricht en je aan de afspraken houdt, dan kan dat in principe ook mondeling zijn*. Dat is niet altijd verstandig, maar in sommige situaties kan het een goede oplossing zijn. Overleg altijd met je privacy officer. Toestemming vragen kan bijvoorbeeld zo: geen toestemming nodigeenmalig gebruik (intern en extern)niet intrekbaar--> zoals overzichtsfoto's van evenement, niet snel herkenbaar (mondelinge) toestemming nodig*eenmalig gebruik (intern)intrekbaar--> zoals portaal, digitale nieuwsbrief (schriftelijke) toestemming nodigeenmalig gebruik (extern)intrekbaar--> zoals een digitaal magazine, sociale media, Facebook...

Het is de vraag of je ineens toestemming kunt geven voor alle beeldmateriaal gedurende een schooljaar. Voor ouders ligt dat anders dan voor studenten vanaf het moment dat ze zelf mogen beslissen (16 jaar). Een best practise is situationeel te werken met toestemming en dus per keer vraagt wat de ander wil. Soms kan het mondeling.* Het is overigens niet altijd nodig om toestemming te vragen voor het maken van beelden, maar het is wel goed om zoveel mogelijk rekening te houden met de wensen van anderen. *De mogelijkheden voor het werken met mondelinge toestemming hangen sterk samen met de...

Toestemming vragen betekent dat je een paar dingen moet uitleggen, zodat de ander goed geïnformeerd en vrij kan beslissen 'ja' of 'nee'. Daarvoor moet je aangeven wat het doel is van de foto, wie deze te zien krijgen en met welk doel. Praktisch kun je voor eenmalige gebruik gewoon vooraf uitleggen waarom foto's gemaakt worden, toestemming vragen en benadrukken dat iedereen zich vrij mag voelen om te kunnen weigeren. Je houdt rekening met wil niet op de foto wil en zo hoef je niet de toestemming schriftelijk bij te houden (check altijd wat het beleid van je organisatie hierover zegt)....

Een onderwijsinstelling mag het DDD van Intergrip alleen gebruiken als de student daarvoor toestemming heeft gegeven. De onderwijsinstelling heeft daarvoor een verwerkersovereenkomst met Intergrip afgesloten waarin afspraken staan over hoe Intergrip met de persoonsgegevens in het DDD omgaat.

Geef nooit zonder overleg met de bedrijfsjurist informatie aan de politie. Bespreek samen met de jurist en eventueel de privacy officer wat de beste manier is om de politie te beantwoorden. Als de politie op locatie komt:- laat de politiefunctionaris zichzelf legitimeren met een politie-ID- noteer de naam/namen, grip-nummer(s) en van welk bureau men afkomstig is- de politie laat een schriftelijke vordering zien Bij telefonisch contact: geef nooit telefonisch informatie door, tenzij je er helemaal zeker van bent dat het telefoontje écht van de politie komt. Bedenk dat je met het geven van een 'ja' of een 'nee' op een...

Jeugdzorg werkt o.a. met gedragcodes en er zijn wettelijke regelingen voor de taken van Jeugdzorg. In principe is uitwisseling van gegevens in sommige gevallen gewenst en toegestaan. Probeer feitelijke informatie te geven en geen interpretaties. Zorg ervoor dat je steeds toetst of aan de voorwaarden is voldaan. Heb je iemand aan de telefoon die zegt namens Jeugdzorg te bellen, geef dan nooit zomaar informatie. Je moet zeker weten dat de persoon die belt, daadwerkelijk degene is zoals de persoon zich voorstelt. Geef alleen informatie als je zeker bent dat het deze persoon is. Overleg eventueel met de privacy officer van...

Dat mag alleen als de student (of ouders/wettelijk vertegenwoordigers) daarvoor vrijelijk (zonder druk) toestemming geeft. In de ideale situatie regelt de student dit zelf. Vraag je privacy officer om hulp. Die weet of jouw instelling hier iets voor heeft geregeld.

Met een leerplichtambtenaar deel je gegevens die nodig zijn voor de wettelijke taak. Een mbo/roc is verplicht om aan deze verzoeken mee te werken. Laat de leerplichtambtenaar wel altijd een schriftelijk verzoek doen (e-mail is voldoende), zodat je zeker weet dat je te maken hebt met de officiële leerplichtambtenaar. NB Een leerplichtambtenaar heeft toegang tot het verzuimloket van DUO en kan daar ook al een deel van de benodigde informatie vinden. De volgende persoonsgegevens mogen met de leerplichtambtenaar worden gedeeld: - naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens van de leerplichtige;...

