Inleiding 

Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (WBP) geldt dan niet meer.

Wat verandert er?
De AVG versterkt de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Hun bestaande rechten worden uitgebreid en een nieuwe wetgeving met betrekking tot privacy wordt aangescherpt. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk ligt – meer dan nu – op de verantwoordelijkheid van organisaties om aan te kunnen tonen dat zij zich aan de wet houden. Hieronder staat het vrijstellingsbesluit voor de kinderopvang. Indien er een legitieme reden is en aan alle voorwaarden worden voldaan, hoeft Enjoy! Kinderopvang B.V. de verwerking van persoonsgegevens niet te melden.
Handreiking Vrijstellingsbesluit
Beschrijving van de vrijstelling: deze vrijstelling heeft betrekking op verwerkingen van persoonsgegevens door instellingen die zich bezighouden met of gelegenheid bieden voor kinderopvang, gastouderopvang als bedoeld in artikel 1.1, eerste lid, van de Wet kinderopvang en kwaliteitseisen peuterspeelzalen. Deze instellingen hoeven de verwerking van persoonsgegevens niet te melden als aan de volgende voorwaarden is voldaan.

Toegestane doeleinden van de verwerking De verwerking mag alleen geschieden voor:
• het organiseren van de opvang en de begeleiding van het kind;
• het onderhouden van contacten met de ouders, voogden en verzorgers van de kinderen;
• het berekenen en vastleggen van inkomsten en uitgaven;
het doen van betalingen;
• het innen van vorderingen die samenhangen met de opvang (inclusief het in handen van derden stellen van vorderingen);
• het aanvragen van subsidie;
• het behandelen van geschillen;
• het doen uitoefenen van accountantscontrole;
• de uitvoering of toepassing van een andere wet.

Toegestane (categorieën) verwerkte gegevens
Alleen de volgende persoonsgegevens mogen worden verwerkt:
• naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens van het kind;
een administratienummer, als dat geen andere informatie bevat dan de bij het vorige punt bedoelde gegevens;
• de bij het eerste punt bedoelde gegevens van de ouders, voogden of verzorgers van het kind;
• het bankrekeningnummer van de ouders, voogden of verzorgers van het kind;
• gegevens die noodzakelijk zijn met het oog op de gezondheid of het welzijn van het kind;
• gegevens die betrekking hebben op de godsdienst of levensovertuiging van het kind voor zover die noodzakelijk zijn voor de opvang;
• gegevens die betrekking hebben op de organisatie van de opvang, de deelname aan activiteiten en het verstrekken of ter beschikking stellen van leermiddelen;
• gegevens voor het berekenen en vastleggen van inkomsten en uitgaven;
• gegevens voor het doen van betalingen;
• gegevens voor het innen van vorderingen in het kader van de opvang, de leermiddelen en activiteiten;
• andere dan de hierboven opgesomde gegevens als die verwerkt moeten worden op grond van een andere wet.

Toegestane (categorieën) ontvangers van de gegevens
De persoonsgegevens mogen alleen worden verstrekt aan:
degenen, inclusief derden, die: belast zijn met de hierboven onder 1. opgesomde werkzaamheden, of
leiding geven aan de hierboven onder 1. opgesomde werkzaamheden, of
noodzakelijk betrokken aan bij de hierboven onder 1. opgesomde werkzaamheden.

Anderen, indien:
de betrokkene zijn ondubbelzinnige toestemming heeft verleend voor de gegevensverwerking, of
de gegevensverwerking noodzakelijk is voor de nakoming van een wettelijke plicht door de instelling, of
de gegevensverwerking noodzakelijk is vanwege een vitaal belang van de betrokkene (bijvoorbeeld een dringende medische noodzaak), of
de gegevens verder worden verwerkt voor historische, statistische of wetenschappelijke doeleinden. Voorwaarde hierbij is dat de instelling ervoor zorgt dat de gegevens ook alleen voor deze specifieke doeleinden verder worden verwerkt.

4. Toegestane bewaartermijn
De persoonsgegevens moeten uiterlijk twee jaar nadat de opvang is beëindigd worden verwijderd. Langer bewaren van de gegevens is alleen toegestaan als de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.

Enjoy! Kinderopvang B.V. werkt volgens onderstaand beleid om aan de wetgeving te voldoen.

Bewustwording
De relevante mensen in de organisatie (zoals beleidsmakers/ leidinggevenden) zijn op de hoogte van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op de huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen. Medewerkers die met persoonsgegevens werken en alle andere digitale informatie, tablets en
computers, worden voorgelicht over de nieuwe wetgeving en het beleid van Enjoy! Kinderopvang B.V..

Overzicht verwerkingen
Binnen de organisatie wordt op de volgende wijze met persoonsgegevens gewerkt:
Berber van Tatenhove handelt dossiers van medewerkers af, zorgt ervoor dat alle documenten compleet zijn en archiveert deze in de map ‘Personeel’ en/of in onze eigen Cloud omgeving.
Berber van Tatenhove antwoordt ook op vragen van ouders door informatie op te zoeken in het ouder-kind administratieprogramma ROSA.

Joy Ellen Bos en Berber van Tatenhove hebben inzage in alle gegevens. Zij maken de planning, verwerken inkomende e-mailberichten van ouders en passen planningen aan van de kinderen. Zij werken in ROSA en de Cloud

Data Protection Impact Assessment (DPIA)
Enjoy! Kinderopvang B.V. is als organisatie niet verplicht om een DPIA uit te voeren. Toch is dit op kleine schaal gebeurd. Een DPIA brengt de privacy risico’s van gegevensverwerking in kaart. In het kort volgt hieronder een opsomming van welke privacy risico’s binnen de organisatie kunnen voorkomen:
– kinderen worden zonder toestemming op de foto gezet;
– de verkeerde ouder krijgt een bericht over andermans kind;
– op de besloten Facebook-pagina worden zonder toestemming foto’s geplaatst;
– de map personeelsgegevens is vrij toegankelijk omdat verantwoordelijke even van haar plek is;
– e-mails of berichten worden per abuis aan de verkeerde ouder verstuurd;
– informatie op de website wordt door Google opgepakt. Filmpjes en nieuwsbrieven worden gekopieerd;
– het gebruik van Facebook is al een privacy risico op zich. Foto’s kunnen worden opgeslagen en voor andere doeleinden worden gebruikt;
– voor onze eigen verslaglegging gebruiken we de Cloud omgeving;
– ouders slaan foto’s op uit de besloten Facebook-pagina (waarop eventueel ook andere kinderen staan) en delen dit op sociale media;
– medewerkers loggen niet goed uit waardoor de volgende gebruiker eventueel toegang heeft tot gevoelige informatie.

Privacy by design en privacy by default

4.1 Privacy by design
Privacy by design houdt in dat er al bij het ontwerpen van producten en diensten voor wordt gezorgd dat persoonsgegevens goed worden beschermd. Enjoy! Kinderopvang B.V. Maakt de producten niet zelf maar neemt (online) diensten af bij leveranciers. De organisatie heeft stukken opgevraagd bij eigen leveranciers (boekhouder en verzekeringsmaatschappij) waaruit blijkt dat deze er alles aan doen om de programma’s veilig te houden.

4.2 Privacy by default
Privacy by default houdt in dat er technische en organisatorische maatregelen moeten worden genomen om ervoor te zorgen dat er alléén persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel dat bereikt wil worden.
Enjoy! Kinderopvang B.V. heeft de volgende acties ondernomen om ervoor te zorgen dat de risico’s zo beperkt mogelijk blijven:
– ouders hebben in een verklaring (d.m.v. een e-mail) wel/niet toestemming gegeven voor het plaatsen van foto’s op bepaalde niveaus;
– ouders verstrekken bij inschrijving/ aanmelding alleen noodzakelijke gegevens;
– de inschrijvingen komen alleen bij Berber van Tatenhove en Joy Ellen Bos terecht voor een directe verwerking;
– de wachtwoorden op de computer zijn alleen bekend bij het vaste personeel;
– medewerkers worden minimaal 1 x per jaar geïnformeerd over de privacy risico’s middels nieuwsbrief en/ of teamvergaderingen;
– iedereen dient zich op een juiste wijze af te melden/ uit te loggen;
– documenten worden nooit onbeheerd achter gelaten;
– bij de leveranciers is een verklaring van veiligheid (verwerkingsverklaring) opgevraagd met betrekking tot de AVG-wetgeving;
– medewerkers bespreken geen privacygevoelige informatie in het bijzijn van andere ouders.

6. Functionaris voor de gegevensbescherming
Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Dit is niet van toepassing bij Enjoy! Kinderopvang B.V.

7. Meldplicht datalekken
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan eigen registratie van de datalekken die zich bij Enjoy! Kinderopvang B.V. kunnen voordoen. De organisatie is verplicht om alle datalekken te documenteren. Met deze documentatie kan de Autoriteit Persoonsgegevens (AP) controleren of er aan de meldplicht is voldaan. Dit gaat verder dan de huidige protocolplicht, de WBP, die alleen betrekking heeft op de gemelde datalekken. Enjoy! Kinderopvang B.V. hanteert beleid dat elke data lek gemeld en gedocumenteerd moet worden.

8. Bewerkersovereenkomsten
Indien er een gegevensverwerking uitbesteed is aan een bewerker (in de AVG ‘verwerker’ genoemd), dan wordt er beoordeel of de overeengekomen maatregelen in bestaande contracten met de bewerkers nog steeds toereikend zijn en aan de vereisten in de AVG voldoen. Zo niet, worden er tijdig noodzakelijke wijzigingen aangebracht. ROSA heeft inmiddels een verwerkingsovereenkomst aangeboden. Op de andere leveranciers wachten wij nog (datum 1-5-2018).

9. Leidende toezichthouder
Krijgt Enjoy! Kinderopvang B.V. in de toekomst vestigingen in meerdere EU-lidstaten? Of hebben de gegevensverwerkingen in meerdere lidstaten impact? Dan hoeft er onder de AVG nog maar met één privacy toezichthouder zaken te worden gedaan. Dit wordt de leidende toezichthouder genoemd.
Dit is momenteel niet van toepassing voor Enjoy! Kinderopvang B.V.

10. Toestemming
Voor sommige gegevensverwerkingen is er toestemming nodig van de betrokkenen. De AVG stelt strengere eisen aan toestemming. In de bijlage is opgenomen welke gegevens Enjoy! Kinderopvang BV als organisatie nodig heeft om te kunnen functioneren en waar toestemming voor is gevraagd.

Nieuw is dat er aangetoond moet worden dat er geldige toestemming is gegeven om persoonsgegevens te verwerken. Daarnaast moet het net zo makkelijk zijn om toestemming in te trekken als om die te geven.

Er wordt toestemming gegeven op de volgende wijze:
– bij inschrijving geven ouders wel/geen toestemming voor fotogebruik;
– bij het (digitaal) aanvaarden van het opvangcontract wordt ook een SEPA toestemming gevraagd en afgegeven door ouders;
– bij het tekenen van het arbeidscontract geeft een medewerker toestemming dat de organisatie met persoonsgegevens mag omgaan op een wijze waarvoor het bedoeld is.

Na het beëindigen van het contract worden deze gegevens nog 2 jaar bewaard:
* oudergegevens: – NAW – Geslacht – Geboortedatum – Telefoonnummer – IBAN – BSN – Email – Algemene notities en contactmomenten – Gespreksverslagen – Facturen – Jaaropgaves;
* kindgegevens: – NAW – Geslacht – Geboortedatum – Telefoonnummer – BSN – Vaccinaties – Allergieën – Schoolgegevens – Algemene notities – Gesprekverslagen – Foto’s (uitsluitend met toestemming van ouders/voogd) – Verwerkingsverantwoordelijke * Personeelsgegevens – NAW – Geslacht – Geboortedatum – Telefoonnummer – IBAN – BSN – Email – VOG – ID – Diploma’s – Algemene notities – Gespreksverslagen – Contracten – Urendeclaraties;
* administratie algemeen – Overeenkomsten – Facturen – Betalingen/ontvangen betalingen – Bankmutaties – Betaalstatus – Notities;
* alle overige (persoons)gegevens (voor zover hier nog niet vermeld) die Enjoy! Kinderopvang B.V. in het kader van wettelijke verplichtingen dient te verwerken.

Bewaartermijn
Na beëindigen van overeenkomst worden gegevens nog twee jaar bewaard. Ouders dienen zelf hun jaaropgave en facturen te archiveren.