Vrijdag 25 mei 2018 is de Algemene Verordening Gegevensbescherming (kort: AVG) van toepassing. Deze privacywetgeving geldt in de hele Europese Unie. Iedereen heeft dus vanaf die datum te maken met nieuwe rechten en plichten, dus ook jij als gastouder. Het is belangrijk om je aan deze wet te houden. In de media is er vooral veel aandacht voor de torenhoge boetes die opgelegd kunnen worden. Wij denken dat er voor jou als gastouder geen reden voor paniek is als je je houdt aan een aantal basisprincipes.
Inleiding
Vrijdag 25 mei 2018 is de Algemene Verordening Gegevensbescherming (kort: AVG) van toepassing. Deze privacywetgeving geldt in de hele Europese Unie. Iedereen heeft dus vanaf die datum te maken met nieuwe rechten en plichten, dus ook jij als gastouder.
Het is belangrijk om je aan deze wet te houden. In de media is er vooral veel aandacht voor de torenhoge boetes die opgelegd kunnen worden. Wij denken dat er voor jou als gastouder geen reden voor paniek is als je je houdt aan een aantal basisprincipes. Omdat wij merken dat gastouders veel vragen hebben over wat deze wetgeving voor hen betekent hebben wij in deze brief een overzicht gemaakt van wat wij denken dat de belangrijkste aandachtspunten zijn.
Verantwoordelijkeheid Gastouderbureau Snoesje
De AVG-wetgeving is enorm uitgebreid en complex. Het is dan ook niet mogelijk om alles te beschrijven wat belangrijk is. De wetgeving heeft ook voor de kinderopvang gevolgen. De eisen zijn niet voor alle personen en organisaties hetzelfde. Hoe meer gegevens je verzamelt en bewaard, hoe zwaarder de eisen van de wet zijn. Voor de gastouderopvang die via Gastouderbureau Snoesje is geregeld is Snoesje de primaire wettelijke verwerker van persoonsgegevens. Gastouderbureau Snoesje verzameld en bewaard bijna alle persoonsgegevens van ouders, kinderen en gastouders die voor de gastouderopvang nodig zijn. Deze gegevens worden gebruikt om onder andere de volgende wettelijke taken uit te kunnen voeren:
- verwerken van urenregistraties en het factureren en incasseren van de maandelijkse opvangkosten (de wettelijke kassiersfunctie)
- opstellen, (laten) ondertekenen en bewaren van overeenkomsten
- opstellen van jaaropgaven voor ouders en gastouders
- jaarlijks afstemmen van de opvanggegevens met de belastingdienst
De persoonsgegevens worden door ons verzameld en verwerkt om te kunnen voldoen aan fiscale regelgeving en aan de wet kinderopvang. Vrijwel alle verwerkingen van persoonsgegevens worden door of via Gastouderbureau Snoesje verricht. Hierdoor neemt Gastouderbureau Snoesje bijna alle lasten van de nieuwe privacywetgeving weg van gastouders, die zich hierdoor volop kunnen richten op de kinderopvang.
Daardoor is het voor gastouders gelukkig in de meeste gevallen niet moeilijk om aan de wet te voldoen. Het is daarbij wel belangrijk dat gastouders deze gegevens niet zelf opslaan of uitprinten. De privacywetgeving vereist dat persoonsgegevens voldoende beveiligd worden via organisatorische en technische maatregelen. Snoesje bewaard deze persoonsgegevens in een beveiligde omgeving die voldoet aan de strenge eisen van de AVG. Gastouders die gegevens van het online portaal opslaan of uitprinten zijn zelf verantwoordelijk voor het voldoen aan de noodzakelijke organisatorisch en technische beveiligingsmaatregelen. Er is in principe geen noodzaak om persoonsgegevens vanuit het online portaal zelf op te slaan of uit te printen, omdat gastouders toegang hebben tot deze gegevens via het online portaal. Er wordt dagelijks een back-up gemaakt van de gegevens uit het online portaal en deze worden op meerdere beveiligde locaties opgeslagen. Wij raden aan om deze last zoveel mogelijk bij Snoesje te laten.
‘Wat kan ik concreet doen?’
Bewaar of print geen documenten of gegevens vanuit het online portaal van Gastouderbureau Snoesje. Hierdoor loop je onnodig een groter risico. Als je deze gegevens al hebt opgeslagen of uitgeprint dan is het aan te raden deze te verwijderen of veilig te vernietigen. Als je er toch voor kiest deze gegevens zelf digitaal of op papier te bewaren, zorg dan dat je voldoet aan de organisatorische en technische beveiligingseisen die de AVG-wetgeving verplicht.
Wat zijn persoonsgegevens volgens de AVG?
