Terug naar overzicht

AVG en de kinderopvang, hoe zit het?

De Algemene Verordening Gegevensbescherming

Op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming van kracht. Onder deze nieuwe Europese wetgeving gelden een aantal nieuwe regels voor het verwerken van persoonsgegevens binnen organisaties. Ook voor de kinderopvang heeft dit gevolgen. Denk aan gegevens van ouders, kinderen en gastouders, maar ook gegevens van sollicitanten en personeelsleden. De Autoriteit Persoonsgegevens (AP) is verplicht om alle klachten van consumenten op het gebied van privacyschending te onderzoeken. Als u bij een controle niet blijkt te voldoen aan de eisen, kunt u een forse boete tegemoet zien. Met dit artikel kunt u kijken of uw organisatie voldoende voorbereid is op de invoering van de AVG.

Uitzonderingen voor kinderopvang

Allereerst is het handig om te weten dat voor de kinderopvang een aantal uitzonderingen zijn gemaakt op de AVG. Zonder deze uitzonderingen zou het onmogelijk zijn om kinderopvang binnen de kaders van de wet uit te voeren. Zo mag een kinderopvangorganisatie meer gegevens van kinderen vastleggen dan bijvoorbeeld een sportvereniging of bibliotheek. Voor het verantwoorden van kinderopvang zijn een aantal zgn. bijzondere persoonsgegevens nodig, zoals het BSN. Daarnaast kan het ook relevant zijn om de geloofsovertuiging van een kindje te kunnen registreren, omdat dit gevolgen kan hebben voor de opvang. Kijk voor de volledige lijst met aanvullende bepalingen op https://autoriteitpersoonsgegevens.nl/nl/kinderopvang.

Stappenplan AVG voor kinderopvang

De hoeveelheid werk die AVG met zich meebrengt kan best intimiderend zijn. Maar er zijn eigenlijk maar twee dingen die je moet doen vóór 25 mei. Het doel is dat AVG na die datum vooral wordt verankerd in de manier van denken en werken. Bewustwording is eigenlijk het belangrijkste onderdeel van AVG, van daaruit worden een heleboel zaken erg logisch.

Stap 1: Maak iemand verantwoordelijk

Omdat binnen de kinderopvang veelvuldig met bijzondere persoonsgegevens wordt omgegaan, zijn kinderopvangorganisaties verplicht om een Privacy Officer (of Functionaris Gegevensbescherming) aan te stellen. Dat is iemand binnen de organisatie die goed op de hoogte is van de AVG en het interne privacybeleid controleert. De Autoriteit Persoonsgegevens noemt in ieder geval de volgende eisen voor een Privacy Officer:

  • kennis van nationale en Europese privacywet- en regelgeving voor gegevensbescherming;
  • begrip van de gegevensverwerkingen die de organisatie uitvoert;
  • begrip van IT en informatiebeveiliging;
  • kennis van de organisatie en de sector waarin die actief is;
  • vaardigheden om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen.

Werkt u alleen? Dan bent u dus zelf ook de Privacy Officer van uw organisatie. Tip voor kleine organisaties: betrek een vriend of partner bij het proces, om als "externe" mee te denken en kritische vragen te stellen. Hiermee betreedt u ook gelijk het speelveld van de AVG. Deze persoon mag als externe namelijk geen persoonsgegevens inzien.

Stap 2: Maak een privacybeleid

Dit is een document waarin u beschrijft hoe binnen uw organisatie met persoonsgegevens wordt omgegaan. Leg ook uit wat u doet om misbruik van gegevens te voorkomen. Beschrijf bijvoorbeeld dat uw laptop met een sterk wachtwoord is beveiligd, dat uw medewerkers geen USB-sticks mogen gebruiken om persoonsgegevens op te slaan, dat stagiairs geen toegang krijgen tot kinddossiers, maar bijvoorbeeld ook dat uw archiefkast met een goed slot beveiligd is; kortom: alles wat betrekking heeft op de bescherming van persoonsgegevens. 

Zorg vervolgens dat alle medewerkers binnen de organisatie op de hoogte zijn van het privacybeleid. Vanzelfsprekend is dit een taak voor de Privacy Officer. Dit kan bijvoorbeeld door een interne nieuwsbrief, een persoonlijk gesprek of, gezellig: een pizzasessie met alle medewerkers. Wat u ook doet, besteed voldoende aandacht aan het informeren van de medewerkers.

Checklist privacybeleid

Hieronder volgt een checklist voor het maken van een privacybeleid. Zorg dat in het privacybeleid duidelijk wordt omschreven hoe elk van onderstaande punten binnen uw organisatie is geregeld. Het volledige privacybeleid hoeft u niet openbaar te maken, maar moet wel aanwezig zijn in geval van een inspectie. Delen van uw privacybeleid dient u bekend te maken aan uw klanten.

  1. Maak een overzicht van alle persoonsgegevens die u verwerkt
    U dient inzichtelijk te maken welke gegevens u binnen uw organisatie verzamelt, waar ze worden opgeslagen, waar ze vandaan komen en met wie ze worden gedeeld. Ook dient u aan te geven waarvoor de gegevens nodig zijn. Denk niet alleen aan gegevens van gastouders, ouders en kinderen, maar ook aan gegevens van personeelsleden. Dit kan direct in het privacybeleidsdocument worden opgesteld, maar bijvoorbeeld ook in een aparte Excel-lijst. In uw privacybeleid beschrijft u vervolgens waar deze lijst te vinden is.
  2. Voldoet uw website aan de eisen?
    Als klanten zich via uw website kunnen registreren (bijvoorbeeld in een contactformulier), dan dient u kenbaar te maken wat er met de ingevulde gegevens gebeurt. Dit kan bijvoorbeeld in een privacyverklaring op uw website. Als uw website gebruik maakt van cookies, dan bent u verplicht dat te melden aan uw bezoekers (dit was al langer zo). Als u niet zeker weet of uw website cookies gebruikt, ga er dan vanuit dat het zo is. U dient dan een melding te tonen aan uw bezoekers, waarin ze wordt verteld welke cookies worden geplaatst en waarom. U kunt de privacyverklaring en cookieverklaring ook combineren. Kijk voor een voorbeeld hiervan naar https://www.portabase.nl/privacy-en-cookies.
    Zorg verder voor een privacy-first beleid op uw website. Dat betekent voor uw contactformulier bijvoorbeeld dat een vinkje met "Ik wil de nieuwsbrief ontvangen" standaard UIT moet staan.
  3. Welke gegevens worden verzameld?
    Verzamel niet meer gegevens dan nodig. De gegevens die u verzamelt moeten een rechtsgrond hebben, ofwel: de reden van verzamelen moet goed uit te leggen zijn. U kunt bijvoorbeeld niet zomaar vragen om het hoogst genoten opleidingsniveau van de ouders, behalve als u bijvoorbeeld speciale diensten aanbiedt voor kinderen van laagopgeleide ouders. Verzamel ook pas gegevens op het moment dat het nodig is. Vraag bijvoorbeeld pas om het BSN of medische informatie op het moment dat een kindje ook daadwerkelijk via uw organisatie geplaatst gaat worden.
  4. Worden de betrokkenen op de juiste manier geïnformeerd?
    Personen van wie de gegevens bewaard worden moeten geïnformeerd worden over het opslaan van de gegevens. Dit kan bijvoorbeeld door een link naar de privacyverklaring bij het aanmeldformulier op uw website, maar ook door in een telefoongesprek te vermelden dat u gegevens gaat noteren in het systeem. Handig is dan wel om in de privacyverklaring te vermelden dat u mogelijk ook in telefoongesprekken persoonsgegevens opvraagt (met goedvinden van de betrokkene).
    Betrokkenen hebben het recht om de opgeslagen gegevens in te zien en aan te (laten) passen*. Let wel: het gaat hierbij om de opgeslagen persoonsgegevens. Een verslag van een vertrouwelijk gesprek met een ouder hoeft dus niet gedeeld te worden met de betrokken gastouder, ook al ging het gesprek over het functioneren van die gastouder.
    * Binnen PortaBase voldoet u grotendeels al automatisch aan deze eisen als de ouders toegang hebben tot het ouderportaal (er wordt nog onderzocht of alle persoonsgegevens daar terug te vinden zijn die nodig zijn om aan deze eisen te voldoen).
  5. Waar worden gegevens bewaard?
    Bijvoorbeeld in de cloud, in archiefmappen, op USB-sticks en/of een lokale server. Worden er backups gemaakt, en zo ja: hoe vaak en waar? Hoe lang worden de backups bewaard?
  6. Hoe lang worden gegevens bewaard?
    Voor persoonsgegevens geldt een maximale bewaartermijn, afhankelijk van de rechtsgrond voor het vastleggen van de gegevens. U dient hierin een onderbouwde keuze te maken, die u vastlegt in uw privacybeleid.
    Ouders die zich (met hun kinderen) registreren bij uw organisatie gaan uiteindelijk niet altijd gebruik maken van uw diensten. U dient de gegevens van deze mensen na verloop van tijd te verwijderen. Hetzelfde geldt bijvoorbeeld voor CV's van afgewezen sollicitanten. Arnoud Engelfriet, een gerenommeerd ICT-jurist, legt dit als volgt uit:
