Voor mijn werk maak ik verslagen met een stukje levens verhaal van een kind erin. Hierin worden ook naam en geboortedatum opgenomen. Daarna wordt dit naar een ouder gemaild om te kijken of de ouder akkoord is over het verslag. Vervolgens mailt de ouder met een handtekening het verslag terug of eventueel eerst nog met een feedback ronde. 

Mbt de nieuwe AVG/GDPR mag dit? 

Ik mail nu vanuit mijn hosting partij mijndomein.nl. Moet ik dit op één of andere manier nog extra beveiligen? Ik zie door de bomen het bos niet meer.

Bij email er is geen garantie dat de gegevens versleuteld (transport versleuteling) over de lijn gaan. (Terug)mailen van persoonlijke data zonder dat je in kunt staan voor versleuteling is daarom geen goed idee. Ook al zou het mogen, dan nog moet je het niet zo doen. Richt het in zodat er geen privéinformatie over email wordt verstuurd of zorg desnoods voor versleuteling (maar dat is niet praktisch realiseerbaar).

Wat je wel zou kunnen doen is de gegevens op de server plaatsen (beveiligd met https op je eigen domein), zodanig dat alleen de respectievelijke ouders van het kind en jijzelf erbij kunnen. Daar kun je dan een akkoord bij vragen. Beperk de blootstelling op Internet. Laat de server actief beheren. Zie toe dat de software ondersteund wordt, van goede kwaliteit is en dat security updates voortdurend worden geinstalleerd. Zodra dit stopt, moet je alle data al hebben verwijderd.

Er zijn diverse bestanddeelsystemen (file sharing) die dit (grotendeels) voor je kunnen regelen. De meeste aanbevolen oplossingen werken met cloud opslag. Dat zou ik niet doen tenzij het een onafhankelijk Europees bedrijf is die niets uitbesteed aan Amerikaanse bedrijven.

Voordat je persoonlijke gegevens gaat verwerken moet je uitdrukkelijke toestemming verkrijgen van de ouders met het minderjarige kind.