Kennisbank: hoe word ik avg-proof?

We hebben de afgelopen tijd bij de VKKL erg veel vragen gekregen van onze leden over de nieuwe privacywet. Enerzijds zijn jullie benieuwd of de wet ook op jullie van toepassing is en anderzijds zijn jullie benieuwd wat je als vereniging, stichting of coöperatie moet doen om te voldoen aan de wetgeving. 
Kort gezegd: de AVG geldt voor iedereen die persoonsgegevens verwerkt. Dus ook verenigingen, stichtingen en coöperaties. Vaak worden gegevens van leden bewaard in een bestand of worden er mailings verstuurd naar leden of inwoners van het dorp/wijk.  
Ons eerste advies is: raak niet in paniek. Momenteel zwerven op het internet een aantal noodkreten rond met teksten als 'LET OP! Je vereniging/stichting loopt gevaar!'. Veelal zijn dit commerciële partijen die willen verdienen aan de ondersteuning van je vereniging/stichting en je hierbij angst aan willen praten. De nieuwe wetgeving betekent niet dat je stil kunt zitten, maar als je onderstaande stappen volgt, word je AVG-proof!

1. Bewustwording

De eerste stap is bewustwording. Zorg ervoor dat relevante personen binnen je stichting/vereniging/coöperatie bekend zijn met de nieuwe wetgeving. In ieder geval bestuursleden dienen bekend te zijn met de nieuwe regelgeving. Begin op tijd zodat er ook tijd genoeg is om veranderingen door te voeren. Op de website www.hulpbijprivacy.nl vind je alle informatie over de nieuwe wetgeving.

2. Inventariseren

Ga na welke persoonsgegevens worden verzameld en waar die worden bewaard. Maak dus een inventarisatie. Let op: het gaat alleen om plaatsen waar gegevens worden verzameld die herleiden naar een persoon. Een materialenlijst valt bijvoorbeeld niet onder de AVG. Tip: gebruik ons format ‘Inventarisatie Persoonsgegevens’

Blijkt na het invullen van de tabel dat je bij de Waarom-vraag niet overal een antwoord op kunt geven? Verwijder deze gegevens dan uit je bestand! Het is even wennen, maar hoe minder informatie er over personen wordt bewaard, hoe moeilijker gegevens herleidbaar zijn naar een persoon en des te minder kans er is op schending van de privacy.
Hetzelfde geldt voor wie er toegang heeft tot de gegevens. Heeft de voorzitter bijvoorbeeld de gegevens zelf echt nodig of legt de secretaris altijd de contacten?  

3. Informeren

Laat de personen waar je gegevens van bewaart weten dat hun persoonsgegevens bij je staan opgeslagen en waarom je dit doet. Dit moest in het verleden al, maar is daardoor niet minder belangrijk. Dit kan bijvoorbeeld door ze bij het verstrekken van een aanmeldformulier expliciet te vragen of ze hiervoor toestemming geven. Digitaal kan dit door het aanvinken van een vakje waarbij wordt aangegeven dat er akkoord wordt gegaan bij het opslaan van de persoonsgegevens. 

Let extra op met bijzondere persoonsgegevens!
Verwerken van bijzondere persoonsgegevens is verboden, tenzij hiervoor een wettelijke uitzondering is of de persoon daar uitdrukkelijk tostemming voor heeft gegeven. Dit zijn persoonsgegevens van gevoelige aard zoals godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging of politieke partij, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag, genetische en biometrische kenmerken. Onder deze laatste vallen vingerafdrukken, stem, handschrift, geometrie van de handomtrek en scans van netvlies, iris en gelaat.

Ook medische informatie, bijvoorbeeld over diabetes of allergieën, mag je alleen opslaan als er een wettelijke uitzondering is. Organisaties hebben nu de neiging deze informatie automatisch op te slaan in een bestand. Dat is niet langer toegestaan. Deze informatie moet dus iedere keer gevraagd voor activiteiten waarbij dat van belang is.

4. Vastleggen

Organisaties hebben een verantwoordingsplicht in de nieuwe AVG. Dat betekent dat organisaties vastleggen wie verantwoordelijk is voor de data, aan wie informatie wordt verstrekten ook op welke computer deze wordt opgeslagen en op welke wijze deze wordt beschermt tegen virussen en hacken.

Niet onbelangrijk; zorg dat de data maar op één computer of één systeem staan. Verspreiding van data over verschillende computers of systemen zonder dat dat is vastgelegd kan uitgelegd worden als datalekken. Er moeten procedures worden opgesteld om personen toegang te geven tot de informatie. Met externe gebruikers van de bestanden, zoals drukkers, verspreiders van de nieuwsbrieven en bijvoorbeeld de koepelorganisatie, moeten overeenkomsten worden opgesteld voor het gebruik van gegevens; de zogenoemde verwerkersovereenkomst.

 

 

In deze overeenkomsten moeten bijvoorbeeld ook afspraken gemaakt worden over het vernietigen van de gegevens na gebruik. Ook wanneer het om de koepelorganisatie gaat, moeten afspraken gemaakt worden over het gebruik van de bestanden. De organisaties maken immers afspraken met de leden over het zorgvuldig bewaren van hun gegevens en daar kan een organisatie op aangesproken worden. Maak een Privacybeleid, maak dit bekend bij je leden en publiceer deze op je website:

 

 

 

5. Aanstellen functionaris

Dit is niet verplicht voor alle organisaties. Wel voor overheids- en publieke organisaties, organisaties die persoonsgegevens analyseren (profiling) en wanneer bijzondere persoonsgegevens worden opgeslagen. Voor organisaties waarvoor een Functionaris Gegevensbescherming (FG) niet verplicht is, kan het wel handig zijn een FG aan te stellen. De FG is de centrale persoon die alle persoonsgegevens van de club beheert. Deze FG heeft zeggenschap over de bestanden en legt verantwoording af aan de verantwoordelijke beheerder, meestal het bestuur. Deze persoon beslist in opdracht van het bestuur over hoe bestanden worden opgeslagen en de procedure voor het beschikbaar stellen van de gegevens. Ook bestuursleden kunnen alleen via van tevoren vastgelegde procedures gegevens gebruiken. De FG zorgt er ook voor dat de virusscan op orde is en dat de computer beschermd is tegen hacken.

Voor organisaties die verplicht een Functionaris Gegevensbescherming (FG) moeten aanstellen heeft deze formeel de volgende verplichting:

• FG’s mogen alleen handelen in opdracht van de verantwoordelijke;
• FG’s worden verplicht een overzicht bij te houden van alle categorieën persoonsgegevens die zij verwerken in opdracht van en verantwoordelijke;
• FG’s moeten passende technische en organisatorische beveiligingsmaatregelen nemen die een passend beschermingsniveau bieden met het oog op het risico van de gegevensverwerking voor betrokkenen. FG’s moeten uitgebreide kennis hebben omtrent hun informatiesystemen en de typen data die zij verwerken (is er sprake van bijzondere persoonsgegevens?);
• FG’s mogen geen sub-FG’s inschakelen zonder toestemming van de verantwoordelijke, wanneer sub-FG’s worden ingezet moet de FG de nodige technische en organisatorische maatregelen nemen om de veiligheid en integriteit van de data te garanderen;
• FG’s moeten de verantwoordelijke onmiddellijk op de hoogte stellen van een datalek. De termijn voor ‘onverwijld’ in de Nederlandse wetgeving wordt in de Wet Meldplicht datalekken vastgesteld op 72 uur na ontdekking van het incident;
• FG’s zijn verplicht medewerking te verlenen aan verzoeken van de Autoriteit Persoongegevens;
• In bepaalde gevallen moet de FG een Privacy Impact Assessment uitvoeren. Dat is in ieder geval zo bij profiling, het verwerken van bijzondere persoonskenmerken en opslaan van camerabeelden met personen erop.

​6. Privacy Impact Assesment (PIA)

Hiermee breng je in beeld wat de gevolgen zijn van het verzamelen van persoonsgegevens voor de personen zelf. Dit is afhankelijk van wat met de gegevens gedaan wordt. Wanneer de gegevens verzameld worden voor het versturen van de contributiebrief of een nieuwsbrief is het effect dat mensen lid blijven van de organisatie of dat ze geïnformeerd zijn over de organisatie. Niet voor alle bestanden met persoonsgegevens hoeft daarom een PIA gedaan te worden. Alleen wanneer:

• Met de persoonsgegevens systematisch persoonlijke aspecten worden geëvalueerd (profiling)
• Op grote schaal bijzondere gegevens worden verwerkt (zie stap 1)
• Personen gevolgd worden in publieke ruimte (b.v. door cameratoezicht)

Voor de meeste vrijwilligersorganisaties is een formele PIA niet nodig. Vooral niet omdat alleen contactgegevens verzameld worden en geen persoonskenmerken.

7. Vrijwilligers informeren of opleiden

Als je een vereniging of stichting bent met vrijwilligers, is het van belang dat je ze op de hoogte brengt van de nieuwe wetgeving en hoe er binnen je organisatie mee om wordt gegaan. Het is natuurlijk niet de bedoeling dat wanneer je de gegevensbescherming zorgvuldig in beleid en procedures hebt geregeld, de eerste de beste vrijwilliger met persoonsgegevens die nodig zijn bij de uitoefening van de zijn/haar functie, te koop gaat lopen. Ook dat zijn datalekken. 

8. procedure opstellen voor het melden van datalekken

Elke organisatie die persoonsgegevens opslaat, is verplicht datalekken te melden binnen 72 uur na ontdekking. Om dit zorgvuldig te doen is het handig vooraf procedures af te spreken. Hierin staat:

• Wat een datalek is;
  We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, een gestolen geprinte ledenlijst of cliëntgegevens.
  Andere voorbeelden zijn cyberaanvallen, verkeerd verzonden e-mail, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usb-sticks.
• Bij wie in de organisatie een datalek gemeld moet worden;
• Wie binnen de organisatie nog meer geïnformeerd moet worden;
• Wie checkt wat er gelekt is;
• Hoe in kaart gebracht wordt wat de gevolgen zijn voor de personen van wie de persoonsgegevens gelekt zijn;
• Welke gegevens nodig zijn voor de melding. De melding moet in ieder geval bestaan uit:

- de aard van de inbreuk;
- de instanties of persoon waar meer informatie over de inbreuk kan worden verkregen;
- de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken;
- een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens;
- de maatregelen die de organisatie heeft genomen of voorstelt te nemen om deze gevolgen te verhelpen.

• Wie de melding doet bij de Autoriteit Persoonsgegevens. Meldingen kunnen digitaal gedaan worden bij het meldloket van de Autoriteit Persoonsgegevens: http://datalekken.autoriteitpersoonsgegevens.nl 

Noot:

Deze informatie kwam tot stand met de informatie van de volgende websites:

www.nov.nl

www.autoriteitpersoonsgegevens.nl

www.hulpbijprivacy.nl

 

Mocht je na gebruik van bovenstaand stappenplan nog vragen hebben: laat het ons weten! We helpen je graag verder om van je stichting/vereniging/coöperatie AVG-proof te maken.

Snel de bijlages downloaden: