Bij het registreren van incidenten verwerk je vrijwel altijd persoonsgegevens: namen van betrokkenen, beschrijvingen van wat er gebeurd is, soms zelfs gevoelige informatie over gezondheid of gedrag. De Algemene Verordening Gegevensbescherming (AVG) stelt strenge eisen aan deze verwerkingen. In dit artikel lees je hoe je incidentregistratie AVG-compliant inricht.
Inhoud
Wat zegt de AVG over incidentregistratie?
De AVG (Algemene Verordening Gegevensbescherming) is de Europese privacywet die sinds 25 mei 2018 van kracht is. De wet is in Nederland uitgewerkt in de Uitvoeringswet AVG (UAVG). De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving.
Kernprincipes van de AVG
Bij het verwerken van persoonsgegevens, inclusief incidentregistratie, moet je voldoen aan deze kernprincipes:
- Rechtmatigheid - je hebt een geldige grondslag voor de verwerking
- Doelbinding - je verzamelt gegevens voor een specifiek, gerechtvaardigd doel
- Dataminimalisatie - je verwerkt alleen gegevens die noodzakelijk zijn
- Juistheid - je zorgt dat gegevens correct en actueel zijn
- Opslagbeperking - je bewaart gegevens niet langer dan nodig
- Integriteit en vertrouwelijkheid - je beveiligt gegevens adequaat
- Verantwoordingsplicht - je kunt aantonen dat je voldoet aan de AVG
Bijzondere categorieen persoonsgegevens
De AVG kent extra bescherming toe aan bijzondere categorieen persoonsgegevens. Bij incidentregistratie kom je deze regelmatig tegen:
- Gezondheidsgegevens - bij ongevallen of ziekteverzuim
- Gegevens over seksueel gedrag - bij meldingen van seksuele intimidatie
- Gegevens over ras of etnische afkomst - bij discriminatiemeldingen
Voor deze bijzondere categorieen gelden strengere regels (artikel 9 AVG). Je mag ze alleen verwerken als je naast een grondslag ook een specifieke uitzondering hebt. Let op: strafrechtelijke gegevens vallen onder een apart regime (artikel 10 AVG) en mogen in Nederland alleen worden verwerkt onder toezicht van de overheid of als de wet dit toestaat.
Let op: strafrechtelijke gegevens
Gegevens over strafrechtelijke veroordelingen en strafbare feiten mogen in Nederland alleen worden verwerkt onder toezicht van de overheid, of als de verwerking is toegestaan bij wet. Bij incidentregistratie betekent dit dat je voorzichtig moet zijn met het registreren van vermeende strafbare feiten.
Welke persoonsgegevens verwerk je bij incidenten?
Bij incidentregistratie verwerk je verschillende typen persoonsgegevens. Het is belangrijk om dit in kaart te brengen voor je verwerkingsregister.
Directe persoonsgegevens
Deze gegevens identificeren direct een persoon:
- Naam van melder, betrokkene(n) en getuigen
- Contactgegevens zoals e-mailadres en telefoonnummer
- Functie en afdeling binnen de organisatie
- Personeelsnummer of ander identificatienummer
Indirecte persoonsgegevens
Deze gegevens kunnen in combinatie leiden tot identificatie:
- Datum, tijd en locatie van het incident
- Beschrijving van wat er is gebeurd
- Rol van betrokkenen (melder, veroorzaker, getuige)
- Relaties tussen betrokkenen
Gevoelige gegevens
Afhankelijk van het type incident kunnen dit zijn:
- Medische informatie bij letsel of ziekte
- Psychische gesteldheid bij intimidatie of pesten
- Discriminatiegronden bij ongelijke behandeling
- Financiele gegevens bij fraude of diefstal
De 6 grondslagen van de AVG
Om persoonsgegevens te mogen verwerken, heb je een geldige grondslag nodig. De AVG kent zes grondslagen. Voor incidentregistratie zijn vooral deze drie relevant:
1. Wettelijke verplichting
De sterkste grondslag is een wettelijke verplichting. Verschillende wetten verplichten tot incidentregistratie:
- Arbeidsomstandighedenwet - verplicht werkgevers om arbeidsongevallen te registreren en ernstige ongevallen te melden bij de Arbeidsinspectie
- Wet kwaliteit, klachten en geschillen zorg (Wkkgz) - verplicht zorgaanbieders om incidenten te melden
- Wet bescherming klokkenluiders - verplicht organisaties om een meldprocedure te hebben
- Sectorspecifieke wetgeving - zoals de Wet kinderopvang (meldplicht bij de GGD voor bepaalde incidenten)
2. Gerechtvaardigd belang
Als er geen wettelijke verplichting is, kun je vaak terugvallen op gerechtvaardigd belang. Hiervoor moet je een belangenafweging maken:
- Je belang - het waarborgen van een veilige omgeving, bescherming van eigendommen, voorkomen van schade
- Belang betrokkene - privacy, reputatie, recht op een eerlijke behandeling
- Afweging - weegt jouw belang zwaarder? Zijn er minder ingrijpende alternatieven?
