In zeven stappen maak je jouw organisatie AVG-bestendig!
In de Algemene Verordening Gegevensbescherming (AVG) staan alle wettelijke regels waaraan je moet voldoen bij het registreren en bewaren van persoonlijke gegevens. Het gaat bijvoorbeeld over namen en adressen van de leden van een vereniging, maar ook om persoonskenmerken. Denk bijvoorbeeld aan allergieën, dieetwensen of het beroep van iemand. De bedoeling van de AVG is dat je die informatie alleen registreert en opslaat als dat noodzakelijk is en dat de gegevens beschermd zijn zodat niet zomaar iedereen mee kan kijken.
Stap 1: welke gegevens waarom en hoe bewaren
- Ga na welke persoonsgegevens worden verzameld en waar die worden bewaard.
- Registreer welke persoonsgegevens je vastlegt en met welk doel.
- Bedenk of dat wat je opslaat functioneel is; waarom leg je bepaalde gegevens vast? Schrap wat niet per se noodzakelijk is en bewaar alleen nog gegevens die je echt nodig hebt.
- Leg vast waarvoor je deze gegevens gaat gebruiken en hou je daaraan.
- Gebruik de gegevens niet voor andere doeleinden.
Denk bijvoorbeeld aan de voetbalvereniging die standaard adressen (straatnaam, postcode, huisnummer) van de leden in een bestand bewaart terwijl alle communicatie per telefoon, sociale media en digitale nieuwsbrief gaat. Deze clubs hoeven helemaal geen straat en huisnummer te bewaren. Het is even wennen, maar hoe minder informatie je over personen bewaart, hoe moeilijker gegevens herleidbaar zijn naar een persoon en hoe minder kans op schending van de privacy.
Stap 2: vraag om toestemming
- Vraag betrokkenen om toestemming voor het opslaan en gebruiken van hun persoonsgegevens.
- Vertel betrokkenen dat hun persoonsgegevens worden verwerkt en met welk doel.
- Vertel betrokkenen dat zij het recht hebben hun gegevens in te zien en aan te (laten) passen.
Pas op met bijzondere persoonsgegevens
Verwerken van bijzondere persoonsgegevens is verboden, tenzij hiervoor een wettelijke uitzondering is of de persoon daar uitdrukkelijk toestemming voor heeft gegeven. Dit zijn persoonsgegevens van gevoelige aard zoals godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging of politieke partij, strafrechtelijke persoonsgegevens.
Ook medische informatie, bijvoorbeeld over diabetes of allergieën, mag je alleen opslaan als er een wettelijke uitzondering is. Organisaties hebben nu de neiging deze informatie automatisch op te slaan in een bestand. Dat is niet langer toegestaan. Deze informatie moet je dus iedere keer navragen voor activiteiten waarbij dat van belang is.
Stap 3: vastleggen hoe de organisatie met de data omgaat
Organisaties moeten vastleggen:
- Wie verantwoordelijk is voor de data.
- Aan wie informatie wordt verstrekt.
- Op welke computer deze wordt opgeslagen.
- Op welke wijze deze wordt beschermd tegen virussen en hacken.
Niet onbelangrijk; zorg dat de data maar op één computer of één systeem staat. Verspreiding van data over verschillende computers of systemen zonder dat het is vastgelegd kan uitgelegd worden als datalekken. Stel procedures op om personen toegang te geven tot de informatie. Denk daarbij ook aan externe gebruikers van de bestanden, zoals drukkers, verspreiders van de nieuwsbrieven en bijvoorbeeld de koepelorganisatie. Met externe gebruikers moet je een aparte overeenkomst opstellen over hoe jullie omgaan met de gegevens. Dit heet een verwerkersovereenkomst. In deze overeenkomst staan bijvoorbeeld ook afspraken over het vernietigen van de gegevens na gebruik. Ook wanneer het om de koepelorganisatie gaat, moet je afspraken maken over het gebruik van de bestanden.
Alle regels gelden voor digitaal en papier
Stap 4: stel zo nodig een functionaris voor de gegevensbescherming (FG) aan
Dit is niet verplicht voor alle organisaties. Wel voor overheids- en publieke organisaties, organisaties die persoonsgegevens analyseren (profiling) en wanneer bijzondere persoonsgegevens worden opgeslagen. Voor organisaties waarvoor een FG niet verplicht is, kan het wel handig zijn een FG aan te stellen. De FG is de centrale persoon die alle persoonsgegevens van de club beheert. Deze FG heeft zeggenschap over de bestanden en legt verantwoording af aan de verantwoordelijke beheerder, meestal het bestuur. Deze persoon beslist in opdracht van het bestuur over hoe bestanden worden opgeslagen en de procedure voor het beschikbaar stellen van de gegevens. Ook bestuursleden kunnen alleen via van tevoren vastgelegde procedures gegevens gebruiken. De FG zorgt er ook voor dat de virusscan op orde is en dat de computer beschermd is tegen hacken.
Stap 5: Privacy Impact Assessment (PIA)
Hiermee breng je in beeld wat de gevolgen zijn van het verzamelen van persoonsgegevens voor de personen zelf. Dit is afhankelijk van wat met de gegevens gedaan wordt. Wanneer de gegevens verzameld worden voor het versturen van de contributiebrief of een nieuwsbrief is het effect dat mensen lid blijven van de organisatie of dat ze geïnformeerd zijn over de organisatie. Niet voor alle bestanden met persoonsgegevens hoeft daarom een PIA gedaan te worden. Alleen wanneer:
- Met de persoonsgegevens systematisch persoonlijke aspecten worden geëvalueerd (profiling)
- Op grote schaal bijzondere gegevens worden verwerkt (zie stap 1)
- Personen gevolgd worden in publieke ruimte (b.v. door camera toezicht)
Voor de meeste vrijwilligersorganisaties is een formele PIA niet nodig. Vooral niet als alleen contactgegevens verzameld worden en geen persoonskenmerken.
Stap 6: vrijwilligers informeren of opleiden
Informeer je vrijwilligers over alle AVG-regels. Organiseer een korte training of zet de regels op papier en laat deze ondertekenen zodat iedereen zich ook aan deze regels houdt. Een vrijwilliger die een map laat slingeren of die persoonlijke informatie doorgeeft, hoe goed bedoeld ook, veroorzaakt een datalek. Het lekken van data is strafbaar en kan (hoge) boetes opleveren!
Stap 7: procedure opstellen voor het melden van datalekken
Elke organisatie die persoonsgegevens opslaat, is verplicht datalekken te melden binnen 72 uur na ontdekking. Om dit zorgvuldig te doen is het handig vooraf procedures af te spreken. Hierin staat:
- Wat een datalek is: we spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. Het kan dan bijvoorbeeld gaan om uitgelekte computerbestanden, een rondslingerende geprinte ledenlijst of cliëntgegevens. Andere voorbeelden zijn cyberaanvallen, verkeerd verzonden e-mails, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usb-sticks.
- Bij wie in de organisatie een datalek gemeld moet worden.
- Wie binnen de organisatie nog meer geïnformeerd moet worden.
- Wie checkt wat er gelekt is.
- Hoe in kaart gebracht wordt wat de gevolgen zijn voor de personen van wie de persoonsgegevens gelekt zijn.
- Welke gegevens nodig zijn voor de melding. De melding moet in ieder geval bestaan uit:
- de aard van de inbreuk;
- de instanties of persoon waar meer informatie over de inbreuk kan worden verkregen;
- de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken;
- een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens;
- de maatregelen die de organisatie heeft genomen of voorstelt te nemen om deze gevolgen te verhelpen.
- Wie de melding doet bij de Autoriteit Persoonsgegevens.
Meldingen kunnen digitaal gedaan worden bij het meldloket van de Autoriteit Persoonsgegevens.
Wie controleert?
In Nederland controleert de Autoriteit Persoonsgegevens of organisaties die voldoen aan de Algemene Verordening Gegevensbescherming. De Autoriteit Persoonsgegevens kan ook boetes opleggen wanneer na waarschuwingen een organisatie het beleid rond bescherming persoonsgegevens niet verbetert.