Bij persoonsgegevens denk je waarschijnlijk aan informatie zoals de naam, telefoonnummers, postcodes en het adres. Maar volgens de AVG zijn nog heel veel meer typen informatie persoonsgegevens. Een persoonsgegeven is alle informatie over iemand, van iemand, of informatie waarmee je kan achterhalen om wie het gaat. Daarmee is eigenlijk alles wat je van of over iemand weet een persoonsgegeven. Specifiek voor gastouders betekent dit dat ook informatie die je hebt gekregen of hebt genoteerd over een opvangkind een persoonsgegeven is. Ook foto’s van personen zijn persoonsgegevens.
Bijzondere persoonsgegevens zijn bepaalde gevoelige gegevens die door de wet extra beschermd zijn. Het is wettelijk verboden deze gegevens over anderen te bewaren of te verwerken, tenzij hiervoor een wettelijke uitzondering is. Bijzondere persoonsgegeven zijn gegevens over: ras of etnische afkomst, politieke opvattingen, godsdienst of levensovertuiging, lidmaatschap van een vakbond, genetische of biometrische gegevens met oog op unieke identificatie, gezondheid, seksuele leven, strafrechtelijk verleden.
Wat zijn verwerkingen volgens de AVG?
Om aan de AVG-wetgeving te kunnen voldoen is het belangrijk om te weten wat de wet bedoeld met ‘verwerkingen’, omdat de wet beperkingen oplegt aan verwerkingen die toegestaan zijn. Met verwerking wordt bedoel: alles wat je met persoonsgegevens zou kunnen doen. Elke handeling met persoonsgegevens is een verwerking. Hieronder vallen dus ook:
- opslaan van persoonsgegevens op je computer, telefoon en email. Ook het op papier bewaren van persoonsgegevens is een ‘verwerking’.
- aanpassen van gegevens
- bekijken van persoonsgegevens
- verwijderen van persoonsgegevens
- delen of versturen van persoonsgegevens
- publiceren van persoonsgegevens, bijvoorbeeld het plaatsen van foto’s op internet
Wat mag met persoonsgegevens gedaan worden?
Bij deze vraag kan de AVG-wetgeving snel erg complex worden. Om het zo simpel en begrijpelijk mogelijk te houden is het handig om keuzes te maken door onderstaande standaardregel te hanteren en vervolgens uitzonderingen te gebruiken.
Hanteer als basisbeginsel de volgende standaardregel:
Je mag in principe niets met persoonsgegevens doen.
Vervolgens zijn er voor gastouders 5 uitzonderingen op deze regel die je toestaan toch gebruik te maken van persoonsgegevens. Dit heet onder de AVG een ‘wettelijke grondslag’. Deze uitzonderingen zijn:
- Toestemming: Je mag persoonsgegevens van iemand gebruiken als deze hiervoor toestemming heeft gegeven. Toestemming moet uitdrukkelijk per persoon worden gegeven, en is enkel geldig voor het doel waarvoor je toestemming hebt gevraagd.
- Uitvoeren van een overeenkomst: Het is toegestaan persoonsgegevens te verwerken om opvang te kunnen bieden zoals je met ouders hebt afgesproken.
- Wettelijke verplichting: Het is toegestaan om persoonsgegevens te gebruiken als dit nodig is om aan wettelijke verplichtingen te voldoen. Het is bijvoorbeeld noodzakelijk om een urenregistratie bij te houden.
- Vitale belangen: Het is toegestaan om persoonsgegevens te verwerken in situaties waar er een essentieel belang is voor iemands leven of gezondheid en geen toestemming kunt vragen.
- Gerechtvaardigde belangen: Het kan zijn dat het voor jou belangrijk is om persoonsgegevens te gebruiken om je werk als gastouder te kunnen doen. Als je een rechtmatig belang hebt, en het verwerken van persoonsgegevens is hiervoor noodzakelijk, dan mag dit als jouw belang zwaarder weegt dan dat van de persoon van wie je de persoonsgegevens gebruikt.
Om e.e.a. te verduidelijken worden hieronder een aantal voorbeelden gegeven:
Voorbeeld 1: Je wilt tijdens de opvang foto’s van de opvangkindjes maken om naar de ouders te sturen, vraag hier dan eerst schriftelijk toestemming voor. Wil je deze foto’s gebruiken voor je pagina op de website van Snoesje, op je Facebook pagina, of je eigen website? Vraag hier dan specifiek toestemming voor.
Voorbeeld 2: Je ziet graag dat de opvangkindjes in je opvang gelukkig zijn. De ouders of kindjes vertellen je wat hun lievelingseten en lievelingsactiviteiten zijn. Je schrijft deze informatie op in een boekje zodat je later nog eens kan kijken wat je met de kindjes kunt doen of eten. Deze informatie zijn persoonsgegevens, en je hebt geen toestemming gekregen van ouders om dit bij te houden. Dat is in dit geval ook niet nodig, omdat deze gegevens nodig zijn voor het uitvoeren van de overeenkomst.