Documenteer deze belangenafweging altijd schriftelijk.
3. Toestemming
Toestemming is meestal niet geschikt voor incidentregistratie, omdat:
- Toestemming moet vrijwillig zijn (lastig in werkrelaties)
- Toestemming kan worden ingetrokken
- Je het incident dan mogelijk moet verwijderen
Gebruik toestemming alleen voor aanvullende verwerkingen, zoals het delen van een melding met externe partijen.
Overzicht grondslagen per situatie
| Type incident | Grondslag | Toelichting |
|---|---|---|
| Arbeidsongeval | Wettelijke verplichting | Arbowet verplicht registratie |
| Bijna-ongeval | Gerechtvaardigd belang | Preventie van toekomstige ongevallen |
| Ongewenst gedrag | Gerechtvaardigd belang | Zorgplicht werkgever (Arbowet PSA) |
| Klokkenluidermelding | Wettelijke verplichting | Wet bescherming klokkenluiders |
| Zorgincident | Wettelijke verplichting | Wkkgz verplicht registratie |
Bewaartermijnen voor incidentgegevens
De AVG schrijft voor dat je persoonsgegevens niet langer bewaart dan noodzakelijk voor het doel. Er is geen universele bewaartermijn voor incidentgegevens. De juiste termijn hangt af van het type incident en de wettelijke context.
Richtlijnen per type
- Arbeidsongevallen - minimaal 20 jaar na het voorval (verjaringstermijn letselschade)
- Zorgincidenten - 20 jaar (gelijk aan bewaartermijn medisch dossier op grond van de WGBO)
- Klokkenluidersmeldingen - 2 jaar na afhandeling (Wet bescherming klokkenluiders)
- Algemene incidenten - 2-5 jaar na afhandeling (afhankelijk van verjaringstermijnen)
- Disciplinaire maatregelen - 2 jaar na beeindiging dienstverband
Praktische tips
- Documenteer je bewaartermijnen in je privacybeleid
- Maak onderscheid tussen actieve en archiefdossiers
- Zet een reminder voor het vernietigen van oude dossiers
- Houd rekening met lopende procedures of claims
- Anonimiseer gegevens als het doel dat toelaat
Tip: automatisch verwijderen
Een goed incidentregistratiesysteem ondersteunt automatische verwijdering na afloop van de bewaartermijn. Dit voorkomt dat je handmatig moet bijhouden welke dossiers verwijderd moeten worden en vermindert het risico op AVG-overtredingen.
Rechten van betrokkenen
De AVG geeft betrokkenen diverse rechten met betrekking tot hun persoonsgegevens. Bij incidentregistratie moet je hiermee rekening houden.
Recht op informatie
Je moet betrokkenen informeren over de verwerking van hun gegevens. Dit doe je via:
- Een algemene privacyverklaring op je website
- Specifieke informatie bij het meldformulier
- Informatie aan beschuldigden wanneer je hen benadert
Recht op inzage
Betrokkenen mogen vragen welke gegevens je over hen hebt. Let bij incidentdossiers op:
- Scherm gegevens van derden af (andere betrokkenen, getuigen)
- Je mag inzage beperken als dit rechten van anderen schaadt
- Reageer binnen een maand op verzoeken
Recht op rectificatie
Als gegevens feitelijk onjuist zijn, moet je deze corrigeren. Let op:
- Feitelijke onjuistheden moet je corrigeren (verkeerde datum, locatie)
- Subjectieve beschrijvingen (wat iemand heeft ervaren) hoef je niet te wijzigen
- Documenteer wijzigingen in het dossier
Recht op verwijdering
Het recht op verwijdering is niet absoluut. Je mag verwijdering weigeren als:
- Je een wettelijke verplichting hebt om gegevens te bewaren
- De gegevens nodig zijn voor de instelling, uitoefening of onderbouwing van een rechtsvordering
Recht op beperking
Betrokkenen kunnen vragen om de verwerking tijdelijk te beperken, bijvoorbeeld tijdens een geschil over de juistheid van gegevens. Je mag de gegevens dan alleen nog opslaan, niet meer gebruiken.
