De Algemene Verordening Gegevensbescherming (AVG) brengt een heleboel teweeg. Organisaties moeten aan de AVG voldoen, betrokkenen (lees: personen over wie gegevens worden verwerkt) komen allerlei rechten toe met betrekking tot hun persoonsgegevens en er wordt gestrooid met boetes en berichten over datalekken.

De consultants van Cuccibu leren én verspreiden in de dagelijkse privacy-praktijk allerlei interessante feiten, maar horen ook veel ‘AVG-fabeltjes’ aan. In deze blogreeks behandelen wij tweewekelijks een interessante of veelgehoorde misvatting over de AVG. Wij besteden ook aandacht aan de ‘feiten achter het fabeltje’.

Eén van onze Cucci-collega’s werd ingeschakeld als hulpvader op een schoolevenement om wafels te bakken voor de kinderen. Tijdens het bakken werd een terechte vraag gesteld: ‘zijn er kinderen met allergieën voor melk of eieren aanwezig?’ Tot grote verbazing van onze Cucci-collega werd medegedeeld dat de school niet mag vragen naar allergieën van kinderen, vanwege ‘de privacy’.

Deze nietsvermoedende medewerker van de school kon natuurlijk rekenen op een flauwe grap na het verkondigen van deze AVG-fabel: ‘Dan is er maar één manier om erachter te komen… de proef op de som nemen en zien welke kinderen ziek worden’. Een niet zo kindvriendelijke (of zelfs gevaarlijke!) manier om te weten te komen wie allergisch is voor deze wafels!

AVG-fabeltje van vandaag: de school mag niet vragen naar allergieën van leerlingen, vanwege ‘de privacy’.

Het feit dat Serap uit groep 5 een lactoseallergie heeft is een persoonsgeven: dit zegt immers iets over Serap. Sterker nog, dit is een gegeven over de gezondheid van Serap: een bijzonder persoonsgegeven. De naam zegt het al: deze gegevens verdienen bijzondere aandacht. Hier moet je niet alleen extra zorgvuldig mee omgaan, maar je hebt naast een ‘gewone’ grondslag, ook een uitzondering op het verbod op de verwerking van bijzondere persoonsgegevens nodig ofwel een grondslag om het verbod te doorbreken. Ik hoor je denken, een verbod? Ja! In beginsel is het verboden om bijzondere persoonsgegevens te verwerken, tenzij je daar een heel goede reden (lees: een soort van dubbele grondslag) voor hebt.

Die reden heeft de school natuurlijk. Wanneer je voor de voeding van kinderen verantwoordelijk bent of dit verzorgt is het noodzakelijk om te weten welke bijzonderheden er zijn om er rekening mee te houden om hen niet ziek te maken. Je mag dan in dit geval aan de ouders vragen of hun kinderen een allergie hebben. Je moet er wel mee oppassen dat je het antwoord niet lukraak ergens registreert(op een rondslingerende boodschappenlijst bijvoorbeeld ;)). Sterker nog, vraag jezelf af: is registreren überhaupt nodig?

Je mag de persoonsgegevens enkel voor het doel gebruiken waar je het voor hebt verzameld. Verzorg je als school nooit lunch/snacks? Dan mag je dit dus ook niet vragen omdat dit gegeven niet noodzakelijk is voor de doeleinden waarvoor je persoonsgegevens van de kinderen nodig hebt, namelijk het verzorgen van onderwijs. Zorg ervoor dat je persoonsgegevens rechtmatig verzamelt, gebruikt en vervolgens veilig opslaat (alleen als opslaan nodig is) en de ouders uitlegt waarom je dit vraagt en wat je ermee gaat doen. Je mag ouders niet dwingen om deze persoonsgegevens te geven over hun kind. (Zie onze blog over Toestemming) voor meer informatie over de randvoorwaarden voor een rechtsgeldige toestemming).

Veel organisaties, waaronder scholen, zullen uit angst om iets verkeerd te doen, bepaalde gegevens niet meer opvragen. Waarschijnlijk hebben we allen wel eens gehoord: ‘van de privacy (lees: AVG) mag dat niet’. De AVG is helemaal niet bedoeld om het verwerken van persoonsgegevens te verbieden of onmogelijk te maken. De AVG dwingt ons om een afweging te maken (over de rechtsgeldigheid en veiligheid), deze te documenteren én zorgvuldig om te gaan met persoonsgegevens.

Heb je vragen naar aanleiding van dit artikel, of advies nodig over de AVG? De consultants van Cuccibu staan graag voor jou(w organisatie) klaar!

 

Tot de volgende editie!

 

 


Hulp nodig?

De auteur Linde Mensink is Privacy & Legal consulent bij Cuccibu. Informatie is van onschatbare waarde. Voor organisaties, consumenten, werknemers, voor iedereen. Veiligheid van informatie is geen vanzelfsprekendheid en op allerlei vlakken liggen bedreigingen op de loer. Cuccibu helpt organisaties die bedreigingen, die risico’s, op een verantwoorde manier te behandelen (Reduce Risk) zonder het doel van de organisatie uit het oog te verliezen (Create Value). Onze missie: Reduce Risk, Create Value!

Heb je vragen over dit onderwerp of wil je verder praten? Of twijfel je erover of veilige authenticatie van medewerkers of collega’s op dit moment wel goed is geregeld? Neem dan gerust contact met mij op of met een van onze betrouwbare professionals via:

info@cuccibu.nl of +31 (0) 85 3030 2984.