Nee. Een burgerservicenummer (BSN) mag je organisatie uitsluitend gebruiken in communicatie met de overheid. Het is niet toegestaan om het om een andere manier te gebruiken. Een bewindvoerder kun je altijd doorverwijzen naar het Bewindvoeringsloket van DUO. Een instelling hoeft geen informatie met een bewindvoerder te delen, tenzij een student daar toestemming voor geeft.

In het kader van de AVG kan iedereen vanaf 16 jaar tot een bepaalde mate zelfstandig beslissen en toestemming verlenen over privacy-gerelateerde zaken. Datzelfde geldt bijvoorbeeld voor beslissingen die samenhangen met hun gezondheid, zoals geregeld in de Wet op de geneeskundige behandelingsovereenkomst, de WGBO. Dat betekent dat in die gevallen toestemming van ouders/wettelijk vertegenwoordigers niet meer nodig is. Zolang een student geen startkwalificatie heeft, houden ouders/wettelijk vertegenwoordigers echter recht op informatie over de studievoortgang, maar dat kan meer in algemene bewoordingen en minder gedetailleerd. Let op, medische informatie wordt niet gedeeld. Bij voorkeur laat je de student zelf beslissen welke...

Tot 16 jaar hebben ouders het recht op inzage in alle gegevens van de student.De meeste ouders willen graag op de hoogte gehouden worden van de voortgang en/of aan- en afwezigheid van de student. Onderwijsinstellingen hebben een zorg- en inspanningsverplichting en informatieplicht aan ouders, zolang de student minderjarig is. Ouders houden ook recht op informatie zolang zij de financiële verantwoordelijkheid dragen voor de opleiding tot de startkwalificatie is behaald.

Iedereen van 18 jaar en ouder is in beginsel volgens de wet meerderjarig en handelingsbekwaam. Dit betekent dat iemand van die leeftijd zelfstandig handelingen met rechtsgevolgen kan verrichten. Vanaf dat moment deel je standaard geen informatie meer met de ouders/wettelijk vertegenwoordigers, tenzij de student daar vrijelijk (zonder druk) toestemming voor geeft.

Nee, je gebruikt altijd de middelen die jouw onderwijsinstelling heeft goedgekeurd. Ander loop je namelijk het risico dat je een dienst hebt gekozen waarvoor afspraken nodig zijn tussen jouw organisatie en de aanbieder, terwijl die afspraken er niet zijn. Meestal kun je die zelf ook niet maken, omdat je daar geen bevoegdheid/mandaat voor hebt. Je gebruikt dus altijd de faciliteiten die jouw organisatie je biedt. Dan weet je zeker dat zowel de beveiliging als de bescherming van de persoonsgegevens (inclusief eeen eventueel benodigde verwerkersovereenkomst) goed is geregeld. Heb je een bepaalde functionaliteit nodig, vraag dit dan aan.

Vroeger stuurden we nog wel eens een Excel met de cijfers naar de hele klas. Of we prikten de uitslagenlijst op de muur/prikbord. Dat kan niet meer. Je deelt daarmee zonder toestemming cijfers van een student met de rest van de klas. Die toestemming kun je ook niet vragen, omdat een student niet makkelijk 'nee' tegen je kan zeggen vanwege de machtsverhouding tussen leraar en student. Cijfers deel je dus altijd via het systeem dat je onderwijsinstelling daarvoor ter beschikking stelt.

Dit is erg afhankelijk van de afspraken binnen je instelling. Meestal wordt dit op een ander niveau geregeld en hoef je dit als begeleider niet te doen. Het mag dus niet zonder meer, je moet daarvoor het proces volgen dat de onderwijsinstelling daarvoor heeft vastgesteld. Dat moet een eenduidig en veilig proces zijn op basis waarvan iedereen die daartoe gerechtigd is op het juiste moment die informatie kan zien. Meestal wordt zo'n (medische) indicatie in een speciale, goed beveiligde applicatie opgeslagen.Docenten hebben die informatie uiteraard nodig om hun lessen goed af te stemmen op hun studenten. De informatie kan bijvoorbeeld...

Studenten die stiekem iemand filmen en dit op internet/sociale media posten overtreden daarmee afspraken die met hen zijn gemaakt. Dat kan bijvoorbeeld ingaan tegen een gedragscode of een studentenstatuut. Het maatk niet uit of de film is gemaakt van een leraar of bijvoorbeeld een klasgenoot van de student. Als zo'n situatie zich voordoet, overleg dan met je leidinggevende welk proces hiervoor geldt binnen je organisatie.

