Blended Hulpverlening
FAQ

Voorzichtigheid is de boodschap.

Voor duidelijk herkenbare portretten vraag je steeds toestemming om een beeldopname te mogen maken en om die dan ook te mogen gebruiken in één of andere publicatie. Als mensen niet duidelijk geportretteerd in beeld komen, is er in principe geen toestemming vereist. Bij twijfel kun je uiteraard best op zeker spelen door toestemming te vragen.

Iedereen kan steeds vragen om een gepubliceerde foto te verwijderen. Vooral bij gedrukte media kan dit een probleem vormen. Daarom, bij twijfel, vraag steeds vooraf toestemming aan de geportretteerden: informatie (of beeldmateriaal) dat je niet hebt, behoeft geen zorg of beveiliging.

En nog dit: om de herkenbaarheid, mogelijk hergebruik van beeldmateriaal van individuen te verminderen en tagging te vermijden, kan je de resolutie van het beeldmateriaal verlagen. Daarvoor bestaan handige hulpmiddelen. 

• WhatsApp (Meta): de metadata van berichten worden verwerkt door Meta voor commerciële doeleinden — er is geen geldige verwerkersovereenkomst beschikbaar die voldoet aan AVG art. 28.
  Gebruik WhatsApp is bijgevolg niet toegestaan voor cliëntgegevens.
• Persoonlijke e-mail (bijv. Gmail, Hotmail): geen controle over beveiliging, geen verwerkersovereenkomst, geen garantie van versleuteling. Eveneens niet toegestaan.
• Per lokaal bestuur kunnen verschillende interne afspraken bestaan. Zo kan WhatsApp soms wel gebruikt worden om een afspraak vast te leggen zonder dat hierbij gegevens worden gedeeld. 
  Wees er wel attent voor dat tijdens je afwezigheid niemand je WhatsApp communicatie kan opvolgen.

Uw organisatie is verwerkingsverantwoordelijke — gebruik van privétools is een datalek-risico en maakt de organisatie aansprakelijk.

Ja, het is mogelijk om per e-mail bestanden met gevoelige gegevens te versturen, maar dit moet steeds met de nodige waarborgen gebeuren.

Dubbelcheck zeker of je wel de juiste ontvanger hebt ingevuld.

Wanneer de inhoud van de bijlage gevoelige of vertrouwelijke persoonsgegevens bevat, geldt het principe dat deze gegevens voldoende beveiligd moeten worden bij overdracht. Een gewone e-mailbijlage op zich is hiervoor niet voldoende veilig, tenzij bijkomende beschermingsmaatregelen worden toegepast.

Concreet advies:

• Verstuur bij voorkeur geen gevoelige gegevens als onbeveiligde bijlage via e-mail.
• Indien e-mail toch noodzakelijk is, moet de bijlage steeds versleuteld en met een sterk wachtwoord beveiligd worden. Het wachtwoord wordt nooit in dezelfde e-mail meegestuurd, maar via een ander communicatiekanaal (bv. telefonisch of sms).
• Gebruik bij voorkeur een beveiligd bestanddeelingsplatform met end-to-end encryptie.

Aanbevolen tools:

• ✔️ SwissTransfer (Zwitserse server, end-to-end encryptie, mogelijkheid tot wachtwoordbeveiliging, geen account vereist)
  https://www.swisstransfer.com/nl
• ✔️ Tresorit Send (sterke beveiliging en end-to-end encryptie)
  https://send.tresorit.com/
  
• ✔️ Smash (Europese oplossing met encryptie)
  https://fromsmash.com/

Daarnaast kan ook Secudoc gebruikt worden, maar enkel via een professioneel beheerd account. Het gebruik van persoonlijke gratis accounts wordt afgeraden, omdat de controle en beveiligingsgaranties dan niet voldoende kunnen worden gegarandeerd.

