Veelgestelde vragen

Met een 'geheim adres' bedoelen we dat een adres niet geheim is omdat iemand dat graag wil, maar omdat het noodzakelijk is ter bescherming.

Als instelling wil je een inzageverzoek correct én binnen de wettelijke termijn afhandelen. Lees hoe dat werkt en welk proces je kunt volgen, inclusief de controle van de identiteit.

Is het AVG-inzagerecht van betrokkenen van toepassing op persoonlijke werknotities? Het korte antwoord is: meestal wel. Lees hier waarom.

Is er sprake van een datalek als er een instelling verkeerd staat? Een kwetsbaarheid is geen datalek in de zin van artikel 4, lid 12 AVG.

Mogen we foto's maken of tgebruiken waarop studenten herkenbaar in beeld zijn? Lees hier meer over wanneer je b.v. toestemming nodig hebt.

Als je studenten moet identificeren, kun je daarvoor een lijst met pasfoto's meegeven aan begeleiders, vergelijk de aanwezigheidsregistratie.

Of je ook met mondelinge toestemming kan werken, hangt erg af van de afspraken binnen de onderwijsinstelling.

Antwoord Je kunt niet in alle situaties in een keer toestemming geven voor al het beeldmateriaal dat tijdens een schooljaar wordt gemaakt. Dat hangt af van wie de toestemming geeft: Ouders/wettelijk vertegenwoordigers van minderjarigen tot 16 jaar kunnen in één handeling toestemming geven voor al het materiaal. Het is wel beter om ze keuzes voor te leggen (in deze situatie wel, in die situatie niet). Vanaf het moment dat studenten zelf mogen beslissen (vanaf 16 jaar) ligt dit anders. Je kunt hier beter per keer om toestemming vragen omdat de toestemming geïnformeerd moet worden gegeven en aantoonbaar moet zijn. Tips...

Toestemming vragen betekent dat je een paar dingen moet uitleggen, zodat de ander goed geïnformeerd en vrij kan beslissen 'ja' of 'nee'. Daarvoor moet je aangeven wat het doel is van de foto, wie deze te zien krijgen en met welk doel. Praktisch kun je voor eenmalige gebruik gewoon vooraf uitleggen waarom foto's gemaakt worden, toestemming vragen en benadrukken dat iedereen zich vrij mag voelen om te kunnen weigeren. Je houdt rekening met wil niet op de foto wil en zo hoef je niet de toestemming schriftelijk bij te houden (check altijd wat het beleid van je organisatie hierover zegt)....

Een digitaal doorstroomdossier deel je alleen met toestemming van de student (of ouders/wettelijk vertegenwoordigers).

Bespreek samen met de jurist en eventueel de privacy officer wat de beste manier is om de politie te beantwoorden en geef nooit zomaar info.

Informatie delen met Jeugdzorg is soms wenselijk en toegestaan. Overleg met je privacy officer en houd het feitelijk.

Studentgegevens verstrek je alleen aan een andere school in het kader van passend onderwijs of warme overdracht bij toestemming.

Deel alleen gegevens die een leerplichtambtenaar nodig heeft voor de wettelijke taak en controleer de identiteit van de ambtenaar.

Gebruik een BSN alleen in communicatie met de overheid. Deel alleen informatie met een bewindvoerder als de student toestemming geeft.

Vanaf 16 jaar beslist de student deels zelf welke informatie met de ouders/vertegenwoordigers wordt gedeeld. Betrek de student hierbij.

Tot 16 jaar hebben ouders inzagerecht in alle gegevens van de student, daarna beslist de student zelf over een aantal zaken (b.v. medisch).

Vanaf 18 jaar beslist de student zelf welke informatie je als begeleider met de ouders/wettelijk vertegenwoordigers mag delen.

Gebruik altijd de middelen die jouw onderwijsinstelling heeft goedgekeurd. Middelen die je nodig hebt kun je aanvragen.

Je deelt uitslagen altijd individueel. Zo kan een student zelf kiezen met wie hij de cijfers deelt en met wie niet.

Een medische indicatie van een student sla je op in een beveiligd systeem, zodat de juiste mensen op het juiste moment informatie krijgen.

Studenten die stiekem iemand filmen en dit op internet/sociale media posten overtreden daarmee de wet. Dit valt onder het strafrecht.

Vraag toestemming voor het gebruik van foto's van studenten die herkenbaar in beeld zijn.

Als je iets in vertrouwen te horen krijgt, leg je liever niets vast voor studentbegeleiding. Maak hooguit een korte aantekening als steun.

Als een student toestemming intrekt voor het gebruiken van beeldmateriaal, mag je dat beeldmateriaal niet meer verder gebruiken.

De wet vereist dat de toestemming aantoonbaar is, waardoor schriftelijk vastleggen juridisch gezien wenselijk is. Lees hier hoe dat kan.

Als jij een privéaccount van WhatsApp moet gebruiken, kun je ervan uitgaan dat je WhatsApp niet mag gebruiken voor je werk.

Zorg ervoor dat je studenten weten dat ze geen andere mensen filmen die ze herkenbaar in beeld laten komen (bijvoorbeeld door ze alleen op rug te filmen). Maak de opdracht concreet, en zorg ervoor dat het niet nodig is andere mensen te filmen.

Wettelijk gezien lijkt het niet onmogelijk om je in Nederland te verzekeren tegen zo’n boete. De boete die de AP oplegt, is namelijk administratief van aard en niet strafrechtelijk. Verzekeraars verzekeren geen boete die uit een strafbaar feit voortkomt, maar voor een bestuursrechtelijke boete is dat niet onmogelijk.