Voorbeeld 3: Vanwege een ongeval raakt een opvangkind gewond. Je belt meteen het alarmnummer en voorziet de telefonist en het ambulance personeel ter plekke uiteraard direct van alle informatie die noodzakelijk is om het kind de beste hulp te kunnen geven. Het informeren van het ambulancepersoneel (verwerking), over de gezondheid van het kind (bijzondere persoonsgegevens), doe je zonder toestemming van ouders. Vanwege de ‘vitale belangen’ uitzonderingsregel is dit toegestaan.
Voorbeeld 4: Je hebt nog plekjes vrij voor opvangkinderen in jouw opvang. Een kennis geeft je een emailadres van ouders die op zoek zijn naar opvang. Het emailadres is een persoonsgegeven waarvoor je geen toestemming hebt gekregen van de ouders om gebruik van te maken. Toch staat de AVG-wetgeving toe de ouders een email te sturen op basis van gerechtvaardigd belang.
Voorbeeld 5: Via het online gastouderportaal heb je alle overeenkomsten, contracten, en jaaroverzichten opgeslagen op je computer en uitgeprint. Het geeft jou een fijn gevoel dat je alle documenten netjes binnen handbereik in de boekenkast hebt staan. Een aantal maanden later zijn een ouder en jij het niet eens over wat er is afgesproken. Spontaan zeg je: “ik pak de map met contracten erbij”. Vervolgens kan je de map niet direct vinden. Je vraagt je af: “heeft mijn partner die verzet? Of de kinderen? Of de schoonmaakster”? De ouder was al een beetje geprikkeld vanwege het meningsverschil, maar is nu boos dat je onzorgvuldig met hun gevoelige gegevens bent omgegaan en dient een klacht in bij de Autoriteit Persoonsgegevens. Deze is verplicht deze klacht in behandeling te nemen. Dit was eenvoudig te voorkomen door het niet uit te printen. Je had alles net zo snel in het online portaal kunnen vinden.
Voorbeeld 6: Jij vindt de ontwikkeling van je opvangkindjes belangrijk, dus je houdt hun ontwikkeling zorgvuldig bij in een schriftje of papieren kind-volgsysteem. Hiervoor heb je toestemming ontvangen van ouders. Je vindt het ook belangrijk dat ouders hier altijd inzicht in hebben, dus je hebt dit binnen handbereik op de opvanglocatie. Een van de ouders leest het schriftje door, maar je ziet dat dit het schriftje is van een van de andere kindjes. Hierin staat dat het kindje op bepaalde vlakken achterloopt. De ouders van het kindje waarvan het schriftje was horen hierover en zijn boos dat anderen de ontwikkeling van hun kindjes konden inzien. De ontwikkeling van het kind gaat over de gezondheid, wat het een bijzonder persoonsgegeven maakt. Deze ouders dienen een klacht in bij de Autoriteit Persoonsgegevens die deze klacht in behandeling moet nemen. Dit had je kunnen voorkomen door het schriftje beter te beschermen. In het vervolg bewaar je de schriftjes van kinderen in een kast die je met een sleutel kan afsluiten.
Wat is verder nog belangrijk om te weten?
Doelbinding: Als je persoonsgegevens mag gebruiken voor een bepaald doel, dan mag je deze persoonsgegevens niet zomaar gebruiken voor een ander doel. Vraag bij twijfel altijd na bij ouders of de toestemming ook geld voor dat waar jij de gegevens voor wilt gebruiken.
Verantwoordingsplicht: De nieuwe privacywetgeving verplicht je om aan te tonen dat je de wet volgt. Als je niet kunt aantonen dat je je aan de wet houdt dan overtreed je de wet al. Dit betekent dat je moet kunnen aantonen dat je toestemming hebt om de gegevens te verzamelen of bewaren.
Extra regels: Het kan zijn dat als je meer gegevens verzameld of bewaard dat extra regels gelden. Dit kan bijvoorbeeld het geval zijn als je een eigen website hebt waar je gegevens mee verzameld (bijv. cookies of een inschrijfformulier).
Eigen verantwoordelijkheid: Denk eraan dat je volgens de wet altijd zelf verantwoordelijk bent voor het volgen van de privacywetgeving. Deze informatie is met de grootst mogelijke zorgvuldigheid opgesteld. Gastouderbureau Snoesje kan echter niet garanderen dat deze informatie altijd volledig juist, compleet en actueel is. Deze informatie is uitsluitend bedoeld als algemene informatie, en hieraan kunnen geen rechten ontleend worden.
Meer informatie?
Als je vragen hebt over dit onderwerp neem dan contact met ons op. Voor meer informatie kun je ook kijken op de website van de Autoriteit Persoonsgegevens: www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving
