Heeft u bericht ontvangen van een organisatie dat er een datalek is geweest? En dat daarbij bankrekeningnummers zijn gelekt? Dan kunt u dit doen:

• Wees alert op telefoontjes of berichten per e-mail, sms of WhatsApp waarbij mensen informatie proberen te ontfutselen, zoals uw pincode. Uw bank zal u nooit op die manier vragen om een bepaalde code te geven of om uw bankpas te versturen naar een bepaald adres.
• Wordt u gebeld door iemand die zegt van uw bank te zijn? En zegt die persoon bijvoorbeeld dat er iets mis is met uw rekening? Hang dan op en bel zelf terug via het telefoonnummer op de site van uw bank.
• Let op eventuele afschrijvingen van uw bankrekening. Criminelen kunnen uw bankrekening gebruiken om spullen te kopen.
• Kijk voor meer informatie op Veiligbankieren.nl.

Heeft u een vraag over het melden van datalekken? Dan kunt u bellen naar 088 - 1805 255. U betaalt uw gebruikelijke telefoonkosten.

Let op: Dit nummer is alleen bedoeld voor organisaties die vragen hebben over de meldplicht datalekken.

Er is geen vergunning nodig als er sprake is van een publiekrechtelijk samenwerkingsverband. In artikel 33, lid 1 , onder b van de UAVG staat dit soort samenwerkingsverbanden afzonderlijk als uitzondering genoemd.

Wel gelden deze 2 voorwaarden:
 

1. De verwerking is noodzakelijk voor deze overheidsorganisaties om hun taak uit te voeren.
2. De overheidsorganisaties treffen zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkenen niet onevenredig wordt geschaad.

Je kunt les krijgen via videobellen. Daarbij filmt je onderwijsinstelling je misschien thuis. Dat is een inbreuk op je privacy. Maar het mag als lesgeven op een andere manier niet kan. Je school of universiteit moet er dan wel voor zorgen dat de inbreuk op jouw privacy zo klein mogelijk is.

Je school of universiteit moet bijvoorbeeld een softwareleverancier uitkiezen die voldoet aan de privacywet. Daarbij is vooral belangrijk dat de leverancier alle gegevens niet langer bewaart dan noodzakelijk is.

Je school of universiteit moet jou (of je ouders) ook duidelijke informatie geven over wat er precies met je gegevens gebeurt. Zoals waarom jouw gegevens verwerkt worden en wanneer jouw gegevens worden gewist. Bekijk bijvoorbeeld het privacybeleid. Of vraag het aan een docent of medewerker van jouw school of universiteit.

Zorg er zelf voor dat voor jou heel persoonlijke dingen zo veel mogelijk uit beeld blijven. Bijvoorbeeld die met je religie of politieke voorkeur te maken hebben.

Meer informatie

Meer eisen waaraan jouw school of universiteit moet voldoen, staan in het document Aanbevelingen online (video)bellen onderwijs.

De beelden die worden gemaakt tijdens les via videobellen, mag je school of universiteit niet zomaar bewaren als daarop leerlingen of studenten te zien zijn.

Beelden zonder leerlingen of studenten

Je school of universiteit mag wel een opname bewaren van de les of het college zonder de interactie met leerlingen of studenten erin. Bijvoorbeeld om de les of het college later te kunnen terugkijken.

Het is daarbij aan te raden dat je school of universiteit van tevoren aangeeft wanneer de opname start. Zo weet je wanneer je je microfoon en camera moet uitschakelen.

Beelden met leerlingen of studenten

Alleen in uitzonderingssituaties mag je school of universiteit beelden bewaren waarop leerlingen en studenten herkenbaar in beeld zijn.

Je school of universiteit moet daar dan een goede reden voor hebben. En het opnemen van de beelden moet noodzakelijk zijn voor dat doel. Bijvoorbeeld als interactie met leerlingen of studenten een belangrijk onderdeel is van de leerstof. Of als het voor de evaluatie van de leraren nodig is om beelden terug te kijken.

De school of universiteit moet van tevoren duidelijk uitleggen waarom het bewaren van die beelden nodig is en hoe lang de beelden moeten worden bewaard.

Beelden wissen

Bewaart jouw school of universiteit beelden waarop jij te zien bent, maar wil je dat niet? Dan kun je vragen om de beelden te wissen. Je onderwijsinstelling beslist vervolgens of de beelden gewist worden.

Sommige scholen en universiteiten kiezen voor software om online te surveilleren (online proctoring). Of je school of universiteit online proctoring mag inzetten, is niet eenvoudig met ja of nee te beantwoorden. Je school of universiteit moet in ieder geval aan strenge eisen voldoen. Want online proctoring heeft grote impact op jouw privacy.

Is proctoring noodzakelijk?

Ten eerste moet je school of universiteit afwegen of het noodzakelijk is om gebruik te maken van proctoring.

Zijn er minder ingrijpende manieren om te examineren waarbij de kans op fraude beperkt is? Dan mag je school of universiteit proctoring niet inzetten. Een alternatief kan zijn om leerlingen of studenten een werkstuk of essay te laten inleveren. Of een openboektentamen.

Blijkt proctoring inderdaad noodzakelijk? Dan moet je school of universiteit er in ieder geval voor zorgen dat de inbreuk op jouw privacy zo klein mogelijk is.

Meer informatie

Meer eisen waaraan jouw school of universiteit moet voldoen, staan in het document Aanbevelingen online proctoring onderwijs.