    "In principe bent u vrij in de keuze van de bewaartermijn, zolang u er maar een sluitende argumentatie bij heeft. Neem bijvoorbeeld het bewaren van sollicitatiebrieven met cv’s. Dit zal nodig zijn gedurende de sollicitatieprocedure, maar hoe lang daarna ze nog nodig zijn, daar kun je over twisten. Een mogelijke insteek is ze tot 2 maanden na vervulling van de functie te bewaren, met als argument dat je dan na een mislukte proeftijd andere kandidaten nog kunt benaderen. Een andere insteek is een jaar: mensen kunnen immers later opnieuw solliciteren, en weten wat er eerder is gezegd en besloten is daarbij redelijkerwijs van belang."
    Als de opvang van een kind stopt, mag u de gegevens van het kind nog maximaal 2 jaar bewaren. Na die 2 jaar heeft u een aantal gegevens nog steeds nodig om aan uw administratieve bewaarplicht van de Belastingdienst (tot 7 jaar) te kunnen voldoen. Het kind kan dan niet zomaar verwijderd worden. Wel dient u alle niet-noodzakelijke gegevens van het kind te verwijderen. Binnen PortaBase zijn hier vanaf 25 mei 2018 speciale functies voor beschikbaar. Daarmee kunt u een dossier terugbrengen tot de strikt noodzakelijke gegevens. De rest van de gegevens wordt dan verwijderd of geanonimiseerd.
    Voor richtlijnen over het omgaan met personeelsgegevens verwijzen we u naar https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/werk-en-uitkering/personeelsdossiers.
  7. Welke maatregelen zijn genomen om het lekken van gegevens tegen te gaan?
    Beschrijf zo goed mogelijk hoe voorkomen wordt dat gegevens in verkeerde handen terechtkomen. Voor elk van de plekken waar u persoonsgegevens verwerkt (bijv. e-mail, Dropbox, PortaBase, archiefkast, pc's en laptops, tablets etc) dient u te vermelden hoe de beveiliging is geregeld (bijv. door middel van gebruikersnaam en wachtwoord). Beschrijf werkafspraken die zijn gemaakt, zoals een verbod op het opschrijven van wachtwoorden op een post-it en het vergrendelen van de pc bij het (kortstondig) verlaten van de werkplek etc. Vermeld bijvoorbeeld ook hoe de procedure uitdiensttreding van een medewerker eruit ziet t.a.v. gegevensbescherming (bijv. "Aan het einde van de laatste werkdag van een medewerker wordt de toegang tot de mailbox beëindigd door veranderen van het wachtwoord.").
  8. Wie hebben toegang tot persoonsgegevens en waarom?
    Maak duidelijk welke medewerkers toegang hebben tot persoonsgegevens en waarom. Binnen PortaBase heeft u de mogelijkheid om verschillende autorisatieniveaus toe te kennen aan medewerkers. Maak hier gebruik van om te zorgen dat medewerkers niet meer gegevens kunnen inzien dan nodig om hun werk te kunnen doen.
    Zorg voor een heldere en sluitende geheimhoudingsclausule in de arbeidsovereenkomst die u afsluit met uw medewerkers, en benoem daarin specifiek ook het omgaan met persoonsgegevens.
  9. Heeft u een procedure voor datalekken?
    Er is sprake van een datalek als persoonsgegevens in verkeerde handen terecht zijn gekomen, of verloren zijn gegaan. Niet alleen het vrijkomen of lekken van gegevens resulteert in een datalek, ook wanneer onrechtmatig gegevens worden verwerkt is hiervan sprake. Om een voorval te kunnen kwalificeren als een datalek, moet sprake zijn van een daadwerkelijk beveilingingsincident. Hieronder valt een inbraak in een databestand (hacken), maar ook een kwijtgeraakte USB-stick, een gestolen laptop, een laptop die in de trein is blijven liggen of een brand in een datacentrum zijn datalekken.
    Zie voor een uitgebreide uitleg https://www.vijverbergjuristen.nl/juridisch-advies/openbaarheid-en-privacy/datalek-melden-avg.
  10. Zorg voor overeenkomsten met derden
    Als u persoonsgegevens verwerkt in externe systemen zoals PortaBase, dan dient u met deze partijen een zgn. verwerkersovereenkomst af te sluiten. Hierin staat beschreven wat de rechten en plichten zijn van beide partijen t.a.v. de verwerkte gegevens. Atane Software biedt al haar klanten een standaard verwerkersovereenkomst aan. Deze is voor klanten terug te vinden in hun PortaBase omgeving of op te vragen via het e-mailadres info@atane.nl.
Terug naar overzicht

Begin vandaag nog met het automatiseren van uw kinderopvang

Demo aanvragen