Dit het ik geleerd ... bij de workshop over AVG en yogadocenten

Veel docenten moeten gaan werken met de privacywet

Mijn mailbox stroomde de afgelopen weken vol met berichten. Ik vind het heel sympathiek dat allerlei bedrijfjes me vragen of ik hun nieuwsbrief wil blijven ontvangen, maar het maakt me ook een beetje onrustig. Wat moet ik, als yogadocent, nu eigenlijk zelf met die AVG? Een goede reden om de (lange) reis te ondernemen naar een van de voorlichtingsbijeenkomsten van de VYN (Vereniging Yogadocenten Nederland).

 

Een flinke groep yogadocenten werd gastvrij welkom geheten door Romanie Noordegraaf, eigenaar van yogastudio Yoia in Schiedam. Daar stond management adviseur Berdjan Klatter al te wachten. Hij gidste ons door het voor velen onbekende gebied van de verplichtingen en grijze gebieden van de AVG. Ik heb er een kort verslag van gemaakt: geen zwaar juridisch stuk maar een samenvatting van mijn ‘gezond verstand’. Aan het einde van dit artikel vind je een aantal praktische links.

Waarom is de AVG belangrijk voor yogadocenten?

Iedere docent die kosten in rekening brengt aan cursisten moet aan de slag met de AVG. Je geeft namelijk les aan cursisten voor geld. Er is dan juridisch gezien sprake van een overeenkomst. De meeste docenten houden gegevens bij van hun cursisten zoals naam, adres, email … Dit zijn zogeheten 'gewone persoonsgegevens'. Het is belangrijk dat je er goed over na denkt hoe je deze beschermt. Je moet ervoor zorgen dat mensen er niet zo maar ‘bij’ kunnen. Heel praktisch betekent dit: een goed password op je computer, je administratie netjes opbergen - misschien wel achter slot en grendel. Het belangrijkste is dat je er goed over nadenkt hoe je zorgvuldig met gegevens omgaat. Je mag alleen informatie vragen die je nodig hebt!

Duif bewaakt de privacy en veiligheid

Om welke gegevens gaat het?

Alle informatie die je ontvangt valt onder de AVG. Het gaat dus niet alleen om inschrijfformulieren maar ook om bijvoorbeeld mails, brieven, apps, geboortekaartjes. Wees kritisch op wat je bewaart en schoon regelmatig bestanden op. Besef je dat je deze informatie niet mag delen, ook al hebben mensen het uit zichzelf aan je toegestuurd. Denk na over de vraag: kan ik hier een klacht over krijgen? En zo ja, is dat dan ergens wel redelijk? Stel bijvoorbeeld dat iemand jou een uitgebreid verslag stuurt van de geboorte. Dat mag je natuurlijk niet zomaar delen. Het beste is dan om uitdrukkelijk toestemming te vragen of iemand dit verslag zelf te laten delen. Uit oogpunt van zorgvuldigheid is het ook verstandig om mensen die bijvoorbeeld geboortekaartjes sturen, schriftelijk vooraf om toestemming te vragen als je de geboortekaartjes in jouw yogaruimte ophangt.

Gezondheid, klachten en blessures van cursisten

Ingewikkelder wordt het als mensen je informatie geven over hun gezondheid. Dit zijn zogeheten 'bijzondere persoonsgegevens'. Die mogen alleen worden opgeslagen door mensen die daar toe aangewezen zijn: artsen, fysiotherapeuten en dergelijke. In de wet is (nog) niets geregeld voor yogadocenten en dan mag het dus niet. Maar natuurlijk wil je wel veilig les geven en rekening houden met de mogelijkheden én de beperkingen van de cursist.

 

Berdjan Klatter heeft de tijd genomen om de wet er op na te lezen. Hij belde ook met de Autoriteit Persoonsgegevens. Dit zijn zijn bevindingen. ‘In de wet is staat “De verwerking van bijzondere persoonsgegevens is verboden. Tenzij u zich kunt beroepen op een wettelijke uitzondering én op één van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens.” Er zijn liefst tien uitzonderingen op deze regel: in die gevallen is het wel toegestaan om bijzondere persoonsgegevens te verwerken. In overleg met de Autoriteit heb ik vastgesteld dat je als yogadocent een beroep kunt doen één van deze tien regels, namelijk deze: “Iemand heeft uitdrukkelijk toestemming heeft gegeven voor de verwerking van zijn/haar persoonsgegevens”.'