Checklist: AVG-compliant incidentregistratie
Gebruik deze checklist om je incidentregistratie AVG-compliant in te richten:
- 1 Breng je verwerkingen in kaart
Welke persoonsgegevens registreer je bij incidenten? Neem dit op in je verwerkingsregister.
- 2 Bepaal de grondslag per type incident
Wettelijke verplichting of gerechtvaardigd belang? Documenteer je keuze en onderbouwing.
- 3 Pas dataminimalisatie toe
Registreer alleen gegevens die noodzakelijk zijn. Vraag niet naar informatie die je niet nodig hebt.
- 4 Stel bewaartermijnen vast
Documenteer per type incident hoe lang je gegevens bewaart. Richt automatische verwijdering in.
- 5 Informeer betrokkenen
Zorg voor een duidelijke privacyverklaring. Informeer melders en beschuldigden over de verwerking.
- 6 Beveilig de gegevens
Beperk toegang tot geautoriseerde personen. Gebruik encryptie en sterke wachtwoorden.
- 7 Richt procedures in voor rechten van betrokkenen
Wie handelt inzageverzoeken af? Hoe ga je om met verwijderverzoeken?
Veelgestelde vragen
Mag ik persoonsgegevens van betrokkenen bij een incident registreren?
Ja, mits je een geldige grondslag hebt onder de AVG. Voor incidentregistratie is dit meestal het gerechtvaardigd belang van de organisatie om een veilige omgeving te waarborgen, of een wettelijke verplichting (zoals de Arbowet). Je moet wel alleen gegevens registreren die noodzakelijk zijn voor het doel.
Hoe lang mag ik incidentgegevens bewaren?
Er is geen vaste wettelijke termijn voor alle incidentgegevens. De vuistregel is: niet langer dan noodzakelijk voor het doel. Voor arbeidsongevallen met letselschade geldt een verjaringstermijn van 20 jaar. Documenteer altijd je bewaartermijnen in je privacybeleid.
Moet ik betrokkenen informeren dat ik hun gegevens registreer?
Ja, de AVG verplicht je om betrokkenen te informeren over de verwerking van hun persoonsgegevens. Dit moet bij voorkeur vooraf gebeuren via een privacyverklaring. Bij anonieme meldingen informeer je de melder over hoe je omgaat met gegevens, maar niet altijd de beschuldigde (dit kan onderzoek belemmeren).
Wat als iemand inzage vraagt in incidentgegevens over zichzelf?
Betrokkenen hebben recht op inzage in hun persoonsgegevens. Je moet binnen een maand reageren. Let op: bij inzage mag je geen gegevens van anderen delen. Scherm namen en identificeerbare informatie van derden af. In uitzonderlijke gevallen mag je inzage weigeren, bijvoorbeeld als dit de rechten van anderen ernstig schaadt.
Moet ik een datalek melden als incidentgegevens uitlekken?
Ja, een datalek met incidentgegevens moet je in principe melden bij de Autoriteit Persoonsgegevens (AP) binnen 72 uur. Incidentgegevens bevatten vaak gevoelige informatie, wat de risicos vergroot. Informeer ook de betrokkenen als het lek waarschijnlijk een hoog risico voor hen oplevert. Documenteer elk datalek in je datalekregister.
Aan de slag met AVG-compliant registreren
AVG-compliance bij incidentregistratie vraagt om zorgvuldigheid, maar is zeker haalbaar. Door vooraf na te denken over grondslagen, bewaartermijnen en de rechten van betrokkenen, leg je een solide basis. Een goed incidentregistratiesysteem helpt je om deze zaken structureel goed te regelen.
Het belangrijkste is dat je kunt aantonen dat je bewuste keuzes hebt gemaakt en deze hebt gedocumenteerd. De Autoriteit Persoonsgegevens verwacht geen perfectie, maar wel dat je kunt laten zien dat je privacy serieus neemt.
AVG-compliant registreren met Registra
Registra is ontwikkeld met privacy als uitgangspunt. Het systeem ondersteunt je bij dataminimalisatie, automatische bewaartermijnen en het afhandelen van inzageverzoeken. Alle gegevens worden versleuteld opgeslagen in Nederland.
Vraag een demo aan