De nieuwe privacywet die vanaf 25 mei in heel Europa wordt ingevoerd, treft ook rijschoolhouders. De Algemene Verordening Gegevensbescherming (AVG) geeft leerlingen en werknemers meer invloed over wat rijscholen met hun privacygevoelige informatie doen. RijschoolPro sprak met jurist Simone Diemel van Bovag over wat er precies verandert voor rijschoolhouders.
Rijschoolhouders krijgen te maken met heel wat persoonsgegevens, van medewerkers en van klanten. Ondernemers mogen voortaan alleen informatie verzamelen die nodig is om de les- of arbeidsovereenkomst goed uit te voeren. Wanneer rijscholen informatie gebruiken voor commerciële doeleinden, dan moeten zij hiervoor in bepaalde gevallen toestemming krijgen van de leerling.
In grote lijnen verandert er niet zo veel volgens jurist van Bovag. “Het bestaande leerlingenbestand moet al aan allerlei regels voldoen. Mochten rijschoolhouders toch twijfelen of de gegevens legitiem zijn, dan kunnen zij een opruimactie starten: ex-leerlingen verwijderen en bij huidige leerlingen alsnog het bestand op orde brengen.”
Meer duidelijkheid
Rijscholen moeten in veel gevallen toestemming vragen om persoonsgegevens op te slaan. Bij leerlingen gebeurt dit vaak aan het begin van de rijopleiding, wanneer zij een inschrijfformulier invullen. Bij het invullen van het formulier gaat de leerling akkoord met de voorwaarden die de rijschool stelt. Rijscholen zijn verplicht te vertellen welke gegevens ze met welk doel verzamelen. Daarnaast moeten ze duidelijk communiceren hoe ze de data gebruiken, hoe lang ze de gegevens bewaren en hoe ze de data beveiligen. Een rijschool moet aan kunnen tonen dat ze deze toestemming hebben verkregen. Toestemming hoeft echter niet te worden gegeven als het gaat om gegevens van betalende leerlingen die noodzakelijk zijn om de overeenkomst te kunnen uitvoeren. Diemel raadt rijschoolhouders aan hun ict-systemen en overeenkomsten opnieuw scherp te stellen.
Bovendien hebben leerlingen recht op inzage van hun persoonsgegevens. Dat houdt in dat ze op elk moment mogen vragen welke gegevens de rijschool van hen heeft opgeslagen. Cursisten hoeven geen reden te geven voor een inzageverzoek. Leerlingen mogen rijscholen verzoeken de gegevens te verwijderen. Dit verzoek kan op verschillende manieren worden ingediend, zoals bellen, mailen of per post. Een rijschool mag dit verzoek niet weigeren.
Leskaart
Naw-gegevens van de leerling zoals naam, geboortedatum en adres zijn noodzakelijk om te voldoen aan de lesovereenkomst. Rijscholen mogen deze gegevens dan ook opslaan, mits zijn aangeven voor welke doeleinden deze worden gebruikt. Een goed voorbeeld is de leskaart. De instructeur mag gegevens invullen die nodig zijn om te voldoen aan de lesvoorwaarden. Hierbij kan men denken aan hoeveel lessen iemand gehad heeft, hoeveel lessen er betaald zijn, en op welk tijdstip de volgende les plaats zal vinden.
Het Burgerservicenummer (BSN) is een zogeheten bijzonder persoonsgegeven dat in de eerste plaats bedoeld is voor het contact tussen burger en overheid. Voor het gebruik van bijzondere persoonsgegeven gelden strenge regels. Voor het reserveren van een examen heeft een rijschool geen BSN nodig. Voor een aanvraag is in elk geval een volledige naam (voor- en achternaam volgens paspoort) en geboortedatum nodig. Diemel adviseert dan ook om het BSN niet meer op te slaan.
Commerciële doeleinden
Noodzakelijke persoonsgegevens van bestaande leerlingen mogen voor marketingdoeleinden worden gebruikt indien deze doeleinden verband houden met rijlessen, zo stelt Diemel. Denk aan het versturen van mailings. Als de doeleinden geen verband houden met rijlessen of de rijschool andere, geen noodzakelijke, informatie aan de leerling vraagt en deze gebruikt voor marketingdoeleinden dan dient de leerling hier toestemming voor te geven. Rijscholen moeten deze doeleinden expliciet vermelden. De leerling moet wel altijd de mogelijkheid krijgen om van de mailings af te zien.
