Stappenplan privacywetgeving (AVG)

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG)-wet van toepassing voor alle organisaties die gegevens van personen (persoonsgegevens) in een bestand bewaren. Deze organisaties moeten zich aan de regels in deze nieuwe verordening houden. Dat geldt zowel voor het bewaren in digitale bestanden als in mappen op een plank. Ook deze laatste moeten voortaan veilig worden op geborgen zonder dat vreemden daar bij kunnen. Met onderstaande stappen maak je jouw organisatie AVG-bestendig! De AVG vraagt van organisaties een aantal antwoorden die in het privacy beleid moeten worden opgenomen. Onderstaande voorbeeldvragen kunnen je helpen het privacy beleid vorm te geven.

Stap 1: Ga na waarom, hoe en wat

Ga na welke persoonsgegevens worden verzameld en waar die worden bewaard. In de nieuwe AVG zijn ook vrijwilligersorganisaties verplicht te inventariseren wat ze vastleggen en te registreren welke persoonsgegevens ze hoe vastleggen. Ook moeten ze bedenken of dat wat ze opslaan wel functioneel is; waarom leggen ze welke gegevens vast? Dit houdt in dat je alleen persoonsgegevens vastlegt die je nodig hebt en dat je ze alleen gebruikt waarvoor je ze verzamelt.

Denk bijvoorbeeld aan de voetbalvereniging die standaardadressen (straatnaam, postcode, huisnummer) van de leden in een bestand bewaart terwijl alle communicatie per telefoon, sociale media en digitale nieuwsbrief gaat. Deze clubs hoeven helemaal geen straat en huisnummer te bewaren. Het zal even wennen zijn maar hoe minder informatie er over personen bewaard wordt, hoe moeilijker gegevens herleidbaar zijn naar een persoon en hoe minder kans op schending van de privacy.

 

Stap 2: Laat weten wat je bewaart

Onveranderd maar wel van belang is dat betrokkenen toestemming geven voor het gebruik van hun persoonsgegevens. Alleen wanneer daar een dringende reden van algemeen belang of wetgeving voor is, kunnen persoonsgegevens zonder toestemming worden opgeslagen. Nieuw is dat de betrokkene moet weten dat zijn persoonsgegevens worden verwerkt en met welk doel. Betrokkenen hebben het recht hun gegevens in te zien en aan te (laten) passen. Bij verenigingen is helder dat persoonsgegevens noodzakelijk zijn voor het lidmaatschap en om deel te nemen aan de activiteiten. Dit laatste geldt ook voor deelname aan activiteiten van een stichting.

Pas op met bijzondere persoonsgegevens!

Verwerken van bijzondere persoonsgegevens is verboden, tenzij hiervoor een wettelijke uitzondering is of de persoon daar uitdrukkelijk toestemming voor heeft gegeven. Dit zijn persoonsgegevens van gevoelige aard zoals godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele geaardheid, lidmaatschap van een vakvereniging of politieke partij, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag, genetische en biometrische kenmerken. Onder deze laatste vallen vingerafdrukken, stem, handschrift, geometrie van de handomtrek en scans van netvlies, iris en gelaat.

Ook medische informatie, bijvoorbeeld over diabetes of allergieën, mag je alleen opslaan als er een wettelijke uitzondering is. Organisaties hebben nu de neiging deze informatie automatisch op te slaan in een bestand. Dat is niet langer toegestaan. Deze informatie moet dus iedere keer worden gevraagd voor activiteiten waarbij dat van belang is.

 

Stap 3: Vastleggen hoe de organisatie met de data omgaat

Organisaties hebben een verantwoordingsplicht door de nieuwe AVG-wet. Dat betekent dat organisaties vastleggen wie verantwoordelijk is voor de data, aan wie informatie wordt verstrekt, op welke computer deze wordt opgeslagen en op welke wijze deze wordt beschermt tegen virussen en hacken.

Techniek controleren

Niet onbelangrijk: zorg dat de data maar op één computer of één systeem staan. Verspreiding van data over verschillende computers of systemen zonder dat dat is vastgelegd, kan uitgelegd worden als datalekken. Van belang is ook dat de website van je organisatie een beveiligde website is (SSL-certificaat) om hacken tegen te gaan, zeker als bijvoorbeeld je ledenadministratie gekoppeld is aan je website of als je inschrijfformulieren voor een toernooi of activiteiten op je website hebt staan.