Alleen als het gaat om een evenement waarbij het moeilijk is om te herleiden wie er op de foto's staan, kan dat zonder toestemming. Maar, in het algemeen is dat bij een excursie of evenement waar een klas aan deelneemt niet het geval. Als je weet om welke klas van welke onderwijsinstelling het gaat, is al snel te achterhalen wie er op de foto staan. Zorg er dus voor dat je met je studenten bespreekt wie er wel en wie er niet op de foto wil met als doel plaatsing op de socials. Zorg er ook voor dat je een...

In beveiligde delen van een applicatie die een organisatie gebruikt voor het vastleggen van informatie over studentbegeleiding, kan bepaalde vertrouwelijke informatie worden opgeslagen. Dat gebeurt bijvoorbeeld door een loopbaanbegeleider of een vertrouwenspersoon. Die systemen zijn extra goed beveiligd en kennen een sterke bescherming qua autorisatie. Het is sowieso belangrijk om je altijd serieus af te vragen of je 'zeer' vertrouwelijke informatie überhaupt wilt opslaan. Niets opslaan (behalve in je geheugen) is altijd een goede optie. Zo wordt het niet per ongelukt bekend bij iemand waar dat niet de bedoeling was (als je vastlegt, weet je dan ook wie de informatie...

De gegeven toestemming blijft juridisch gezien geldig. Maar, nadat toestemming is ingetrokken, mogen we de gegevens niet meer verder gebruiken. Formeel gezien kun je een foto bijvoorbeeld op de sociale media laten staan, maar het is natuurlijk wel netjes als je de foto toch verwijdert. Gaat het om spannende zaken zoals een billboard-reclame? Zorg dan voor een quitclaim. Vraag na bij je privacy officer of bij de afdeling die over marketing en communicatie gaat.

De wet vereist dat de toestemming aantoonbaar is, waardoor schriftelijk vastleggen juridisch gezien wenselijk is. Lees hier hoe dat kan.

Als jij een privéaccount van WhatsApp moet gebruiken, kun je ervan uitgaan dat je WhatsApp niet mag gebruiken voor je werk.

Zorg ervoor dat je studenten weten dat ze geen andere mensen filmen die ze herkenbaar in beeld laten komen (bijvoorbeeld door ze alleen op rug te filmen). Maak de opdracht concreet, en zorg ervoor dat het niet nodig is andere mensen te filmen.

Wettelijk gezien lijkt het niet onmogelijk om je in Nederland te verzekeren tegen zo’n boete. De boete die de AP oplegt, is namelijk administratief van aard en niet strafrechtelijk. Verzekeraars verzekeren geen boete die uit een strafbaar feit voortkomt, maar voor een bestuursrechtelijke boete is dat niet onmogelijk.

Je kunt als bedrijf drie rollen hebben als het gaat om de verwerking van persoonsgegevens: verantwoordelijke, verwerker, medeverantwoordelijke. Maar wanneer ben je nu wat?

Organisaties koppelen vaak allerlei systemen met elkaar waarbij informatie kan worden getoond of toegang kan worden verleend op basis van de naam van een medewerker. De achternaam is nodig om het gebruikersbeheer te kunnen automatiseren. Wat doe je om het werkbaar te houden als namen veranderen?

Wat is er mogelijk om videocameratoezicht qua wet- en regelgeving (specifiek de AVG) op de juiste manier in te zetten?

Wat doe je als de auditor toegang vraagt tot systemen, applicaties of documenten waarin (gevoelige) persoonsgegevens zijn opgeslagen?

Veel organisaties bewaren een kopie van de VOG's van medewerkers zodat ze tijdens een audit kunnen aantonen dat er is gecontroleerd of een vereiste VOG aan de werknemer is verstrekt. Het is alleen niet aan te raden een kopie-VOG te bewaren. In de eerste plaats is die kopie niet rechtsgeldig en in tweede plaats is deze verklaring strikt persoonlijk. Dat is ook de reden waarom de medewerker deze persoonlijk, fysiek krijgt thuisgestuurd (en zelf kan kiezen of het een digitale VOG mag zijn), ook al betaal je als organisatie meestal voor de VOG. Ten slotte past het bewaren van een...

Mag mijn onderwijsinstelling strafrechtelijke gegevens verwerken? In sommige situaties mogen organisaties dat - onder voorwaarden.

Is een verwerkersovereenkomst tussen een school en een onderzoeksbureau verplicht? Dat hangt af van de context.

Mag onze organisatie gegevens over een student verstrekken aan een verzekeringsmaatschappij? Dat hangt er vanaf. Soms is toestemming nodig.

Een onderwijsinstelling is bezig met het opstellen van een quitclaim. De vraag is hoe specifiek zij moeten zijn over het doel van de quitclaim.