hallo@werkkracht10.be

Home   |   Apps & Tools   |   Faq   |   Updates, links & cases   |   Meer info

Blended Hulpverlening
FAQ

Deze FAQ bundelt de meest voorkomende vragen die medewerkers in het maatschappelijk werk aan mij stellen over de AVG/GDPR. De antwoorden zijn juridisch onderbouwd maar bewust kort gehouden voor dagelijks gebruik. Bij complexe of specifieke situaties raadpleegt u altijd uw DPO of juridisch adviseur. De AVG is geen obstakel voor goede hulpverlening — ze beschermt de waardigheid van uw cliënten.

Mag je zomaar foto's of filmopnames gebruiken in een publicatie of op het internet? 

Voor duidelijk herkenbare personen vraag je steeds twee aparte toestemmingen:

  • toestemming om de foto of filmopname te maken;
  • én toestemming om het beeldmateriaal te gebruiken of te publiceren (bv. op een website, sociale media, nieuwsbrief of brochure).

Toestemming om een foto te nemen betekent dus niet automatisch dat die foto ook gepubliceerd mag worden.

Als mensen niet duidelijk herkenbaar in beeld komen, is er in principe geen toestemming vereist. Bij twijfel speel je best op zeker en vraag je vooraf toestemming.

Iedereen kan bovendien vragen om een gepubliceerde foto te verwijderen. Vooral bij gedrukte media kan dit moeilijkheden geven. Daarom is het belangrijk om vooraf duidelijke afspraken te maken over het gebruik van beeldmateriaal.

Om de herkenbaarheid en het risico op hergebruik of tagging te beperken, kan je ook de resolutie van beeldmateriaal verlagen of andere technische maatregelen nemen. 

Mag ik WhatsApp of persoonlijke e-mail gebruiken voor cliëntcommunicatie?

  • WhatsApp (Meta): de metadata van berichten worden verwerkt door Meta voor commerciële doeleinden — er is geen geldige verwerkersovereenkomst beschikbaar die voldoet aan AVG art. 28.
    Gebruik WhatsApp is bijgevolg niet toegestaan voor cliëntgegevens.
  • Persoonlijke e-mail (bijv. Gmail, Hotmail): geen controle over beveiliging, geen verwerkersovereenkomst, geen garantie van versleuteling. Eveneens niet toegestaan.
  • Per lokaal bestuur kunnen verschillende interne afspraken bestaan. Zo kan WhatsApp soms wel gebruikt worden om een afspraak vast te leggen zonder dat hierbij gegevens worden gedeeld. 
    Wees er wel attent voor dat tijdens je afwezigheid niemand je WhatsApp communicatie kan opvolgen.

Uw organisatie is verwerkingsverantwoordelijke — gebruik van privétools is een datalek-risico en maakt de organisatie aansprakelijk.

Mag ik gevoelige en/of persoonlijke informatie per email versturen?

Ja, het is mogelijk om per e-mail bestanden met gevoelige gegevens te versturen, maar dit moet steeds met de nodige waarborgen gebeuren.

Dubbelcheck zeker of je wel de juiste ontvanger hebt ingevuld.

Wanneer de inhoud van de bijlage gevoelige of vertrouwelijke persoonsgegevens bevat, geldt het principe dat deze gegevens voldoende beveiligd moeten worden bij overdracht. Een gewone e-mailbijlage op zich is hiervoor niet voldoende veilig, tenzij bijkomende beschermingsmaatregelen worden toegepast.

Concreet advies:

  • Verstuur bij voorkeur geen gevoelige gegevens als onbeveiligde bijlage via e-mail.
  • Gebruik bij voorkeur een beveiligd bestanddelingsplatform met end-to-end encryptie.
  • Indien e-mail toch noodzakelijk is, moet de bijlage steeds versleuteld en met een sterk wachtwoord beveiligd worden. Het wachtwoord wordt nooit in dezelfde e-mail meegestuurd, maar via een ander communicatiekanaal (bv. telefonisch of sms).

Aanbevolen tools:

Daarnaast kan ook Secudoc gebruikt worden, maar enkel via een professioneel beheerd account. Het gebruik van persoonlijke gratis accounts wordt afgeraden, omdat de controle en beveiligingsgaranties dan niet voldoende kunnen worden gegarandeerd.

Belangrijke principes:

  • Gebruik geen WeTransfer, aangezien dit niet voldoet aan de gewenste beveiligingsstandaarden binnen de verwerking van gevoelige persoonsgegevens.
  • Vermijd het gebruik van persoonlijke of niet-beheerde accounts voor het versturen van vertrouwelijke informatie.
  • Kies steeds voor oplossingen die end-to-end versleuteling bieden.
  • Activeer waar mogelijk extra beveiliging zoals:
    • wachtwoord op bestanden
    • melding bij openen van bestanden (leesbevestiging)

Voor een overzicht van mogelijke Europese alternatieven kan ook volgende bron geraadpleegd worden:
https://european-alternatives.eu/

Mag ik gegevens van een cliënt delen met andere hulpverleners of organisaties?

Enkel als er een duidelijke juridische grondslag bestaat voor de doorgifte én als het beroepsgeheim gerespecteerd wordt.

