Terug naar overzicht

AVG en de kinderopvang, hoe zit het?

Toepassing van AVG op de kinderopvang laatste update: 25 april

Op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming van kracht. Onder deze nieuwe Europese wetgeving gelden een aantal nieuwe regels voor het verwerken van persoonsgegevens binnen organisaties. Ook voor de kinderopvang heeft dit gevolgen. Denk aan gegevens van ouders, kinderen en gastouders, maar ook gegevens van sollicitanten en personeelsleden. De Autoriteit Persoonsgegevens (AP) is verplicht om alle klachten van consumenten op het gebied van privacyschending te onderzoeken. Als u bij een controle niet blijkt te voldoen aan de eisen, kunt u een forse boete tegemoet zien. Met dit artikel kunt u kijken of uw organisatie voldoende voorbereid is op de invoering van de AVG.

Gewone persoonsgegevens

Onder de Wet bescherming Persoonsgegevens (WBP) waren een aantal uitzonderingen voor de kinderopvang van kracht. De AVG is algemener en hanteert 6 grondslagen voor het verwerken van gewone persoonsgegevens (waaronder bijvoorbeeld naam, geboortedatum, BSN, adresgegevens, bankgegevens):

  1. Toestemming van de betrokken persoon.
  2. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
  3. De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
  4. De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
  5. De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
  6. De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

Op basis van grondslag 1, 2 en 3 kunt u als kinderopvangorganisatie persoonsgegevens verwerken. Gegevens van ouders, gastouders en kinderen mogen alleen worden verwerkt met toestemming van de betrokken personen (of, in het geval van kinderen, een van de ouders). Als u daarna een contract aangaat met deze personen, dan mag u alle gegevens verwerken die noodzakelijk zijn om de overeenkomst uit te voeren, en die noodzakelijk zijn om te voldoen aan alle wettelijke verplichtingen. Op grond van punt 3 kunt u dan bijvoorbeeld persoonsgegevens van structureel aanwezigen verwerken zonder hun toestemming. U bent namelijk wettelijk verplicht om die gegevens vast te leggen. 

Bijzondere persoonsgegevens

Er is onder AVG een verbod op het verwerken van bijzondere persoonsgegevens. U mag deze gegevens alleen verwerken als de betrokken persoon (of, in het geval van kinderen, een van de ouders) daar uitdrukkelijk toestemming voor heeft verleend. Bijzondere persoonsgegevens zijn gegevens die betrekking hebben op ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakvereniging, gegevens over gezondheid, gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid, genetische gegevens en biometrische gegevens met het oog op de unieke identificatie van een persoon. 

Wilt u medische informatie van een kind registreren, of religieuze overtuigingen van een gastouder, omdat dit van belang is voor de opvang? Laat de betrokken personen akkoord geven voor het verwerken van deze gegevens. Dit geldt ook voor foto- of videobeelden (bijvoorbeeld voor een digitaal schriftje). Vermeld erbij voor welk doel toestemming wordt verleend. Mocht u de gegevens later voor een ander doel willen gebruiken, dan moet opnieuw toestemming worden gevraagd. Bovendien moet u duidelijk vermelden wat er gebeurt met de opgeslagen gegevens. De akkoordverklaring kan onderdeel worden gemaakt van de overeenkomst, maar kan ook in een apart document worden voorgelegd.

Voor een specifieke uitleg over cameratoezicht verwijzen we u naar https://www.klachtenloket-kinderopvang.nl/over-ons/nieuws/2017/9/cameratoezicht-in-de-kinderopvang/.

Verwerkt u op grote schaal bijzondere persoonsgegevens? Dan bent u verplicht om een privacy officer aan te stellen. Dat is iemand binnen de organisatie die goed op de hoogte is van de AVG en toeziet op de naleving van het privacybeleid. Meer informatie.

Stappenplan AVG voor kinderopvang

De hoeveelheid werk die AVG met zich meebrengt kan best intimiderend zijn. Het doel is dat AVG vooral wordt verankerd in de manier van denken en werken, er moet een cultuur van gegevensbescherming worden gecreeërd. Bewustwording is eigenlijk het belangrijkste onderdeel van AVG, van daaruit worden een heleboel zaken erg logisch. 

Hieronder volgt een checklist voor het uitvoeren van de AVG binnen de kinderopvang. Deze lijst is zo volledig mogelijk, maar dient voor uw eigen organisatie kritisch tegen het licht te worden gehouden. Zorg dat in een document duidelijk wordt omschreven hoe elk van onderstaande punten binnen uw organisatie is geregeld. Het volledige privacybeleid hoeft u niet openbaar te maken, maar moet wel aanwezig zijn in geval van een inspectie. 

  1. Maak een overzicht van alle persoonsgegevens die u verwerkt
    Dit doet u in een zgn. verwerkingsregister. U dient inzichtelijk te maken welke gegevens u binnen uw organisatie verzamelt, waar ze worden opgeslagen, waar ze vandaan komen en met wie ze worden gedeeld. Ook dient u aan te geven waarvoor de gegevens nodig zijn. Denk niet alleen aan gegevens van gastouders, ouders en kinderen, maar ook aan gegevens van personeelsleden. Het verwerkingsregister kan in het privacybeleidsdocument worden opgenomen, maar bijvoorbeeld ook in een aparte Excel-lijst. In uw privacybeleid beschrijft u vervolgens waar deze lijst te vinden is. Kijk voor meer uitleg over het verwerkingsregister op https://ictrecht.nl/factsheets/het-register-van-verwerkingen-van-persoonsgegevens/.
  2. Voldoet uw website aan de eisen?
    Als klanten zich via uw website kunnen registreren (bijvoorbeeld in een contactformulier), dan dient u kenbaar te maken wat er met de ingevulde gegevens gebeurt. Dit kan bijvoorbeeld in een privacyverklaring op uw website. Als uw website gebruik maakt van cookies, dan bent u verplicht dat te melden aan uw bezoekers (dit was al langer zo). Als u niet zeker weet of uw website cookies gebruikt, ga er dan vanuit dat het zo is. U dient dan een melding te tonen aan uw bezoekers, waarin ze wordt verteld welke cookies worden geplaatst en waarom. U kunt de privacyverklaring en cookieverklaring ook combineren. Kijk voor een voorbeeld hiervan naar https://www.portabase.nl/privacy-en-cookies.
    Zorg verder voor een privacy-first beleid op uw website. Dat betekent voor uw contactformulier bijvoorbeeld dat een vinkje met "Ik wil de nieuwsbrief ontvangen" standaard UIT moet staan.
  3. Welke gegevens worden verzameld?
    Verzamel niet meer gegevens dan nodig. De gegevens die u verzamelt moeten een rechtsgrond hebben, ofwel: de reden van verzamelen moet goed uit te leggen zijn. U kunt bijvoorbeeld niet zomaar vragen om het hoogst genoten opleidingsniveau van de ouders, behalve als u bijvoorbeeld speciale diensten aanbiedt voor kinderen van laagopgeleide ouders. Verzamel ook pas gegevens op het moment dat het nodig is. Vraag bijvoorbeeld pas om het BSN of medische informatie op het moment dat een kindje ook daadwerkelijk via uw organisatie geplaatst gaat worden. Wees zorgvuldig met de grens tussen gewone en bijzondere persoonsgegevens.
  4. Worden de betrokkenen op de juiste manier geïnformeerd?
    Personen van wie de gegevens bewaard worden moeten geïnformeerd worden over het opslaan van de gegevens. Dit kan bijvoorbeeld door een link naar de privacyverklaring bij het aanmeldformulier op uw website, maar ook door in een telefoongesprek te vermelden dat u gegevens gaat noteren in het systeem. Handig is dan wel om in de privacyverklaring te vermelden dat u mogelijk ook in telefoongesprekken persoonsgegevens opvraagt (met goedvinden van de betrokkene).