Heeft u een klacht over de verwerking van uw persoonsgegevens? Dan kunt u uw klacht indienen bij de AP.

De AP kijkt vervolgens of er sprake is van een grensoverschrijdende (internationale) verwerking. Zo ja, dan kan het zijn dat de AP niet de aangewezen toezichthouder is om uw klacht te behandelen. De AP geeft uw klacht dan door aan de Europese collega-toezichthouder die erover gaat. U hoeft hiervoor zelf niets te doen. De collega-toezichthouder behandelt uw klacht in nauw overleg met de AP en eventuele andere betrokken toezichthouders.

Informatie over behandeling klacht

Heeft u vragen? Dan kunt u altijd terecht bij de AP. Ook geeft de AP u informatie over de behandeling van uw klacht en laat de AP u weten wat de uiteindelijke uitkomst is van uw klacht.

Dit hoeft niet als de Autoriteit Persoonsgegevens (AP) de leidende toezichthouder van uw organisatie is. U hoeft uw functionaris gegevensbescherming (FG) dan alleen bij de AP te aan te melden.

Is uw enige vestiging of uw Europese hoofdvestiging in Nederland? Dan is de AP uw leidende toezichthouder. Bij de leidende toezichthouder moet u de contactgegevens van de FG bekendmaken.

Het aanmelden van uw FG bij betrokken toezichthouders in andere lidstaten mag, maar is niet verplicht. De AP raadt dit wel aan. Op die manier bevordert u het contact met betrokken toezichthouders. 

Weet u niet zeker welke toezichthouder de leidende toezichthouder is? Dan kunt u uw FG aanmelden bij de veronderstelde leidende toezichthouder en de betrokken toezichthouders.

Ja. Ook als verwerker met grensoverschrijdende activiteiten of meerdere vestigingen in de EU kunt u profiteren van het eenloketmechanisme.

De locatie waar uw centrale administratie plaatsvindt, wordt als de hoofdvestiging gezien. De toezichthouder in de EU-lidstaat waar uw hoofdvestiging staat, is in principe de leidende toezichthouder.

Ook voor verwerkers is het eenloketmechanisme het uitgangspunt. Dat betekent dat de leidende toezichthouder de enige privacytoezichthouder in de EU is waarmee u te maken krijgt.

Hoofdvestiging buiten EU

Staat uw hoofdvestiging niet in de EU? Dan is de leidende toezichthouder de privacytoezichthouder uit het land waar de vestiging staat waar de belangrijkste gegevensverwerkingen in de EU plaatsvinden.

Verwerkingsverantwoordelijke en verwerker

Bent u als verwerker bij een concrete zaak betrokken, maar is de verwerkingsverantwoordelijke dat ook? Dan geldt dat de leidende toezichthouder van de verwerkingsverantwoordelijke als enige de leidende toezichthouder is in die zaak.

De toezichthouder uit het land waar u als verwerker uw hoofdvestiging heeft, wordt dan een betrokken toezichthouder en werkt samen met de andere betrokken toezichthouders.

Nooit alleen verwerker

Let op: u bent eigenlijk nooit alleen maar een verwerker. Ook als u alleen als verwerker persoonsgegevens verwerkt voor anderen, bent u in ieder geval de verwerkingsverantwoordelijke voor de gegevens van uw eigen personeel.

Nee, in principe niet. Soms kan de AP toch besluiten het advies over uw verwerking openbaar te maken. Bijvoorbeeld als dit van grote waarde kan zijn voor andere organisaties. Als de AP van plan is het advies openbaar te maken, dan laat de AP u dat vooraf weten.

In de volgende gevallen kan de AP aanleiding zien om een handhavend onderzoek in te stellen of een boete te geven:
 

• wanneer u geen voorafgaande raadpleging aanvraagt terwijl dat wel verplicht is;
• wanneer u al met verwerken bent begonnen voor of tijdens de voorafgaande raadpleging;
• als na afloop van de voorafgaande raadpleging blijkt dat u gegevens verwerkt in strijd met het gegeven advies.

Nee, meestal hoeft dat niet. Voor wetgeving over verwerking van persoonsgegevens geldt sowieso de verplichting om de AP om een toets te vragen, of er nou sprake is van hoog risico of niet (artikel 36, vierde lid, AVG).

In deze wetgevingstoets kijkt de AP al naar de privacyaspecten van de voorgenomen verwerking. Een aparte voorafgaande raadpleging zou in de systematiek van de AVG dubbelop zijn.

Let op: Een wetgevingstoets van de AP gaat vooral over de wettekst zelf. Zijn er aspecten van de verwerking(en) die niet logischerwijs al aan de orde zijn in de wettekst of de toelichting? Dan maken die geen deel uit van de toets. 

In de uitvoering of de uitvoeringssystemen kunnen zich vraagstukken van feitelijke aard voordoen waar de (nationale) wetgeving niet over gaat. Bijvoorbeeld omdat de regelgeving er niet voor nodig is of een ander abstractieniveau kent. Of omdat het onderwerp in beginsel al volledig door de AVG wordt geregeld (zoals beveiliging van de verwerking in artikel 32 AVG). 

Leveren dergelijke onderwerpen een hoog risico op? Dan kunt u daarover wél een voorafgaande raadpleging aanvragen bij de AP. Heeft u een dergelijke voorafgaande raadpleging aangevraagd? Vermeld dit dan bij uw verzoek om een wetgevingstoets.