TrusTool

Menu
demo aanvragen
Opiniestuk door Dorianne Broekman: Vertrouwelijkheid en de AVG

Vertrouwelijkheid is dé kernwaarde van het werk van de vertrouwenspersoon. Vertrouwelijkheid staat niet los van de AVG. De AVG gaat over zorgvuldige verwerking van persoonsgegevens en ondersteunt ons vertrouwenswerk.

Je ontkomt er in ons werk niet aan om dossiers of overzichten bij te houden van door wie je bent benaderd, een zakelijke samenvatting van de inhoud van de gesprekken, eventuele besproken vervolgstappen, etc. Voor een goede behandeling van een contactverzoek door de medewerker is het nodig om dit veilig te registreren.

Ik hoor wel eens: als ik alles in een notitieblokje schrijf, dan is er geen sprake van een bestand van persoonsgegevens in de zin van de AVG. Maar dat is een misverstand. Indien alleen al de naam en contactgegevens van een persoon worden genoteerd is de AVG van toepassing. Een extern vertrouwenspersoon is dan verwerkersverantwoordelijke in de zin van de AVG.

AVG uitgangspunten
Aangezien de vertrouwenspersoon niet aan de toepasselijkheid van de AVG ontkomt, zijn de volgende uitgangspunten relevant:

  • Dataminimalisatie: leg niet meer gegevens vast dan noodzakelijk is voor het werk
  • Doelbinding: gegevens mogen alleen worden gebruikt voor het doel waarvoor ze zijn verkregen
  • Beveiliging: persoonsgegevens moeten goed worden beschermd
  • Transparantie: de medewerker moet weten wat er met zijn of haar gegevens gebeurt
  • Bijzondere persoonsgegevens: die mogen alleen worden verwerkt onder specifieke voorwaarden. Dit omvat o.a. ras, etnische afkomst, seksuele gerichtheid, gezondheidsgegevens, religie

 

Dossiervorming en verslaglegging
Bovenstaande uitgangspunten van de AVG betekenen voor het werk van de vertrouwenspersoon het volgende:

  • Leg alleen vast wat nodig is om een contactverzoek goed te kunnen behandelen en een melder goed te kunnen bijstaan, dus o.a. naam, contactgegevens, aard van de melding, zakelijke samenvattingen van gesprekken met de melder en informatie die relevant is voor de rapportage;
  • Leg geen bijzondere persoonsgegevens vast. Voor invulling van onze rol van vertrouwenspersoon is dat eigenlijk nooit nodig;
  • Beperk toegang tot dossiers tot de vertrouwenspersoon zelf. Een dossier van de vertrouwenspersoon is niet bedoeld voor HR of een manager. Zorg er ook voor dat een schrift met gegevens niet kan rondslingeren; en dat bijv. (externe) IT geen toegang heeft tot de bestanden;
  • Bewaar gegevens niet langer dan nodig. Volgens de richtlijn van de LVV geldt een termijn van 2 jaar;
  • Zorg voor een beveiligd dossier, bijv. buiten de organisatie waar persoonsgegevens encrypted worden opgeslagen, dat alleen toegankelijk is met MFA (multifactor authenticatie);
  • Zorg dat je kan voldoen aan de rechten van de melder t.o.v. zijn persoonsgegevens, zoals het recht van inzage, verwijdering of verbetering.

Protocol
In het kader van de transparantie en kenbaarheid is het goed om duidelijke afspraken en informatie te publiceren over het privacybeleid en de werkwijze van de vertrouwenspersoon. Dit kan gepubliceerd worden door bijv. een protocol vertrouwenspersoon op intranet te plaatsen of als hoofdstuk in het personeelshandboek.  

Voor de inhoud van een dergelijk protocol kan gedacht worden aan het volgende:

  • wat is de rol van de vertrouwenspersoon; wat kan verwacht worden van de vertrouwenspersoon;
  • hoe werkt de vertrouwenspersoon;
  • dat de vertrouwenspersoon voor het eigen (digitale) dossier persoonsgegevens vastlegt voorzover nodig (maar nooit bijzondere persoonsgegevens);
  • waar de vertrouwenspersoon dat dossier bijhoudt;
  • dat de medewerker rechten heeft op basis van de AVG zoals het recht van inzage;
  • dat de vertrouwenspersoon alleen met toestemming van de medewerker de kwestie ter behandeling aan een andere vertrouwenspersoon van die organisatie kan overdragen;
  • dat het dossier nooit toegankelijk is voor HR, een manager of anderen binnen de organisatie;
  • wat de bewaartermijn is;
  • dat er nooit naar de persoon herleidbare gegevens worden verstrekt aan de organisatie, ook niet in het kader van een rapportage, tenzij de medewerker daar expliciete toestemming voor geeft;
  • en andere op maat gemaakte afspraken.

Conclusie
De vertrouwenspersoon en de AVG versterken elkaar: beiden zijn gericht op bescherming van de medewerker. Door zorgvuldig om te gaan met persoonsgegevens, transparant te zijn en duidelijke afspraken te maken, kan de vertrouwenspersoon zijn of haar werk effectief en AVG-proof uitvoeren. Een goed privacybeleid is daarbij geen belemmering, maar juist een randvoorwaarde voor vertrouwen.

Dit opiniestuk is 29 januari 2026 verschenen in de nieuwsbrief van de Landelijke Vereniging van Vertrouwenspersonen.