AVG en het vertrouwenswerk: zo richt je je dossiervoering veilig in
Praktische richtlijnen voor privacy-compliant werken als vertrouwenspersoon
Als vertrouwenspersoon werk je met uiterst gevoelige informatie. Verhalen over pesten, intimidatie, discriminatie of seksueel grensoverschrijdend gedrag raken mensen in hun kern. De bescherming van deze informatie is niet alleen een wettelijke verplichting onder de AVG, maar ook een morele plicht. In dit artikel leg ik uit hoe je je dossiervoering privacy-compliant inricht.
Welke gegevens verwerk je?
Voordat je nadenkt over hoe je gegevens beschermt, moet je weten welke gegevens je verwerkt. Als vertrouwenspersoon verzamel je doorgaans: namen en contactgegevens van melders, inhoud van gesprekken en meldingen, namen van beschuldigden of betrokkenen, en mogelijk gegevens over de aard van het ongewenste gedrag.
Veel van deze gegevens vallen onder de categorie bijzondere persoonsgegevens in de zin van de AVG. Gegevens over seksueel gedrag, gezondheid of vakbondslidmaatschap krijgen extra bescherming. De verwerking hiervan is in principe verboden, tenzij een uitzonderingsgrond van toepassing is.
Voor vertrouwenspersonen is de meest relevante uitzonderingsgrond de uitdrukkelijke toestemming van de betrokkene, of de noodzaak voor de instelling of uitoefening van een rechtsvordering. In de praktijk betekent dit dat je expliciete toestemming van de melder nodig hebt voor het vastleggen van gegevens.
Grondslagen voor verwerking
Onder de AVG heb je een wettelijke grondslag nodig om persoonsgegevens te verwerken. Voor vertrouwenspersonen zijn twee grondslagen het meest relevant: toestemming van de betrokkene en gerechtvaardigd belang. In de meeste gevallen baseer je de verwerking op toestemming, die je bij de intake expliciet vraagt en documenteert.
Belangrijk is dat toestemming vrijwillig, specifiek, geïnformeerd en ondubbelzinnig moet zijn. De melder moet weten welke gegevens je vastlegt, waarom je dit doet, hoe lang je ze bewaart, en wie er toegang toe heeft. Leg dit uit bij de intake en laat de melder dit schriftelijk of digitaal bevestigen.
Dataminimalisatie
Een kernprincipe van de AVG is dataminimalisatie: verwerk alleen de gegevens die noodzakelijk zijn voor het doel. Voor vertrouwenspersonen betekent dit dat je kritisch moet zijn over wat je vastlegt. Niet alles wat een melder vertelt hoeft in het dossier. Vraag jezelf af: is dit gegeven noodzakelijk voor de begeleiding van deze melder?
Leg de essentie vast, niet elk detail. Vermijd het noteren van roddels of speculaties. Wees terughoudend met het noteren van namen van derden die niet direct relevant zijn voor de casus. Hoe minder je vastlegt, hoe minder er kan lekken of misbruikt worden.
Bewaartermijnen
De AVG schrijft voor dat je gegevens niet langer bewaart dan noodzakelijk voor het doel waarvoor ze zijn verzameld. Voor vertrouwenspersonen is dit een lastige afweging. Enerzijds wil je gegevens niet onnodig lang bewaren. Anderzijds kan informatie jaren later relevant worden als een casus alsnog escaleert of juridisch vervolgd wordt.
Een gangbare praktijk is om dossiers twee tot vijf jaar na afronding van de casus te bewaren, afhankelijk van de ernst en het risico op herleving. Bij zware casussen zoals seksueel grensoverschrijdend gedrag kan een langere termijn gerechtvaardigd zijn vanwege de verjaringstermijnen in het strafrecht.
Documenteer je bewaartermijnen in een verwerkingsregister en pas ze consequent toe. Stel herinneringen in om dossiers te vernietigen wanneer de bewaartermijn verloopt. Dit voorkomt dat je gegevens langer bewaart dan toegestaan.
Beveiligde opslag
Gegevens moeten passend beveiligd zijn tegen ongeautoriseerde toegang, verlies of vernietiging. Wat passend is, hangt af van de gevoeligheid van de gegevens. Voor vertrouwenspersonendossiers, die zeer gevoelig zijn, geldt een hoge beveiligingsstandaard.
Papieren dossiers horen in een afgesloten kast in een afgesloten ruimte. Digitale dossiers moeten versleuteld worden opgeslagen, bij voorkeur op een beveiligde cloudoplossing of versleutelde harde schijf. Zorg voor sterke wachtwoorden en bij voorkeur tweefactorauthenticatie.
Gebruik geen reguliere e-mail voor het versturen van gevoelige dossiergegevens. E-mail is inherent onveilig. Als je digitaal moet communiceren, gebruik dan beveiligde berichtenservices of versleutelde e-mail. Beter nog: bespreek gevoelige zaken telefonisch of in persoon.
Het verwerkingsregister
Als je structureel persoonsgegevens verwerkt, ben je verplicht een verwerkingsregister bij te houden. Dit is een overzicht van alle verwerkingsactiviteiten, inclusief het doel, de categorieën gegevens, de ontvangers, bewaartermijnen en beveiligingsmaatregelen. Het register hoeft niet ingewikkeld te zijn, een eenvoudig spreadsheet volstaat.
Het verwerkingsregister dwingt je om na te denken over je gegevensverwerkingen en deze te documenteren. Mocht de Autoriteit Persoonsgegevens ooit vragen stellen, dan kun je aantonen dat je bewust en compliant omgaat met persoonsgegevens.
Rechten van betrokkenen
Melders hebben onder de AVG verschillende rechten. Ze kunnen inzage vragen in hun dossier, correctie van onjuiste gegevens eisen, of verzoeken om verwijdering van hun gegevens. Als vertrouwenspersoon moet je deze verzoeken kunnen honoreren.
Het recht op verwijdering is niet absoluut. Je kunt een verzoek weigeren als je een wettelijke plicht hebt om de gegevens te bewaren, of als de gegevens noodzakelijk zijn voor een rechtsvordering. Documenteer dergelijke afwegingen zorgvuldig.
Datalekken
Een datalek is een beveiligingsincident waarbij persoonsgegevens verloren zijn gegaan of ongeautoriseerd zijn ingezien. Dit kan variëren van een verloren USB-stick tot een hack van je computer. Bij een datalek met hoog risico voor de betrokkenen moet je dit binnen 72 uur melden bij de Autoriteit Persoonsgegevens, en mogelijk ook aan de betrokkenen zelf.
Stel vooraf een procedure op voor het omgaan met datalekken. Wie informeer je, welke stappen neem je, hoe documenteer je het incident? Een voorbereide reactie voorkomt paniek en fouten in een stressvolle situatie.
Praktische tips
Tot slot enkele praktische tips. Maak regelmatig back-ups van je digitale dossiers, versleuteld en op een veilige locatie. Vernietig papieren documenten met een versnipperaar, niet door ze in de prullenbak te gooien. Bespreek geen casussen in openbare ruimtes waar je afgeluisterd kunt worden.
Neem privacy mee in je gesprek met melders. Leg uit hoe je met hun informatie omgaat, wie er toegang toe heeft, en wat er gebeurt als de casus is afgerond. Dit draagt bij aan het vertrouwen dat essentieel is voor effectief vertrouwenswerk.
Wil je alle stappen voor het starten als zelfstandig vertrouwenspersoon op een rij?
Download dan de gratis Checklist Zelfstandig Extern Vertrouwenspersoon en zorg dat je niets over het hoofd ziet.