Mijn werkgever verplicht me een externe training te volgen. Ben ik ook verplicht om dit bedrijf mijn privégegevens te verstrekken?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Mijn werkgever verplicht me om een training te volgen bij een extern ingehuurd bedrijf. Deze stuurt nu een inschrijfformulier met allerlei vragen, maar ook (verplicht) opgeven van zaken als geboortedatum, geboorteplaats, en privé adres. Ik heb daar bezwaar tegen, kan dit zo worden afgedwongen?
Antwoord: Een werkgever kan natuurlijk mensen op training sturen als dat in het belang is van het werk. De werkgever is dan in principe ook de opdrachtgever van het trainingsbedrijf. Die moet dan de benodigde gegevens verstrekken zoals wie er mee doet.
Dergelijke gegevens vallen al snel onder de AVG, en die kent het principe van dataminimalisatie: relevant en niet meer dan wat noodzakelijk is voor het doel. De namen van cursisten lijken me relevant, je moet weten wie er komen (en wie niet). Functietitels lijken me ook van belang voor de voorbereiding, eventuele dieetwensen kunnen nodig zijn et cetera.
Het privéadres en geboortedatum/plaats van de werknemers die komen lijkt me op geen enkele manier relevant. Ik kan me nog nét voorstellen dat je leeftijd nodig hebt, het beïnvloedt je les als je een groep vroege twintigers hebt of juist een club mensen net voor hun pensioen zeg maar.
Geboorteplaats vind ik een rare, ik zou geen cursus weten waarin het uitmaakt waar de cursist geboren is. Het voelt als een indirecte manier om het verboden gegeven van etnische afkomst uit te vragen.
Mijn vermoeden is dat het trainingsbedrijf simpelweg hun standaard inschrijfformulier opstuurde, zoals je ook zou krijgen als je zelf (buiten het werk om dus) die training zou boeken. En dan is het privéadres ineens relevant, omdat je wilt weten waar het incassobureau naar toe moet als men niet betaalt. Of er worden boeken e.d. opgestuurd en men denkt dat het handig is dat je die thuis krijgt.
Een simpele oplossing is bij de adresgegevens je werkplek in te vullen, zodat eventuele cursusmaterialen daarheen gaan. Bij geboortedatum kun je iets fictiefs in de buurt invullen zodat de leeftijd ongeveer klopt, en bij geboorteplaats zet je "onbekend" of de plaats waar je bedrijf opgericht is.
Mocht de werkgever van plan zijn je wérkelijke gegevens hiervoor te verstrekken, dan zou dat een behoorlijk probleem zijn. HR heeft die gegevens natuurlijk voor de personeelsadministratie (en geboorteplaats mag dan, in het kader van diversiteitsbeleid/positieve discriminatie) maar mag ze niet verstrekken aan een opleider zonder dat er een duidelijke noodzaak is.
Af en toe krijg ik vragen van mensen die extra bezorgd zijn over hun woonadres, bijvoorbeeld omdat ze last hebben van een stalker. Dat zou ook in deze context tot zorgen kunnen leiden. Helaas lijken er geen HRM-softwarepakketten te zijn waarbij men een vlaggetje kan zetten "Onder geen voorwaarde aan derden verstrekken zonder toestemming" bij gegevens van een werknemer. Je moet dus maar hopen dat HR volgens de regels werkt, en in gevallen als deze snap ik dat men daar dan knap zenuwachtig over wordt.
Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.
Reacties (32)
07-05-2025, 11:51 door
Anoniem
IMHO denk ik dat bij het verkrijgen van een diploma er enkele personalia gebruikt worden om het diploma op te stellen. Dat is voor de trainingen die ik volg wel gebruikelijk (los van het feit of het absoluut noodzakelijk is).
07-05-2025, 12:08 door
Anoniem
Opvallend dat dit een vraag is. Standaard gaat alle werk-gerelateerd communicatie via bedrijfskanalen. Drukwerk naar kantooradres, email naar werkmail, telefoon naar werktelefoon.
face-2-face altijd op werkadres, evt een vd Valk ergens.
Bouwjaar? altijd 1-1-geboortejaar.
face-2-face altijd op werkadres, evt een vd Valk ergens.
Bouwjaar? altijd 1-1-geboortejaar.
07-05-2025, 12:28 door
Anoniem
Door Anoniem: IMHO denk ik dat bij het verkrijgen van een diploma er enkele personalia gebruikt worden om het diploma op te stellen. Dat is voor de trainingen die ik volg wel gebruikelijk (los van het feit of het absoluut noodzakelijk is).
Je volledige naam met geboortedatum en geboorteplaats maken je binnen Nederland min of meer uniek identificeerbaar. Daarom denken veel bedrijven die cursussen verzorgen dat als ze die zaken op een "diploma" vermeldt het moeilijker wordt om met dat diploma te frauderen. Dat is natuurlijk niet zo. Maar ja.....
07-05-2025, 12:51 door
Anoniem
voor sommige diploma's is een landelijke registratie verplicht.
op dat moment zijn wel zeker bepaalde gegevens nodig om dit te registreren,
Denk hier bij aan bevoegd om zorgwerk te doen, (BIG registratie)
een VCA. waarbij de opdrachtgever moet kunnen controleren of het in gehuurde personeel VCA heeft.
een code 95 voor een rijbewijs ect.
ook als het niet nodig is om landelijk te registreren, moet je nog wel voorkomen dat er fraoude gepleegd kan woden
dus moet er op het certificaat wel bepaalde persoonlijke gegevens staan.
als ik mijn hoogwerker certificaat laat zien, moet het wel duidelijk te zien zijn dat het om mij gaat,
dus behalve naam moet er dus wel meer op staan
ook om later de echtheid te controleren. in geval van mogelijke fraude.
zodat er navraag gedaan kan worden.
voor de ene training is meer informatie nodig dan de anderen
op dat moment zijn wel zeker bepaalde gegevens nodig om dit te registreren,
Denk hier bij aan bevoegd om zorgwerk te doen, (BIG registratie)
een VCA. waarbij de opdrachtgever moet kunnen controleren of het in gehuurde personeel VCA heeft.
een code 95 voor een rijbewijs ect.
ook als het niet nodig is om landelijk te registreren, moet je nog wel voorkomen dat er fraoude gepleegd kan woden
dus moet er op het certificaat wel bepaalde persoonlijke gegevens staan.
als ik mijn hoogwerker certificaat laat zien, moet het wel duidelijk te zien zijn dat het om mij gaat,
dus behalve naam moet er dus wel meer op staan
ook om later de echtheid te controleren. in geval van mogelijke fraude.
zodat er navraag gedaan kan worden.
voor de ene training is meer informatie nodig dan de anderen
07-05-2025, 13:20 door
Anoniem
Mijn werkgever verplicht me om een training te volgen bij een extern ingehuurd bedrijf. Deze stuurt nu een inschrijfformulier met allerlei vragen, maar ook (verplicht) opgeven van zaken als geboortedatum, geboorteplaats, en privé adres. Ik heb daar bezwaar tegen, kan dit zo worden afgedwongen?
Welke straf krijg je van de leverancier wanneer je informatie die niet ter zake doet weg laat. Wat versta je onder ''verplicht''. Een leverancier kan mij geen verplichtingen opleggen.
07-05-2025, 13:26 door
Anoniem
een training
Het is belangrijk om meer context te geven dan alleen 'een training' bij het beantwoorden van deze vraag. De aard van de training speelt een cruciale rol. Is het een informele training, of gaat het om een opleiding die leidt tot een certificering waarvoor specifieke persoonlijke gegevens noodzakelijk zijn?
07-05-2025, 13:28 door
Anoniem
Geboorteplaats vind ik een rare, ik zou geen cursus weten waarin het uitmaakt waar de cursist geboren is.
Je hebt gelijk dat geboortedatum vaak geen directe relevantie heeft voor een cursus. Echter, in sommige gevallen kan de geboortedatum wél van belang zijn, bijvoorbeeld wanneer de cursus leidt tot een officiële certificering of registratie, of wanneer de cursus deel uitmaakt van een programma waarvoor specifieke wettelijke of verzekeringstechnische vereisten gelden (zoals bij medische of financiële opleidingen).
In zulke gevallen kan het nodig zijn om gegevens zoals geboortedatum of geboorteplaats te verzamelen voor identificatiedoeleinden of om te voldoen aan bepaalde wet- of regelgeving.
07-05-2025, 15:18 door
Anoniem
Het hangt er maar net vanaf wat voor opleiding dat is.
Als het een bv Post-HBO opleiding is waarmee je een titel mag voeren, gaat dat niet zonder geboorteplaats en geboortedatum (omdat er dan een wettelijke controleverlichting bestaat).
Als het een bv Post-HBO opleiding is waarmee je een titel mag voeren, gaat dat niet zonder geboorteplaats en geboortedatum (omdat er dan een wettelijke controleverlichting bestaat).
07-05-2025, 16:00 door
Anoniem
Een simpele oplossing is bij de adresgegevens je werkplek in te vullen, zodat eventuele cursusmaterialen daarheen gaan. Bij geboortedatum kun je iets fictiefs in de buurt invullen zodat de leeftijd ongeveer klopt, en bij geboorteplaats zet je "onbekend" of de plaats waar je bedrijf opgericht is.
Ik vind dit toch een bijzondere hoor van een "jurist": "dan lieg je toch gewoon?"?
De vraag is wat er relevant is voor die training. De rest van de gegevens hoef je niet te geven. Wat kan nu in vredesnaam de reden zijn om te gaan liegen? Zeg dan gewoon: die hebben jullie niet nodig en wens ik dus niet te verstrekken.
Echt, heel raar dit advies.
07-05-2025, 17:20 door
Anoniem
Door Anoniem:
Ik vind dit toch een bijzondere hoor van een "jurist": "dan lieg je toch gewoon?"?
De vraag is wat er relevant is voor die training. De rest van de gegevens hoef je niet te geven. Wat kan nu in vredesnaam de reden zijn om te gaan liegen? Zeg dan gewoon: die hebben jullie niet nodig en wens ik dus niet te verstrekken.
Echt, heel raar dit advies.
Ja eens, dit advies is echt even uit de losse pols geschud en nog 'fout' ook. Jammer.Een simpele oplossing is bij de adresgegevens je werkplek in te vullen, zodat eventuele cursusmaterialen daarheen gaan. Bij geboortedatum kun je iets fictiefs in de buurt invullen zodat de leeftijd ongeveer klopt, en bij geboorteplaats zet je "onbekend" of de plaats waar je bedrijf opgericht is.
Ik vind dit toch een bijzondere hoor van een "jurist": "dan lieg je toch gewoon?"?
De vraag is wat er relevant is voor die training. De rest van de gegevens hoef je niet te geven. Wat kan nu in vredesnaam de reden zijn om te gaan liegen? Zeg dan gewoon: die hebben jullie niet nodig en wens ik dus niet te verstrekken.
Echt, heel raar dit advies.
07-05-2025, 17:37 door
Anoniem
Mocht je ooit problemen krijgen met je werkgever dan is het wel erg handig als je bij de opleidingsinstanties je certificeringen opnieuw op kunt vragen.
Daarom heb ik bij een aantal instanties ook mijn prive gegeven opgegeven i.p.v. mijn werk gegevens.
Ook mijn eigen emailadres om in te loggen op de site van die instelling zodat ik ook nog in kan loggen als ik me werkmail niet meer kan benaderen.
Het kan dus ook heel handig zijn om wel persoonlijke gegeven door te geven.
Daarom heb ik bij een aantal instanties ook mijn prive gegeven opgegeven i.p.v. mijn werk gegevens.
Ook mijn eigen emailadres om in te loggen op de site van die instelling zodat ik ook nog in kan loggen als ik me werkmail niet meer kan benaderen.
Het kan dus ook heel handig zijn om wel persoonlijke gegeven door te geven.
07-05-2025, 18:15 door
Anoniem
Idd kunnen voor officiële certificering/diploma’s meerdere persoonsgegevens op het document vermeld worden om de eenduidigheid/geloofwaardigheid van de geslaagde aan te tonen. Fraude er mee tegengaan is natuurlijk minimaal. Als het lukt om een naam aan te passen op documenten, is de rest ook eenvoudig aan te passen.
Online verplichte velden in formulieren die ik niet relevant vindt vul ik meestal in met een “.” in plaats van gefalsifieerde data. Geen bedrijf/organisatie die er tot nu toe een punt van heeft gemaakt ;-) Anders gewoon stemmen met de voeten/beurs. Iemand anders wil wellicht verkopen/trainen zonder deze eisen.
Online verplichte velden in formulieren die ik niet relevant vindt vul ik meestal in met een “.” in plaats van gefalsifieerde data. Geen bedrijf/organisatie die er tot nu toe een punt van heeft gemaakt ;-) Anders gewoon stemmen met de voeten/beurs. Iemand anders wil wellicht verkopen/trainen zonder deze eisen.
07-05-2025, 19:10 door
Anoniem
Door Anoniem: Het hangt er maar net vanaf wat voor opleiding dat is.
Als het een bv Post-HBO opleiding is waarmee je een titel mag voeren, gaat dat niet zonder geboorteplaats en geboortedatum (omdat er dan een wettelijke controleverlichting bestaat).
Als het een bv Post-HBO opleiding is waarmee je een titel mag voeren, gaat dat niet zonder geboorteplaats en geboortedatum (omdat er dan een wettelijke controleverlichting bestaat).
Yep.
Wat is het toch met vragenstellers die dit soort basale - en noodzakelijke - informatie weglaten ?
"een training" . WTF ? En dan zelf niet bedenken dat het soort training (en eventuele diploma's , register etc etc) relevant zijn om iets te zeggen over welke gegevens nodig zijn of niet.
Net zo erg als helpdesk klanten "het werkt niet" .
07-05-2025, 20:37 door
Anoniem
Door Anoniem:
Ik vind dit toch een bijzondere hoor van een "jurist": "dan lieg je toch gewoon?"?
Je werkadres is een echt adres waar jij bereikbaar bent, en je gaat tenslotte als werknemer naar die training en niet als privépersoon. Ik vind dat volkomen toepasselijk. Bij geboortedatum en -plaats kan je in plaats van "onbekend" ook "gaat je niet aan" of "mijns inziens niet relevant" invullen. Dan lieg je niet. Zelfs met "n.v.t." hoef je niet te bedoelen dat een geboortedatum voor jou niet van toepassing is, je kan ook bedoelen dat je de vraag niet toepasselijk vindt.Een simpele oplossing is bij de adresgegevens je werkplek in te vullen, zodat eventuele cursusmaterialen daarheen gaan. Bij geboortedatum kun je iets fictiefs in de buurt invullen zodat de leeftijd ongeveer klopt, en bij geboorteplaats zet je "onbekend" of de plaats waar je bedrijf opgericht is.
Ik vind dit toch een bijzondere hoor van een "jurist": "dan lieg je toch gewoon?"?
Je bent hier niet bezig om iemand te belazeren. Het begint er hiermee dat die opleider meer vraagt dan die normaal gesproken zou mogen vragen en kennelijk geen uitleg erbij geeft van waarom het hier wel kan en hoe het gebruikt gaat worden. Moet jij door hoepels gaan springen om exact correct te zijn als antwoord op iemand die zelf al niet correct te werk gaat? Ik denk niet dat je daarvoor voor de rechter gesleept gaat worden.
07-05-2025, 22:04 door
Anoniem
Door Anoniem:
Je bent hier niet bezig om iemand te belazeren. Het begint er hiermee dat die opleider meer vraagt dan die normaal gesproken zou mogen vragen en kennelijk geen uitleg erbij geeft van waarom het hier wel kan en hoe het gebruikt gaat worden. Moet jij door hoepels gaan springen om exact correct te zijn als antwoord op iemand die zelf al niet correct te werk gaat? Ik denk niet dat je daarvoor voor de rechter gesleept gaat worden.
Door Anoniem:
Ik vind dit toch een bijzondere hoor van een "jurist": "dan lieg je toch gewoon?"?
Je werkadres is een echt adres waar jij bereikbaar bent, en je gaat tenslotte als werknemer naar die training en niet als privépersoon. Ik vind dat volkomen toepasselijk. Bij geboortedatum en -plaats kan je in plaats van "onbekend" ook "gaat je niet aan" of "mijns inziens niet relevant" invullen. Dan lieg je niet. Zelfs met "n.v.t." hoef je niet te bedoelen dat een geboortedatum voor jou niet van toepassing is, je kan ook bedoelen dat je de vraag niet toepasselijk vindt.Een simpele oplossing is bij de adresgegevens je werkplek in te vullen, zodat eventuele cursusmaterialen daarheen gaan. Bij geboortedatum kun je iets fictiefs in de buurt invullen zodat de leeftijd ongeveer klopt, en bij geboorteplaats zet je "onbekend" of de plaats waar je bedrijf opgericht is.
Ik vind dit toch een bijzondere hoor van een "jurist": "dan lieg je toch gewoon?"?
Je bent hier niet bezig om iemand te belazeren. Het begint er hiermee dat die opleider meer vraagt dan die normaal gesproken zou mogen vragen en kennelijk geen uitleg erbij geeft van waarom het hier wel kan en hoe het gebruikt gaat worden. Moet jij door hoepels gaan springen om exact correct te zijn als antwoord op iemand die zelf al niet correct te werk gaat? Ik denk niet dat je daarvoor voor de rechter gesleept gaat worden.
Het is wel opmerkelijk dat Arnoud hier niet verwijst naar een verwerkersovereenkomst tussen de werkgever en opleider. Deze zou er moeten zijn en hierin zouden afspraken moeten zijn vastgelegd.
Mij lijkt het dan ook uitgesloten dat de opleider 'per abuis' hun standaard formulier stuurde, het lijkt mij meer voor de hand liggend dat er voor de verwerking van een adres gewoon goede afspraken zijn gemaakt en dat het doel van de verwerking hierin is uitgelegd. De vraagsteller kan zich in dat geval gewoon wenden tot zijn werkgever, deze heeft in dit geval gewoon de antwoorden.
Maar zoals ik om 15:18 al schreef, is het helemaal niet raar.
Overigens zegt een geboorteplaats helemaal niets over etniciteit. Zelfs als je in Yaounde geborgen bent kun je nog steeds Christen zijn, net zoals wanneer je in Terneuzen geboren bent een Moslim of Boeddhist kunt zijn.
08-05-2025, 07:38 door
Anoniem
Door Anoniem:
Yep.
Wat is het toch met vragenstellers die dit soort basale - en noodzakelijke - informatie weglaten ?
"een training" . WTF ? En dan zelf niet bedenken dat het soort training (en eventuele diploma's , register etc etc) relevant zijn om iets te zeggen over welke gegevens nodig zijn of niet.
Net zo erg als helpdesk klanten "het werkt niet" .
Ik denk dat je de vraag meer moet lezen als " Mijn werkgever verplicht me om een training te volgen bij een extern ingehuurd bedrijf. Hoe kan ik de GDPR gebruiken om dat te saboteren?"Door Anoniem: Het hangt er maar net vanaf wat voor opleiding dat is.
Als het een bv Post-HBO opleiding is waarmee je een titel mag voeren, gaat dat niet zonder geboorteplaats en geboortedatum (omdat er dan een wettelijke controleverlichting bestaat).
Als het een bv Post-HBO opleiding is waarmee je een titel mag voeren, gaat dat niet zonder geboorteplaats en geboortedatum (omdat er dan een wettelijke controleverlichting bestaat).
Yep.
Wat is het toch met vragenstellers die dit soort basale - en noodzakelijke - informatie weglaten ?
"een training" . WTF ? En dan zelf niet bedenken dat het soort training (en eventuele diploma's , register etc etc) relevant zijn om iets te zeggen over welke gegevens nodig zijn of niet.
Net zo erg als helpdesk klanten "het werkt niet" .
08-05-2025, 10:12 door
Arnoud Engelfriet
Het is verboden noch strafbaar om onjuiste gegevens op te geven wanneer in strijd met de wet (of zonder reële reden) om die gegevens wordt gevraagd. In de praktijk gaat het dan vaak een stuk sneller dan een discussie te voeren met een formulier dat niet ingezonden kan worden zonder de gegevens te verstrekken.
08-05-2025, 10:36 door
Anoniem
Je bent hier niet bezig om iemand te belazeren. Het begint er hiermee dat die opleider meer vraagt dan die normaal gesproken zou mogen vragen en kennelijk geen uitleg erbij geeft van waarom het hier wel kan en hoe het gebruikt gaat worden. Moet jij door hoepels gaan springen om exact correct te zijn als antwoord op iemand die zelf al niet correct te werk gaat? Ik denk niet dat je daarvoor voor de rechter gesleept gaat worden.
Ik zeg liever ''nee'' dan dat ik ga liegen. Niets complex aan, en ik hoef er niet voor door een hoepel te springen.
08-05-2025, 10:38 door
Anoniem
Het is verboden noch strafbaar om onjuiste gegevens op te geven wanneer in strijd met de wet (of zonder reële reden) om die gegevens wordt gevraagd. In de praktijk gaat het dan vaak een stuk sneller dan een discussie te voeren met een formulier dat niet ingezonden kan worden zonder de gegevens te verstrekken.
En als die gegevens van een ander zijn, is het dan nog steeds legaal ?
08-05-2025, 11:10 door
Anoniem
Vanuit de werkgever geredeneerd is het passend om alleen het basale contactgegeven (telefoonnummer, e-mailadres) te verstrekken van de cursist.
De werkgever heeft geen grondslag (of noodzaak) om de woon- of verblijfplaats van de medewerker te verstrekken aan de opleider.
Ik zou er als werkgever voor kiezen om de adreskeuze (prive of zaak) bij de medewerker te laten. Die keuze kan afhangen van bijvoorbeeld het werkadres, de woonsituatie en de lengte en aard van het dienstverband. Ik zou als werkgever de medewerkers wel hulp bieden welke velden relevant zijn om in te vullen. Daar kun je wel afspraken over maken met de aanbieder. Sommige aanbieders werken met een opleidingsnummer. En dat brengt me tot het volgende:
Het kan zijn dat de certificering een wettelijke basis heeft en bij DUO wordt vastgelegd. Denk aan officiele MBO's, HBO's en Universiteiten. Deze organisaties hebben een wettelijke grondslag om het opleidingsnummer (BSN) gebruiken. De werkgever heeft (meestal) geen grondslag om dit nummer te verstrekken. Het BSN moet de cursist dan zelf geven om de certificering te registreren.
Het gebruik van het BSN door de opleider omdat dat nu eenmaal de sleutel is van de schooladministratie (bij een losse cursus bij MBO's en HBO's), is dan voor rekening van de opleider.
En dat brengt me nog tot dit:
Je maakt als werkgever een zakelijke afspraak met je opleider. Het is een misverstand dat voor iedere dienstverlener bij het nakomen van een contract een verwerkersovereenkomst moet worden gesloten. Dat doe je ook niet met de taxichauffeur of je advocaat.
Door de opleider een verwerkersovereenkomst op te leggen, moet je ook gaan controleren of de opleider zich aan de AVG houdt. Bedenk dat kosten voor de controle en de boete dan ook voor jou is (jij stelt je zelf op als verwerkingsverantwoordelijke voor de opleider, want je maakt een verwerkersovereenkomst.)
Dus maak je een verwerkersovereenkomst voor een MBO en gebruikt dat MBO voor jouw cursist onnodig het BSN, dan ben jij de sjaak en niet het bestuur van de school. Zelfs als je het niet wist. Want je had het moeten checken. IMHO.
De werkgever heeft geen grondslag (of noodzaak) om de woon- of verblijfplaats van de medewerker te verstrekken aan de opleider.
Ik zou er als werkgever voor kiezen om de adreskeuze (prive of zaak) bij de medewerker te laten. Die keuze kan afhangen van bijvoorbeeld het werkadres, de woonsituatie en de lengte en aard van het dienstverband. Ik zou als werkgever de medewerkers wel hulp bieden welke velden relevant zijn om in te vullen. Daar kun je wel afspraken over maken met de aanbieder. Sommige aanbieders werken met een opleidingsnummer. En dat brengt me tot het volgende:
Het kan zijn dat de certificering een wettelijke basis heeft en bij DUO wordt vastgelegd. Denk aan officiele MBO's, HBO's en Universiteiten. Deze organisaties hebben een wettelijke grondslag om het opleidingsnummer (BSN) gebruiken. De werkgever heeft (meestal) geen grondslag om dit nummer te verstrekken. Het BSN moet de cursist dan zelf geven om de certificering te registreren.
Het gebruik van het BSN door de opleider omdat dat nu eenmaal de sleutel is van de schooladministratie (bij een losse cursus bij MBO's en HBO's), is dan voor rekening van de opleider.
En dat brengt me nog tot dit:
Je maakt als werkgever een zakelijke afspraak met je opleider. Het is een misverstand dat voor iedere dienstverlener bij het nakomen van een contract een verwerkersovereenkomst moet worden gesloten. Dat doe je ook niet met de taxichauffeur of je advocaat.
Door de opleider een verwerkersovereenkomst op te leggen, moet je ook gaan controleren of de opleider zich aan de AVG houdt. Bedenk dat kosten voor de controle en de boete dan ook voor jou is (jij stelt je zelf op als verwerkingsverantwoordelijke voor de opleider, want je maakt een verwerkersovereenkomst.)
Dus maak je een verwerkersovereenkomst voor een MBO en gebruikt dat MBO voor jouw cursist onnodig het BSN, dan ben jij de sjaak en niet het bestuur van de school. Zelfs als je het niet wist. Want je had het moeten checken. IMHO.
08-05-2025, 12:55 door
karma4
Door Anoniem: Vanuit de werkgever geredeneerd is het passend om alleen het basale contactgegeven (telefoonnummer, e-mailadres) te verstrekken van de cursist. De werkgever heeft geen grondslag (of noodzaak) om de woon- of verblijfplaats van de medewerker te verstrekken aan de opleider.
...
Dus maak je een verwerkersovereenkomst voor een MBO en gebruikt dat MBO voor jouw cursist onnodig het BSN, dan ben jij de sjaak en niet het bestuur van de school. Zelfs als je het niet wist. Want je had het moeten checken. IMHO.
...
Dus maak je een verwerkersovereenkomst voor een MBO en gebruikt dat MBO voor jouw cursist onnodig het BSN, dan ben jij de sjaak en niet het bestuur van de school. Zelfs als je het niet wist. Want je had het moeten checken. IMHO.
De werkgever moet kunnen aantonen dat zijn werknemer de juiste kwalificaties heeft.
Dat betekent een gecertificeerd gebeuren door de opleider en werkgever waarbij het bsn uiteindelijk het verplichte gegeven is om kans verwisselingen minimaliseren. Is de niet aantoonbaar dan kan je te maken krijgen met een overtreding van de GDPR
wegens niet op orde hebben van de vereiste maatregelen.
08-05-2025, 13:14 door
Anoniem
De werkgever moet kunnen aantonen dat zijn werknemer de juiste kwalificaties heeft.
Dat betekent een gecertificeerd gebeuren door de opleider en werkgever waarbij het bsn uiteindelijk het verplichte gegeven is om kans verwisselingen minimaliseren. Is de niet aantoonbaar dan kan je te maken krijgen met een overtreding van de GDPR wegens niet op orde hebben van de vereiste maatregelen.
Dat betekent een gecertificeerd gebeuren door de opleider en werkgever waarbij het bsn uiteindelijk het verplichte gegeven is om kans verwisselingen minimaliseren. Is de niet aantoonbaar dan kan je te maken krijgen met een overtreding van de GDPR wegens niet op orde hebben van de vereiste maatregelen.
Volgens de Wet op de loonbelasting is de werkgever verplicht om het BSN van zijn werknemers te registreren. Dit is noodzakelijk voor het uitwisselen van loongegevens met de Belastingdienst. Het BSN mag echter niet voor andere doeleinden worden gebruikt, zelfs niet met toestemming van de werknemer
08-05-2025, 13:22 door
Anoniem
Vanuit de werkgever geredeneerd is het passend om alleen het basale contactgegeven (telefoonnummer, e-mailadres) te verstrekken van de cursist. De werkgever heeft geen grondslag (of noodzaak) om de woon- of verblijfplaats van de medewerker te verstrekken aan de opleider. Ik zou er als werkgever voor kiezen om de adreskeuze (prive of zaak) bij de medewerker te laten.
Ik zou mij eerder afvragen wat de vraagsteller bedoelt met "een training". Waarschijnlijk maakt het antwoord op die vraag veel duidelijk, bij de ene training krijg je een niet gecontroleerd certificaatje, bij de andere training kom je in officieel register, waarbij persoonsgegevens wel relevant zijn. Verder is het aan jou overlaten van het wel/niet verstrekken van jouw prive gegevens jouw keuze, en niet die van je werkgever, die mag die informatie helemaal niet verstrekken (tenzij je daar zelf mee akkoord gaat). Zonder grondslag, overtreed de werkgever de wet, indien deze de ''keuze'' maakt om jouw prive gegevens te verstrekken, en de werkgever heeft dus niet die keuze..
08-05-2025, 13:46 door
Anoniem
De werkgever heeft geen grondslag (of noodzaak) om de woon- of verblijfplaats van de medewerker te verstrekken aan de opleider.
En dat heeft de werkgever ook niet gedaan, zoals te lezen is in dit topic. De werknemer wordt gevraagd om deze informatie.
08-05-2025, 13:49 door
Anoniem
De werkgever moet kunnen aantonen dat zijn werknemer de juiste kwalificaties heeft. Dat betekent een gecertificeerd gebeuren door de opleider en werkgever waarbij het bsn uiteindelijk het verplichte gegeven is om kans verwisselingen minimaliseren.
Daar is het BSN niet voor bedoeld, en de werkgever heeft juridisch dan ook geen grond om dit informatie te verstrekken. Wat verder ook niet is gebeurd, de werknemer wordt zelf gevraagd, om deze gegevens. Overigens heb ik in 30+ jaar IT ervaring nog nooit en te nimmer meegemaakt dat mijn werkgever gevraagd wordt om mijn BSN, voor verificatie van certificatie, wie wel ?
08-05-2025, 13:52 door
Anoniem
BSN niet voor andere doelen gebruiken
Uw werkgever mag uw BSN niet voor andere doelen gebruiken dan het uitwisselen van uw gegevens met de Belastingdienst. Uw werkgever mag u bijvoorbeeld niet verplichten uw BSN te gebruiken als inlogcode. Zelfs als u hiervoor toestemming zou geven, mag dit niet.
https://www.autoriteitpersoonsgegevens.nl/themas/identificatie/burgerservicenummer-bsn/bsn-op-het-werk
Uw werkgever mag uw BSN niet voor andere doelen gebruiken dan het uitwisselen van uw gegevens met de Belastingdienst. Uw werkgever mag u bijvoorbeeld niet verplichten uw BSN te gebruiken als inlogcode. Zelfs als u hiervoor toestemming zou geven, mag dit niet.
https://www.autoriteitpersoonsgegevens.nl/themas/identificatie/burgerservicenummer-bsn/bsn-op-het-werk
08-05-2025, 14:12 door
Anoniem
Door Anoniem:
Het is wel opmerkelijk dat Arnoud hier niet verwijst naar een verwerkersovereenkomst tussen de werkgever en opleider. Deze zou er moeten zijn en hierin zouden afspraken moeten zijn vastgelegd.
Mij lijkt het dan ook uitgesloten dat de opleider 'per abuis' hun standaard formulier stuurde, het lijkt mij meer voor de hand liggend dat er voor de verwerking van een adres gewoon goede afspraken zijn gemaakt en dat het doel van de verwerking hierin is uitgelegd. De vraagsteller kan zich in dat geval gewoon wenden tot zijn werkgever, deze heeft in dit geval gewoon de antwoorden.
Maar zoals ik om 15:18 al schreef, is het helemaal niet raar.
Overigens zegt een geboorteplaats helemaal niets over etniciteit. Zelfs als je in Yaounde geborgen bent kun je nog steeds Christen zijn, net zoals wanneer je in Terneuzen geboren bent een Moslim of Boeddhist kunt zijn.
Door Anoniem:
Je bent hier niet bezig om iemand te belazeren. Het begint er hiermee dat die opleider meer vraagt dan die normaal gesproken zou mogen vragen en kennelijk geen uitleg erbij geeft van waarom het hier wel kan en hoe het gebruikt gaat worden. Moet jij door hoepels gaan springen om exact correct te zijn als antwoord op iemand die zelf al niet correct te werk gaat? Ik denk niet dat je daarvoor voor de rechter gesleept gaat worden.
Door Anoniem:
Ik vind dit toch een bijzondere hoor van een "jurist": "dan lieg je toch gewoon?"?
Je werkadres is een echt adres waar jij bereikbaar bent, en je gaat tenslotte als werknemer naar die training en niet als privépersoon. Ik vind dat volkomen toepasselijk. Bij geboortedatum en -plaats kan je in plaats van "onbekend" ook "gaat je niet aan" of "mijns inziens niet relevant" invullen. Dan lieg je niet. Zelfs met "n.v.t." hoef je niet te bedoelen dat een geboortedatum voor jou niet van toepassing is, je kan ook bedoelen dat je de vraag niet toepasselijk vindt.Een simpele oplossing is bij de adresgegevens je werkplek in te vullen, zodat eventuele cursusmaterialen daarheen gaan. Bij geboortedatum kun je iets fictiefs in de buurt invullen zodat de leeftijd ongeveer klopt, en bij geboorteplaats zet je "onbekend" of de plaats waar je bedrijf opgericht is.
Ik vind dit toch een bijzondere hoor van een "jurist": "dan lieg je toch gewoon?"?
Je bent hier niet bezig om iemand te belazeren. Het begint er hiermee dat die opleider meer vraagt dan die normaal gesproken zou mogen vragen en kennelijk geen uitleg erbij geeft van waarom het hier wel kan en hoe het gebruikt gaat worden. Moet jij door hoepels gaan springen om exact correct te zijn als antwoord op iemand die zelf al niet correct te werk gaat? Ik denk niet dat je daarvoor voor de rechter gesleept gaat worden.
Het is wel opmerkelijk dat Arnoud hier niet verwijst naar een verwerkersovereenkomst tussen de werkgever en opleider. Deze zou er moeten zijn en hierin zouden afspraken moeten zijn vastgelegd.
Mij lijkt het dan ook uitgesloten dat de opleider 'per abuis' hun standaard formulier stuurde, het lijkt mij meer voor de hand liggend dat er voor de verwerking van een adres gewoon goede afspraken zijn gemaakt en dat het doel van de verwerking hierin is uitgelegd. De vraagsteller kan zich in dat geval gewoon wenden tot zijn werkgever, deze heeft in dit geval gewoon de antwoorden.
Maar zoals ik om 15:18 al schreef, is het helemaal niet raar.
Overigens zegt een geboorteplaats helemaal niets over etniciteit. Zelfs als je in Yaounde geborgen bent kun je nog steeds Christen zijn, net zoals wanneer je in Terneuzen geboren bent een Moslim of Boeddhist kunt zijn.
Etniciteit en religie zijn niet identiek.
08-05-2025, 14:32 door
Anoniem
Overigens zegt een geboorteplaats helemaal niets over etniciteit. Zelfs als je in Yaounde geborgen bent kun je nog steeds Christen zijn, net zoals wanneer je in Terneuzen geboren bent een Moslim of Boeddhist kunt zijn.
En dat heeft iets te maken met het vragen van persoonsgegevens voor een training via werk ?????
08-05-2025, 14:35 door
Anoniem
Mij lijkt het dan ook uitgesloten dat de opleider 'per abuis' hun standaard formulier stuurde, het lijkt mij meer voor de hand liggend dat er voor de verwerking van een adres gewoon goede afspraken zijn gemaakt en dat het doel van de verwerking hierin is uitgelegd. De vraagsteller kan zich in dat geval gewoon wenden tot zijn werkgever, deze heeft in dit geval gewoon de antwoorden.
Of jij je prive gegevens zoals adres, prive telefoon nummers, enzo, aan derden verstrekt is een beslissing die je zelf maakt, en niet een die je werkgever voor je kan maken, zonder jouw toestemming. Zaken als BSN mag hij niet eens delen, met je toestemming. Natuurlijk kan je je werkgever vragen waar het voor bedoeld is, maar uiteindelijk is de beslissing aan jouzelf.
08-05-2025, 16:22 door
Anoniem
Voor een training met certificaat niet direct logisch, als je na de training een officieel diploma zou ontvangen, dan is het verplicht om geb. plaatst te vermelden door wetgeving.
Dus more context om je vraag goed te beantwoorden.
Dus more context om je vraag goed te beantwoorden.
08-05-2025, 16:25 door
Anoniem
Door Anoniem:
Ik zeg liever ''nee'' dan dat ik ga liegen. Niets complex aan, en ik hoef er niet voor door een hoepel te springen.
Dan moet je wel die optie hebben. We kennen allemaal de verplichte mail, telefoon velden (simultaan) en we weten allemaal dat de meeste privacy bewuste mensen echt niet hun echte gegevens daar in gaan zetten voor alle contact methodes zolang contact op beide onnodig is. 01234567890 en nvt@nvt.nvt afhankelik wat je niet wilt invullen. Je bent hier niet bezig om iemand te belazeren. Het begint er hiermee dat die opleider meer vraagt dan die normaal gesproken zou mogen vragen en kennelijk geen uitleg erbij geeft van waarom het hier wel kan en hoe het gebruikt gaat worden. Moet jij door hoepels gaan springen om exact correct te zijn als antwoord op iemand die zelf al niet correct te werk gaat? Ik denk niet dat je daarvoor voor de rechter gesleept gaat worden.
Ik zeg liever ''nee'' dan dat ik ga liegen. Niets complex aan, en ik hoef er niet voor door een hoepel te springen.
Niemand heeft dat tel nummer en niemand heeft dat mail adres want .nvt is geen bestaande tld momenteel. Net als die idiote bedrijven die je voorletters niet genoeg vinden in registratie formulieren of punten verbieden ook al adresseren ze je constant met je achternaam any way of helemaal niet. mijn voornaam is dan ook heel vaak dus "nvt" dan of "na" als het internationaal is.
09-05-2025, 15:08 door
Anoniem
Die van mij deelt mijn gegevens veelvuldig met allerlei cloudpartijen. O365 uiteraard. Maar bv ook mijn geboortedatum, sofinummer etc naar een cloud HR systeem. Online cybersecurity training die iedereen moet volgen...Die heeft ook alle naamsgegevens gekregen etc.
Doe je navraag dan is er voor al die gevallen een DAP gedaan en is aan het doelmatigheidsbeginsel voldaan.
Dat moet je dus maar gewoon slikken in ruil voor het geld wat je maandelijks van ze krijgt.
Bij mij op het werk valt de keuze altijd op cloud, tenzij er enorm goede redenen zijn om het niet te doen.
Inmiddels hebben we honderden SaaS oplossingen.
Doe je navraag dan is er voor al die gevallen een DAP gedaan en is aan het doelmatigheidsbeginsel voldaan.
Dat moet je dus maar gewoon slikken in ruil voor het geld wat je maandelijks van ze krijgt.
Bij mij op het werk valt de keuze altijd op cloud, tenzij er enorm goede redenen zijn om het niet te doen.
Inmiddels hebben we honderden SaaS oplossingen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Functionaris Gegevensbescherming
Sigra zoekt een Functionaris Gegevens-bescherming (28-36 uur) die privacytoezicht houdt, adviseert en bijdraagt aan regionale samenwerking in zorg en welzijn. Je werkt deels gedetacheerd, krijgt opleidings-mogelijkheden (o.a. CAICO), en maakt deel uit van een deskundig team. Sterke com-municatie, juridische kennis en ervaring in de zorg zijn essentieel. Interesse? Lees dan snel verder.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?