Belangrijke principes:

• Gebruik geen WeTransfer, aangezien dit niet voldoet aan de gewenste beveiligingsstandaarden binnen de verwerking van gevoelige persoonsgegevens.
• Vermijd het gebruik van persoonlijke of niet-beheerde accounts voor het versturen van vertrouwelijke informatie.
• Kies steeds voor oplossingen die end-to-end versleuteling bieden.
• Activeer waar mogelijk extra beveiliging zoals:
  • wachtwoord op bestanden
  • melding bij openen van bestanden (leesbevestiging)

Voor een overzicht van mogelijke Europese alternatieven kan ook volgende bron geraadpleegd worden:
https://european-alternatives.eu/

• Enkel als er een geldige juridische grondslag bestaat voor de doorgifte én als het beroepsgeheim niet geschonden wordt.
• Partners binnen eenzelfde zorgtraject: gegevens mogen worden gedeeld op basis van noodzakelijkheid (art. 6.1.c/e AVG) mits de cliënt hierover geïnformeerd is.
• Buiten het zorgtraject: in principe verboden zonder expliciete toestemming of wettelijke verplichting (bijv. meldcode kindermishandeling, art. 458bis Sw. BE).
• Dataminimalisatie (art. 5.1.c AVG): deel nooit meer dan strikt noodzakelijk — 'need to know', niet 'nice to know'.

• Stap 1 — Intern melden: meld het lek onmiddellijk aan uw DPO of leidinggevende.
• Stap 2 — Beoordeling: de DPO beoordeelt of het lek een risico inhoudt voor betrokkenen.
• Stap 3 — Toezichthouder: bij risico voor betrokkenen moet u het lek binnen 72 uur melden bij de toezichthouder (GBA in België / AP in Nederland) — ook als het onderzoek nog loopt.
• Stap 4 — Betrokkenen informeren: bij hoog risico (bijv. misbruik van gevoelige gezondheids- of financiële gegevens) moet u de betrokken cliënten persoonlijk informeren.
• Documenteer ALLE lekken intern, ook de lekken die u niet hoeft te melden — dit is verplicht (art. 33.5 AVG).

Voorbeelden van lekken: e-mail met persoonlijke informatie naar verkeerde ontvanger versturen , verloren USB-stick, mondeling bespreken van cliënt in openbare ruimte (vb trein).

• De cliënt heeft recht op inzage (art. 15 AVG): een gratis kopie van alle persoonsgegevens die u over hem verwerkt.
• Termijn: u heeft 1 maand om te reageren, verlengbaar met 2 maanden bij complexe of omvangrijke verzoeken (meld dit dan binnen de eerste maand).
• Uitzonderingen zijn beperkt: u mag toegang weigeren of beperken als derden (bijv. andere cliënten, hulpverleners) hierdoor schade zouden lijden — maar motiveer dit schriftelijk.
• Aantekeningen van derden of persoonlijke werkaantekeningen (niet bedoeld als officieel dossier) kunnen worden uitgesloten — dit is sectorspecifiek en vraagt juridische toetsing.
• Log alle inzageverzoeken en uw reactie in het dossier.

• Er is geen universele bewaartermijn — dit hangt af van de wettelijke kaders per sector.
• Indicatieve termijnen: welzijnsdossiers doorgaans 10-30 jaar na afsluiting dossier (sectorspecifiek vastgelegd); financiële documenten 7 jaar (boekhoudwet); personeelsdossiers 5-30 jaar afhankelijk van het document.
• Na de bewaartermijn: gegevens moeten worden vernietigd of geanonimiseerd (art. 5.1.e AVG — 'opslagbeperking').
• Elk lokaal bestuur beschikt in principe over een retentiebeleid: een document dat per gegevenstype de bewaartermijn, de grondslag én de vernietigingsprocedure beschrijft.
• Anonimisering is alleen geldig als re-identificatie werkelijk onmogelijk is — pseudonimisering is geen anonimisering

• Minderjarigen (onder 16 jaar) kunnen in principe geen rechtsgeldige toestemming geven voor gegevensverwerking — toestemming van ouder/voogd is vereist (art. 8 AVG).
• Boven 16 jaar (in België): jongere kan zelf toestemming geven, maar beoordeel of er sprake is van voldoende inzicht.
• Bij wettelijk onbekwame volwassenen: de wettelijke vertegenwoordiger treedt op, maar de betrokkene wordt zoveel mogelijk betrokken (proportionaliteitsbeginsel).
• Gegevens van minderjarigen in dossiers: extra beveiligingsmaatregelen en strikte toegangsbeperking.