Je kunt als bedrijf drie rollen hebben als het gaat om de verwerking van persoonsgegevens: verantwoordelijke, verwerker, medeverantwoordelijke. Maar wanneer ben je nu wat?

Toegang wordt vaak verleend op basis van de naam van een medewerker. Dat wil je automatiseren. Hoe houd je naamswijzigingen werkbaar?

Wat is er mogelijk om videocameratoezicht qua wet- en regelgeving (specifiek de AVG) op de juiste manier in te zetten?

Wat doe je als de auditor toegang vraagt tot systemen, applicaties of documenten waarin (gevoelige) persoonsgegevens zijn opgeslagen?

Toelichting Veel organisaties bewaren een kopie van de VOG's van medewerkers zodat ze tijdens een audit kunnen aantonen dat er is gecontroleerd of een vereiste VOG aan de werknemer is verstrekt. Antwoord Het is niet aan te raden een kopie-VOG te bewaren. De kopie is niet rechtsgeldig en bovendien is de verklaring strikt persoonlijk. Dat is ook de reden waarom de medewerker deze persoonlijk, fysiek krijgt thuisgestuurd (en zelf kan kiezen of het een digitale VOG mag zijn), ook al betaal je als organisatie meestal voor de VOG. Verder past het bewaren van een kopie niet bij het uitgangspunt van...

Mag mijn onderwijsinstelling strafrechtelijke gegevens verwerken? In sommige situaties mogen organisaties dat - onder voorwaarden.

Is een verwerkersovereenkomst tussen een school en een onderzoeksbureau verplicht? Dat hangt af van de context. Anoniem heeft de voorkeur.

Mag onze organisatie gegevens over een student verstrekken aan een verzekeringsmaatschappij? Dat hangt er vanaf. Soms is toestemming nodig.

Een onderwijsinstelling is bezig met het opstellen van een quitclaim. De vraag is hoe specifiek zij moeten zijn over het doel van de quitclaim.

Een document waarin je voorbeelden vindt van bewijsmateriaal voor ieder statement van het toetsingskader privacy voor volwassenheidsniveau 3.

Een foto met een herkenbaar persoon is niet altijd een bijzonder persoonsgegeven. Dat is alleen in bepaalde situaties het geval.

In een verwerkersovereenkomst maak je de afspraken over de periodieke controle (audit) van de beschermingsmaatregelen van de verwerker. Dit kan ook via een zogenaamde TPM (Third Party Memorandum).

Het uitvoeren van een DPIA is een tijdrovende klus. Voer de DPIA-scan uit om te bepalen of je deze dure analyse nodig hebt.

Schaduw-IT (ook wel 'shadow IT') gaat over applicaties die niet door de organisatie worden beheerd of aangeboden. Hoe gebruik je deze veilig?

Een opname voor privégebruik (geluid en/of beeld) valt niet onder de AVG. Je mag een geluidsopname maken, maar niet verspreiden.

Wil je weten of een bepaalde app of digitale tool in de onderwijs- en onderzoekssector wordt gebruikt? Kijk in de tabel.

Implementeren Op deze PEC-website lees je alles over het inhoudelijk implementeren van het Toetsingskader Privacy (het inhoudelijke kader en wat moet je geregeld hebben voor een bepaald volwassenheidsniveau). Wil je toetsen waar je staat of meedoen aan de benchmark, dan kan dat via SURFaudit. Evalueren (benchmark, self-assessment) SURFaudit is de dienst van SURF die zorgt voor alles rondom het auditen van je organisatie op verschillende gebieden, waaronder informatiebeveiliging en privacy. De dienst SURFaudit speelt een belangrijke rol om te kunnen vergelijken hoe jij het doet ten opzichte van andere organisatie. Dze dienst verzorgt bijvoorbeeld het jaarlijkse meetmoment: de benchmark. Iedere...

Amerikaanse leveranciers & EU US Data Privacy Framework Het verwerken van persoonsgegevens via een leverancier met een (hoofd)kantoor in de VS kan momenteel op basis van het EU US Data Privacy Framework. Een DTIA is niet nodig als een leverancier (zelf-)gecertificeerd is. Er is dan sprake van een adequaat beschermingsniveau. Voor de doorgifte van persoonsgegevens naar Cloud/SaaS/PaaS leveranciers met een (hoofd)kantoor in de Verenigde staten geldt momenteel dat er een adequaat beschermingsniveau voor persoonsgegevens is. Als leveranciers in de VS deelnemen aan het EU US Data Privacy Framework (DPF), kunnen zij de persoonsgegevens volgens het adequaatheidsbesluit van de Europese Commissie voldoende...

Recht op een overzicht Het inzagerecht volgens de AVG geeft de verzoeker het recht om een overzicht te ontvangen van de persoonsgegevens die over deze persoon zijn vastgelegd. Vaak wordt gedacht dat er een kopie van de inhoud moet worden verstrekt, maar dat is vrijwel nooit het geval. Hoogleraar Gerrit-Jan Zwenne* zegt hierover dat in eerste instantie het overzicht voldoende is ("wij registreren je naam, geboortedatum, etc."). De AVG spreekt over kopieën van persoonsgegevens (niet van de gegevensdrager). Die verwoording leidt bij sommigen tot de conclusie dat de verzoeker recht heeft op bijvoorbeeld een kopie van het dossier. Dat is...

Examenreglementen bevatten vaak termijnen met betrekking tot inzage. Maar het inzagerecht op basis van de AVG geldt ook als die termijn van het examenreglement is verstreken.