5 vuistregels voor verwerking van persoonsgegevens

Bij het verwerkenAlles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming. More van persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. More moet je rekening houden met de volgende 5 vuistregels: doel en doelbindingJe mag persoonsgegevens alleen gebruiken voor een vooraf vastgelegd doel. Als dat doel niet langer bestaat, moet je de persoonsgegevens vernietigen. More, grondslagDe (wettelijke) basis waarop je persoonsgegevens verwerkt. Er zijn 6 mogelijke grondslagen: toestemming, overeenkomst, de wet, publiekrechtelijke taak, vitaal belang van de betrokkene, of gerechtvaardigd belang. More, dataminimalisatieDataminimalisatie betekent niet meer persoonsgegevens verwerken dan nodig. Gebruik alleen persoonsgegevens die je nodig hebt om je doel te bereiken. Je moet je doel niet met minder persoonsgegevens kunnen bereiken en data niet langer bewaren dan noodzakelijk is. Met andere woorden: kan het minder, dan moet het ook met minder. More en data-integriteitData-integriteit heeft betrekking op de juistheid van de informatie. Is het niet verouderd of incorrect? More, transparantieHelder zijn over de persoonsgegevens die je verzamelt en wat je er mee doet. More en veilige verwerking van persoonsgegevens.

Als je bij het verwerken van persoonsgegevens altijd uitgaat van onderstaande 5 vuistregels, ben je een belangrijke stap op weg met voldoen aan de Algemene Verordening Gegevensbescherming (AVG).

1. Doel en doelbinding

Je mag persoonsgegevens alleen verwerken als je vooraf de specifieke doeleinden voor de verwerking hebt bepaald. Leg daarom vast met welk doel je de persoonsgegevens verwerkt. En verwerk ze alleen om die reden.

2. Grondslag

Persoonsgegevens mogen alleen worden verwerkt als daarvoor een wettelijke grondslag bestaat. Stel dus vooraf vast welke wettelijke grondslag van toepassing is op de verwerking die je van plan bent. De AVG noemt er zes:

1. De persoonsgegevens zijn nodig voor het uitvoeren van een overeenkomst.
2. Het verwerken van de persoonsgegevens is wettelijk verplicht.
3. Het verwerken van de persoonsgegevens is nodig voor het uitvoeren van een publiekrechtelijke taak.
4. Je hebt een gerechtvaardigd belang om de persoonsgegevens te verwerken, waarbij het belang om de gegevens te verwerken zwaarder weegt dan het privacybelang van de betrokken leerlingen, oudersWaar ouders staat worden de wettelijke vertegenwoordigers bedoeld: personen die de ouderlijke verantwoordelijkheid dragen voor het kind. Dit kunnen ook verzorgenden zijn. More en/of medewerkers.
5. Vitaal belang van de betrokkene.
6. Toestemming van de betrokkene (bij leerlingen jonger dan 16 jaar: van de ouders).

3. Dataminimalisatie en data-integriteit

Als het doel van de verwerking is bepaald, stel je daarna vast welke persoonsgegevens noodzakelijk zijn om dat doel te bereiken. Het is niet voldoende dat bepaalde persoonsgegevens wel ‘handig’ zijn of ‘voor de zekerheid’ worden verzameld. Verwerk dus niet meer persoonsgegevens dan je nodig hebt voor je doel (dataminimalisatie). Onderzoek altijd of je met minder of anonieme gegevens kunt werken. Stel ook de bewaartermijn van de persoonsgegevens vast. Als persoonsgegevens niet langer nodig zijn voor het doel waarvoor je ze hebt verzameld, moeten ze worden vernietigd. Meer informatie over bewaartermijnenDe (wettelijke) periode dat een (persoons)gegeven bewaard moet worden. More vind je op de pagina Bewaartermijnen.

Als je persoonsgegevens verwerkt moet je ook zorgen dat de gegevens correct zijn (data-integriteit). Controleer dit dus goed. En zorg dat leerlingen en ouders op een laagdrempelige manier kunnen doorgeven dat persoonsgegevens incorrect zijn en/of gewijzigd moeten worden.

4. Transparantie en verantwoording

Als je verantwoordelijk bent voor de verwerking van persoonsgegevens moet je daar transparant over zijn, zowel naar de betrokkenenDe personen van wie persoonsgegevens worden verwerkt. More (ouders, leerlingen, medewerkers) als naar de toezichthouder (de Autoriteit PersoonsgegevensDe Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de wettelijke regels voor de bescherming van persoonsgegevens. More).

Ouders, leerlingen, medewerkers en andere betrokkenen moeten volledige en begrijpelijke informatie krijgen over de verwerking van hun persoonsgegevens. In die informatie moeten ze kunnen terugvinden:

• waarom hun persoonsgegevens worden verwerkt (het doel)
• welke persoonsgegevens worden verwerkt
• op basis van welke grondslag dat gebeurt
• aan welke andere organisaties persoonsgegevens worden doorgegeven en
• wat hun rechten als betrokkene zijn

Meer informatie over hoe je dit aanpakt is te vinden op de pagina Privacyreglement en -verklaring.

Transparantie naar de Autoriteit Persoonsgegevens betekent dat je verantwoording aflegt over de persoonsgegevens die je verwerkt. Je bent daarom verplicht om in een register bij te houden welke verwerkingen met persoonsgegevens binnen jouw instelling plaatsvinden. Dit heet het register van verwerkingsactiviteitenEen register met informatie over verwerkingen van persoonsgegevens. More. Meer informatie over dit register is te vinden op de pagina Register van verwerkingsactiviteiten.

5. Veilige verwerking van de persoonsgegevens

Je kunt de privacyHet recht om met rust te worden gelaten, om te weten en te bepalen wat er met gegevens over jou gebeurt en om te weten wie de beschikking heeft over jouw persoonsgegevens. More van leerlingen, ouders en medewerkers alleen maar goed beschermen als je op een veilige manier met hun persoonsgegevens omgaat. Je bent daarom verantwoordelijk voor passende technische en organisatorische maatregelen. Die maatregelen moeten ervoor zorgen dat:

• de persoonsgegevens op een passende wijze worden beveiligd en
• worden beschermd tegen verlies, vernietiging, beschadiging of onrechtmatige verwerking.

Meer informatie over hoe je kunt bepalen welke technische en organisatorische maatregelen je moet nemen is te vinden op de pagina’s Risicoanalyse en Privacy by defaultStandaard producten of diensten staan zo ingestellen dat privacy wordt gewaarborgd. Alle opties om persoonsgegevens te delen staan standaard "uit". More en Privacy by design.

Verdieping