 

Het is dus belangrijk dat je zeer zorgvuldig omgaat met dit soort gegevens. Sla ze discreet op en zorg dat alleen mensen erbij kunnen die deze ook echt nodig hebben. In de praktijk betekent dit bijvoorbeeld dat je moet oppassen met wat je vastlegt in een online boekingssysteem, dat je een bewerkersovereenkomst afsluit met mensen die voor je werken en dat cursisten nooit gegevens van elkaar zien. Het is ook aan te raden om de cursist uitdrukkelijk toestemming te laten geven om zijn of haar gezondheidsgegevens te noteren. Gezond verstand zegt me: wees discreet en beknopt in wat je noteert. Schrijf bijvoorbeeld niet: 'zit vast door vechtscheiding met persoon A' maar 'soms beperkte beweeglijkheid bovenrug, mogelijk stressgerelateerd'. 

Foto's maken van je les

Wil je foto’s maken van cursisten en deze gebruiken op bijvoorbeeld je website? Dat kan maar je moet mensen hiervoor uitdrukkelijke toestemming vragen. Doe dit bij voorkeur schriftelijk. Let op waar je toestemming voor vraagt: als je toestemming vraagt voor je website, dan mag je de foto’s niet zomaar in een folder plaatsen. Aan toestemming zit ook altijd een termijn. Je vraagt bijvoorbeeld toestemming voor twee, of voor vijf jaar. Als je de foto’s daarna opnieuw wilt gebruiken moet je weer opnieuw toestemming vragen.

En de nieuwsbrief dan?

In feite heeft de AVG geen betrekking op de vraag of je mensen een nieuwsbrief mag sturen. De AVG regelt het opslaan, bewaren en beveiligen van persoonsinformatie. Als je mensen een nieuwsbrief wilt sturen is wel wettelijk geregeld dat je ze vooraf toestemming moet vragen om dit te doen. Ze moeten daar echt voor kiezen. Bijvoorbeeld: je mag op de website niet een voor ingevuld vinkje neerzetten bij de zin: ‘ik wil de nieuwsbrief ontvangen’. Dit moet je open laten, zodat mensen echt ‘ja’ of ‘nee’ kunnen invullen. Je mag dat vinkje overigens ook standaard op ‘nee’ zetten - vink aan wat u wel wilt. Maar dat lijkt mij niet zo handig [smiley knipoog]. 

Deze bewerkingsovereenkomsten moet je regelen

Met mensen die in jouw opdracht werken, en toegang hebben tot de door jou opgeslagen persoonsgegevens, zul je een bewerkersovereenkomst moeten afsluiten. Daarin regel je dat ze geen persoonsgegevens gebruiken, delen of openbaar maken. Het gaat bijvoorbeeld om je boekhouder, degene die je PC(s) onderhoudt en je mailprovider. In de wet is geregeld dat je met de bank geen bewerkersovereenkomst hoeft te sluiten. Helpt de zoon van de buren met je computerzaken? Dan is een bewerkersovereenkomst niet nodig. Het is natuurlijk wel wijs om met hem (m/v) te bespreken dat de zaken die op jouw pc staan, van mail tot password, ook echt privé blijven. 

Moet ik een privacystatement maken?

Het ‘slechte’ nieuws is: ja, het maken van een privacy statement is verplicht. Het ‘goede’ nieuws is: het is relatief weinig werk. Berdjan liet ons zien dat ‘goed nadenken’ over privacy binnen je praktijk of studio een aantal uren tijd vraagt. Als je dat hebt gedaan zul je een aantal acties gaan ondernemen om de privacy van je cursisten te waarborgen. Na al dat denkwerk is het opstellen van een privacy statement een kleine klus. De makkelijkste manier om dit te publiceren is: plaatsen op de website. Hierna geef ik een aantal links naar praktische tools die je kunnen ondersteunen bij het ontwikkelen van een privacy beleid, zodat je werkt in overeenstemming met de AVG.

Handige links

Het tienstappen plan om een AVG op te stellen, door de Autoriteit Persoonsgegevens.  

 

Een voorbeeld van een privacy statement, het Privacy statement van DRU yoga Nederland.

 

Meer informatie over de Vereniging Yogadocenten Nederland, lidmaatschap aanvragen.

 

Reactie schrijven

Commentaren: 0