    Betrokkenen hebben het recht om de opgeslagen gegevens in te zien en aan te (laten) passen*. Let wel: het gaat hierbij om de opgeslagen persoonsgegevens. Een verslag van een vertrouwelijk gesprek met een ouder hoeft dus niet gedeeld te worden met de betrokken gastouder, ook al ging het gesprek over het functioneren van die gastouder.
    * Binnen PortaBase voldoet u grotendeels al automatisch aan deze eisen als de ouders toegang hebben tot het ouderportaal (er wordt nog onderzocht of alle persoonsgegevens daar terug te vinden zijn die nodig zijn om aan deze eisen te voldoen).
  5. Waar worden gegevens bewaard?
    Bijvoorbeeld in de cloud, in archiefmappen, op USB-sticks en/of een lokale server. Worden er backups gemaakt, en zo ja: hoe vaak en waar? Hoe lang worden de backups bewaard?
    Maakt u gebruik van clouddiensten zoals Google Drive voor het verwerken van persoonsgegevens? Laat u dan goed informeren over deze diensten en toets de door hen aangeboden verwerkersovereenkomst. Is er geen verwerkersovereenkomst, vermijd het gebruik van deze diensten dan.
  6. Hoe lang worden gegevens bewaard?
    Voor persoonsgegevens geldt een maximale bewaartermijn, afhankelijk van de rechtsgrond voor het vastleggen van de gegevens. U dient hierin een onderbouwde keuze te maken, die u vastlegt in uw privacybeleid. Een vuistregel is: bewaar de gegevens niet langer dan noodzakelijk.
    Ouders die zich (met hun kinderen) registreren bij uw organisatie gaan uiteindelijk niet altijd gebruik maken van uw diensten. U dient de gegevens van deze mensen na verloop van tijd te verwijderen. Hetzelfde geldt bijvoorbeeld voor CV's van afgewezen sollicitanten. Arnoud Engelfriet, een gerenommeerd ICT-jurist, legt dit als volgt uit:
    "In principe bent u vrij in de keuze van de bewaartermijn, zolang u er maar een sluitende argumentatie bij heeft. Neem bijvoorbeeld het bewaren van sollicitatiebrieven met cv’s. Dit zal nodig zijn gedurende de sollicitatieprocedure, maar hoe lang daarna ze nog nodig zijn, daar kun je over twisten. Een mogelijke insteek is ze tot 2 maanden na vervulling van de functie te bewaren, met als argument dat je dan na een mislukte proeftijd andere kandidaten nog kunt benaderen. Een andere insteek is een jaar: mensen kunnen immers later opnieuw solliciteren, en weten wat er eerder is gezegd en besloten is daarbij redelijkerwijs van belang."
    Als de opvang van een kind stopt, mag u de gegevens van het kind nog maximaal 2 jaar bewaren. Na die 2 jaar heeft u een aantal gegevens nog steeds nodig om aan uw administratieve bewaarplicht van de Belastingdienst (tot 7 jaar) te kunnen voldoen. Het kind kan dan niet zomaar verwijderd worden. Wel dient u alle niet-noodzakelijke gegevens van het kind te verwijderen. Binnen PortaBase zijn hier vanaf 25 mei 2018 speciale functies voor beschikbaar. Daarmee kunt u een dossier terugbrengen tot de strikt noodzakelijke gegevens. De rest van de gegevens wordt dan verwijderd of geanonimiseerd.
    Voor richtlijnen over het omgaan met personeelsgegevens verwijzen we u naar https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/werk-en-uitkering/personeelsdossiers.
  7. Welke maatregelen zijn genomen om het lekken van gegevens tegen te gaan?