Voldoet je website aan de veiligheidseisen? Doe de gratis check of jouw website up-tot-date is op http://www.internet.nl. Mocht hieruit blijken dat je website niet voldoet aan de veiligheidseisen, neem dan contact op met je websitebouwer/hosting provider.

Het plaatsen van een privacyverklaring op je website is verplicht als je persoonsgegevens verwerkt. De privacyverklaring generator helpt je om een privacyverklaring te maken die zo goed als mogelijk is toegespitst op jouw organisatie. Deze vind je op https://veiliginternetten.nl/privacyverklaring/.

Procedures opstellen

Er moeten procedures worden opgesteld om personen toegang te geven tot de informatie: welke persoon in de organisatie heeft welke rechten om bepaalde gegevens in te zien. Voorbeeld: de ledenadministratie van een vereniging zal gegevens als straatnaam en huisnummer nodig hebben voor het werk binnen de vereniging, iemand van de PR commissie hoogstwaarschijnlijk niet. De leden van de PR commissie hebben in dit geval geen recht de gegevens straatnaam en huisnummer in te zien.

Verwerkersovereenkomst(en) opstellen

Met externe gebruikers van de bestanden, zoals drukkers, verspreiders van de nieuwsbrieven en bijvoorbeeld de koepelorganisatie, moeten overeenkomsten worden opgesteld voor het gebruik van gegevens; de zogenoemde verwerkersovereenkomst (zie voor de vereisten: doel, duur, verantwoordelijke, locatie data, geheimhouding, aansprakelijkheid). In deze overeenkomsten moeten bijvoorbeeld ook afspraken gemaakt worden over het vernietigen van de gegevens na gebruik. Voorbeeld: als je organisatie een nieuwsbrief verstuurd vanuit een externe aanbieder zoals Mailchimp, moet met deze aanbieder een verwerkersovereenkomst gesloten worden. Dit geldt ook voor een hosting provider of een salarisadministrateur.

Ook wanneer het om de koepelorganisatie gaat, moeten afspraken gemaakt worden over het gebruik van de bestanden. De organisaties maken immers afspraken met de leden over het zorgvuldig bewaren van hun gegevens en daar kan een organisatie op aangesproken worden. Bijvoorbeeld: als je als sportvereniging gegevens van leden deelt met de sportbond, dan is een verwerkersovereenkomst vereist.

Verwerkersovereenkomst: met externe partijen die bestanden met de persoonsgegevens verwerken voor jouw organisatie, moet je afspraken maken die in een overeenkomst worden vastgelegd. Klik hier om te zien wat er in zo’n overeenkomst moet staan.

 

Stap 4: Stel zo nodig een functionaris voor de gegevensbescherming (FG) aan

Dit is niet verplicht voor alle organisaties. Wel voor overheids- en publieke organisaties, organisaties die persoonsgegevens analyseren (profiling) en wanneer bijzondere persoonsgegevens worden opgeslagen. Voor organisaties waarvoor een FG niet verplicht is, kan het wel handig zijn een FG aan te stellen.

De FG is de centrale persoon die alle persoonsgegevens van de club beheert. Deze FG heeft zeggenschap over de bestanden en legt verantwoording af aan de verantwoordelijke beheerder, meestal het bestuur. Deze persoon beslist in opdracht van het bestuur over hoe bestanden worden opgeslagen en de procedure voor het beschikbaar stellen van de gegevens. Ook bestuursleden kunnen alleen via van tevoren vastgelegde procedures gegevens gebruiken. De FG zorgt er ook voor dat de virusscan op orde is en dat de computer beschermd is tegen hacken, indien de data op een lokale pc bewaard worden.

Voor organisaties die verplicht een Functionaris Gegevensbescherming (FG) moeten aanstellen heeft deze formeel de volgende verplichting:

  • FG’s mogen alleen handelen in opdracht van de verantwoordelijke;
  • FG’s worden verplicht een overzicht bij te houden van alle categorieën persoonsgegevens die zij verwerken in opdracht van en verantwoordelijke;
  • FG’s moeten passende technische en organisatorische beveiligingsmaatregelen nemen die een passend beschermingsniveau bieden met het oog op het risico van de gegevensverwerking voor betrokkenen.
  • FG’s moeten uitgebreide kennis hebben omtrent hun informatiesystemen en de typen data die zij verwerken (is er sprake van bijzondere persoonsgegevens?);
  • FG’s mogen geen sub-FG’s inschakelen zonder toestemming van de verantwoordelijke, wanneer sub-FG’s worden ingezet moet de FG de nodige technische en organisatorische maatregelen nemen om de veiligheid en integriteit van de data te garanderen;
  • FG’s moeten de verantwoordelijke onmiddellijk op de hoogte stellen van een data-lek. De termijn voor onverwijld in de Nederlandse wetgeving wordt in de Wet Meldplicht datalekken vastgesteld op 72 uur na ontdekking van het incident;
  • FG’s zijn verplicht medewerking te verlenen aan verzoeken van de Autoriteit Persoonsgegevens;
  • In bepaalde gevallen moet de FG een Privacy Impact Assessment uitvoeren. Dat is in ieder geval zo bij profiling, het verwerken van bijzondere persoonskenmerken en opslaan van camerabeelden met personen erop.