Gegevensdeling mag dus niet gebeuren omdat het "handig" of "nuttig" lijkt. Er moet altijd een concrete rechtsgrond zijn, zoals:

  • een wettelijke verplichting;
  • een taak van algemeen belang;
  • of de expliciete toestemming van de cliënt.

Binnen eenzelfde zorg- of begeleidingstraject kunnen gegevens soms gedeeld worden wanneer dit noodzakelijk is voor de uitvoering van de opdracht én wanneer hiervoor een geldige rechtsgrond bestaat (art. 6.1.c of 6.1.e AVG). De cliënt moet hierover correct geïnformeerd worden.

Buiten het zorg- of begeleidingstraject is gegevensdeling in principe verboden zonder expliciete toestemming of specifieke wettelijke basis (bv. meldplicht of toepassing van art. 458bis Sw. BE).

Pas steeds het principe van dataminimalisatie toe (art. 5.1.c AVG): deel nooit meer gegevens dan strikt noodzakelijk — 'need to know', niet 'nice to know'.

Wat doe ik bij een datalek?
(bijv. verkeerde ontvanger, verloren dossier, hack)

  • Stap 1 — Intern melden: meld het lek onmiddellijk aan uw DPO of leidinggevende.
  • Stap 2 — Beoordeling: de DPO beoordeelt of het lek een risico inhoudt voor betrokkenen.
  • Stap 3 — Toezichthouder: bij risico voor betrokkenen moet u het lek binnen 72 uur melden bij de toezichthouder (GBA in België / AP in Nederland) — ook als het onderzoek nog loopt.
  • Stap 4 — Betrokkenen informeren: bij hoog risico (bijv. misbruik van gevoelige gezondheids- of financiële gegevens) moet u de betrokken cliënten persoonlijk informeren.
  • Documenteer ALLE lekken intern, ook de lekken die u niet hoeft te melden — dit is verplicht (art. 33.5 AVG).

Voorbeelden van lekken: e-mail met persoonlijke informatie naar verkeerde ontvanger versturen , verloren USB-stick, mondeling bespreken van cliënt in openbare ruimte (vb trein).

Een cliënt vraagt inzage in zijn/haar dossier. Wat doe ik?

  • De cliënt heeft recht op inzage (art. 15 AVG): een gratis kopie van alle persoonsgegevens die u over hem verwerkt.
  • Termijn: u heeft 1 maand om te reageren, verlengbaar met 2 maanden bij complexe of omvangrijke verzoeken (meld dit dan binnen de eerste maand).
  • Uitzonderingen zijn beperkt: u mag toegang weigeren of beperken als derden (bijv. andere cliënten, hulpverleners) hierdoor schade zouden lijden — maar motiveer dit schriftelijk.
  • Aantekeningen van derden of persoonlijke werkaantekeningen (niet bedoeld als officieel dossier) kunnen worden uitgesloten — dit is sectorspecifiek en vraagt juridische toetsing.
  • Log alle inzageverzoeken en uw reactie in het dossier.

In deze gevallen kan altijd contact opgenomen worden met de DPO van jouw lokaal bestuur. 

Hoe lang mag ik cliëntgegevens bewaren?

  • Er is geen universele bewaartermijn — dit hangt af van de wettelijke kaders per sector.
  • Indicatieve termijnen: welzijnsdossiers doorgaans 10-30 jaar na afsluiting dossier (sectorspecifiek vastgelegd); financiële documenten 7 jaar (boekhoudwet); personeelsdossiers 5-30 jaar afhankelijk van het document.
  • Na de bewaartermijn: gegevens moeten worden vernietigd of geanonimiseerd (art. 5.1.e AVG — 'opslagbeperking').
  • Elk lokaal bestuur beschikt in principe over een retentiebeleid: een document dat per gegevenstype de bewaartermijn, de grondslag én de vernietigingsprocedure beschrijft.
  • Anonimisering is alleen geldig als re-identificatie werkelijk onmogelijk is — pseudonimisering is geen anonimisering

Hoe ga ik om met gegevens van minderjarigen of wettelijk onbekwame cliënten?

Bij minderjarigen en wettelijk onbekwame personen is extra voorzichtigheid nodig bij de verwerking van persoonsgegevens.

In België geldt dat kinderen vanaf 13 jaar in principe zelf toestemming kunnen geven voor de verwerking van persoonsgegevens in het kader van een rechtstreeks aanbod van diensten van de informatiemaatschappij (art. 7 Kaderwet Gegevensbescherming).

Voor kinderen jonger dan 13 jaar is in dat geval toestemming van de ouder of wettelijke vertegenwoordiger vereist.

In de specifieke context van preventieve of adviesdiensten die rechtstreeks aan een minderjarige worden aangeboden, is toestemming van de persoon die de ouderlijke verantwoordelijkheid draagt echter niet noodzakelijk.

Ook wanneer een wettelijke vertegenwoordiger optreedt, blijft het belangrijk om de minderjarige of wettelijk onbekwame persoon zoveel mogelijk te betrekken bij beslissingen, rekening houdend met maturiteit en begripsvermogen.

Gegevens van minderjarigen vragen bovendien extra aandacht op vlak van beveiliging, vertrouwelijkheid en toegangsbeperking.