Informatie doorgeven aan derden mag alleen als de leerling daar toestemming voor geeft, of als het noodzakelijk is voor de uitvoering van de lesovereenkomst. Een voorbeeld hiervan is een leerling die overstapt naar een andere rijschool. Ook zijn er partijen binnen de rijschoolbranche die informatie over leerlingen doorverkopen aan derden. Dit mag nog steeds, mits het noodzakelijk is voor de uitvoering van de lesovereenkomst. Heeft het geen betrekking op de uitvoering van de lesovereenkomst, dan moet de leerling expliciet toestemming geven.
Gezondheid is privacygevoelig
Een rijschool mag aan de leerling vragen of hij of zij in staat is om fysiek en mentaal een auto te besturen, en kan de leerling hiervoor laten tekenen. De rijschool hoeft hierbij niet specifiek in te gaan op de gezondheid van de leerling, zo stelt de jurist van Bovag. “Deze informatie is nodig om te voldoen aan de lesvoorwaarden, maar is te gevoelig om specifiek op in te gaan.”
De instructeur is uiteindelijk de feitelijke bestuurder, maar vragen naar de gezondheid van een leerling blijft een grijs gebied. Enerzijds is de gezondheid privacygevoelig, en anderzijds moet de rijinstructeur de leerling informeren en weten of ze samen veilig aan het verkeer kunnen deelnemen. Daarnaast komt het het wel eens voor dat een leerling niet rijgeschikt is, terwijl er wel al veel geld in de opleiding is gestoken. Het blijft daarom belangrijk dat een leerling aan het begin van de opleiding het medisch traject doorloopt.
Leerlingen moeten de gezondheidsverklaring tegenwoordig zelf invullen. Het CBR heeft dit gedaan met oog op de nieuwe privacywetgeving. “Medische gegevens zijn gevoelig, en alleen de leerling en het CBR mogen deze inzien”, liet CBR-directeur Petra Delsing eerder weten.
Lange termijn
De nieuwe wetgeving stelt dat gegevens ‘niet langer dan noodzakelijk’ bewaard mogen worden. Wanneer de leerling slaagt, en er bestaat geen noodzaak meer om de gegevens te bewaren, dan moet de rijschool deze verwijderen. Voor de Belastingdienst dienen bepaalde zaken zeven jaar te worden bewaard. “Een praktische oplossing voor dit probleem is om de persoonsgegevens enkel in een mapje ‘Belastingdienst’ te bewaren, en uit overige systemen te verwijderen”, is het advies van Diemel.
Er zijn ook rijscholen die zelf bijhouden welke leerlingen zij hebben opgeleid. Sommige rijinstructeurs monitoren hun eigen slagingspercentage, en ook die van de examinators. Diemel stelt dat dit soort specifieke bestanden als onrechtmatig kunnen worden beoordeeld. Hoewel de jurist begrijpt dat sommige ondernemers dit bijhouden, benadrukt zij dat de hiervoorgenoemde zich op een hellend vlak begeven. Rijinstructeurs hebben geen contractuele relatie met de examinator, en -hoogstwaarschijnlijk- geen toestemming van het CBR en examinator om dit te doen.
Daarnaast stelt de wet dat de gegevens goed beveiligd moeten zijn. Rijscholen moeten dan ook passende technische en organisatorische maatregelen nemen om hun persoonsgegevens te beveiligen. De wet geeft niet specifiek aan hoe dit moet, maar om datalekken te voorkomen zullen rijscholen ervoor moeten zorgen dat de gegevens goed beveiligd zijn.
Social media
Een rijschool mag een geslaagde leerling alleen op social media zetten als de leerling daarvoor expliciet toestemming heeft gegeven. Het gaat in dit soort gevallen vaak om een foto en dat is een bijzonder persoonsgegeven waarvoor een hoge mate van bescherming geldt.
“Bij kinderen onder de 16 jaar heeft de rijschool ook toestemming van de ouders nodig”, vertelt Diemel. “De rijschool moet dit ook aan kunnen tonen, zodat het controleerbaar is.”
Personeelsdossier
Het bijhouden van personeelsgegevens is vergelijkbaar met het bijhouden van de gegevens van de leerlingen. Bedrijven mogen alleen gegevens opslaan om de arbeidsovereenkomst uit te voeren. Een BSN, salarisgegevens, een rekeningnummer, pensioengegevens, en kopieën van de salarisstroken zijn nodig voor het personeelsdossier. Rijschoolhouders mogen geen gevoelige gegevens opslaan zoals godsdienst, seksuele voorkeur, politieke gezindheid en strafrechtelijke gegevens.
Wanneer een rijinstructeur of ander personeelslid ziek wordt, dan gelden er specifieke regels over wat er wel en niet vastgelegd mag worden. Zo mag de rijschoolhouder niet registreren wat de medewerker heeft.
Aanvullende informatie over de nieuwe privacywetgeving is onder meer te vinden op de site van Bovag.
Bron: Rijschoolpro.nl