    Beschrijf zo goed mogelijk hoe voorkomen wordt dat gegevens in verkeerde handen terechtkomen. Voor elk van de plekken waar u persoonsgegevens verwerkt (bijv. e-mail, Dropbox, PortaBase, archiefkast, pc's en laptops, tablets etc) dient u te vermelden hoe de beveiliging is geregeld (bijv. door middel van gebruikersnaam en wachtwoord). Beschrijf werkafspraken die zijn gemaakt, zoals een verbod op het opschrijven van wachtwoorden op een post-it en het vergrendelen van de pc bij het (kortstondig) verlaten van de werkplek etc. Vermeld bijvoorbeeld ook hoe de procedure uitdiensttreding van een medewerker eruit ziet t.a.v. gegevensbescherming (bijv. "Aan het einde van de laatste werkdag van een medewerker wordt de toegang tot de mailbox beëindigd door veranderen van het wachtwoord.").
    Zorg vervolgens dat alle medewerkers binnen de organisatie op de hoogte zijn (en blijven) van het privacybeleid. Dit kan bijvoorbeeld door een interne nieuwsbrief, een persoonlijk gesprek of, gezellig: een pizzasessie met alle medewerkers. Wat u ook doet, besteed voldoende aandacht aan het informeren van de medewerkers, en introduceer een cultuur van gegevensbescherming.
  8. Wie hebben toegang tot persoonsgegevens en waarom?
    Maak duidelijk welke medewerkers toegang hebben tot persoonsgegevens en waarom. Binnen PortaBase heeft u de mogelijkheid om verschillende autorisatieniveaus toe te kennen aan medewerkers. Maak hier gebruik van om te zorgen dat medewerkers niet meer gegevens kunnen inzien dan nodig om hun werk te kunnen doen.
    Zorg voor een heldere en sluitende geheimhoudingsclausule in de arbeidsovereenkomst die u afsluit met uw medewerkers, en benoem daarin specifiek ook het omgaan met persoonsgegevens.
  9. Heeft u een procedure voor datalekken?
    Er is sprake van een datalek als persoonsgegevens in verkeerde handen terecht zijn gekomen, of verloren zijn gegaan. Niet alleen het vrijkomen of lekken van gegevens resulteert in een datalek, ook wanneer onrechtmatig gegevens worden verwerkt is hiervan sprake. Om een voorval te kunnen kwalificeren als een datalek, moet sprake zijn van een daadwerkelijk beveilingingsincident. Hieronder valt een inbraak in een databestand (hacken), maar ook een kwijtgeraakte USB-stick, een gestolen laptop, een laptop die in de trein is blijven liggen of een brand in een datacentrum zijn datalekken.
    Zie voor een uitgebreide uitleg https://www.vijverbergjuristen.nl/juridisch-advies/openbaarheid-en-privacy/datalek-melden-avg.
  10. Zorg voor overeenkomsten met derden
    Als u persoonsgegevens verwerkt in externe systemen zoals PortaBase, dan dient u met deze partijen een zgn. verwerkersovereenkomst af te sluiten. Hierin staat beschreven wat de rechten en plichten zijn van beide partijen t.a.v. de verwerkte gegevens. Atane Software biedt al haar klanten een standaard verwerkersovereenkomst aan. Deze is voor klanten terug te vinden in hun PortaBase omgeving of op te vragen via het e-mailadres info@atane.nl.
  11. Pas uw overeenkomsten aan
    Zorg in de overeenkomsten die u aangaat met ouders en gastouders voor voldoende informatie over het verwerken van persoonsgegevens. Vermeld dat u gebruik maakt van administratieve software (zoals PortaBase) waar persoonsgegevens in worden verwerkt. Laat uw klanten weten dat ze het recht hebben om hun gegevens te laten aanpassen of verwijderen (voor zover mogelijk), en dat ze het recht hebben op data-portabiliteit, oftewel: ze moeten hun bij u opgeslagen persoonsgegevens kunnen opvragen en in een gangbaar formaat (pdf, excel etc) ontvangen. Vermeld ook hoe lang u de persoonsgegevens bewaart in het geval dat uw wegen zich scheiden.
Terug naar overzicht

Begin vandaag nog met het automatiseren van uw kinderopvang

Demo aanvragen