 

Stap 5: Data Protection Impact Assessment (DPIA)

Hiermee breng je in beeld wat de gevolgen zijn van het verzamelen van persoonsgegevens voor de personen zelf. Dit is afhankelijk van wat met de gegevens gedaan wordt. Wanneer de gegevens verzameld worden voor het versturen van de contributiebrief of een nieuwsbrief, is het effect dat mensen lid blijven van de organisatie of dat ze geïnformeerd zijn over de organisatie. Niet voor alle bestanden met persoonsgegevens hoeft daarom een DPIA gedaan te worden. Alleen wanneer:

  • Met de persoonsgegevens systematisch persoonlijke aspecten worden geëvalueerd (profiling);
  • Op grote schaal bijzondere gegevens worden verwerkt (zie stap 1);
  • Personen gevolgd worden in publieke ruimte (bijvoorbeeld door cameratoezicht).

Voor de meeste vrijwilligersorganisaties is een formele DPIA niet nodig. Vooral niet omdat alleen contactgegevens verzameld worden en geen persoonskenmerken. Je kunt deze wel vrijwillig doen om het risico op mogelijke datalekken te verkleinen.

 

Stap 6: Vrijwilligers informeren of opleiden

Het is niet de bedoeling dat wanneer je de gegevensbescherming zorgvuldig in beleid en procedures hebt geregeld, de eerste de beste vrijwilliger met persoonsgegevens die nodig zijn bij de uitoefening van de zijn/haar functie, te koop gaat lopen. Ook dat zijn datalekken. Dit kan gaan om gegevens uit de bestanden van de organisatie zelf, maar ook om informatie die een vrijwilliger van een deelnemer of ouder heeft gekregen.

 

Stap 7: Procedure opstellen voor het melden van datalekken

Elke organisatie die persoonsgegevens opslaat, is verplicht datalekken te melden binnen 72 uur na ontdekking. Om dit zorgvuldig te doen is het handig vooraf procedures af te spreken. Hierin staat:

  • Wat een datalek is. We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, een gestolen geprinte ledenlijst of cliëntgegevens. Andere voorbeelden zijn cyberaanvallen, verkeerd verzonden e-mail, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usb-sticks;
  • Bij wie in de organisatie een datalek gemeld moet worden;
  • Wie binnen de organisatie nog meer geïnformeerd moet worden;
  • Wie checkt wat er gelekt is;
  • Hoe in kaart gebracht wordt wat de gevolgen zijn voor de personen van wie de persoonsgegevens gelekt zijn;
  • Welke gegevens nodig zijn voor de melding. De melding moet in ieder geval bestaan uit:
  1. de aard van de inbreuk;
  2. de instanties of persoon waar meer informatie over de inbreuk kan worden verkregen;
  3. de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken;
  4. een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens;
  5. de maatregelen die de organisatie heeft genomen of voorstelt te nemen om deze gevolgen te verhelpen.
  • Wie de melding doet bij de Autoriteit Persoonsgegevens: dit kan de functionaris voor de gegevensbescherming (FG) zijn, maar bijvoorbeeld ook een bestuurslid.

Meldingen kunnen digitaal gedaan worden bij het meldloket van de Autoriteit persoonsgegevens: http://datalekken.autoriteitpersoonsgegevens.nl.

Communicatie bij een datalek

Het is verstandig om personen wiens data gelekt is (leden, deelnemers, donateurs e.d.) te informeren over het datalek en de aard van de gegevens die gelekt zijn. Zeker als deze data een inbreuk kunnen vormen op de persoonlijke levenssfeer. Maak een protocol dat je kunt volgen voor het geval dit voorkomt.

 

Stap 8: Houd rekening met de volgende onderwerpen

Personen van wie data wordt vastgelegd of bewaard hebben een aantal rechten. Een overzicht van deze rechten vind je hier. We lichten er enkele uit.

Inzagerecht en recht om vergeten te worden

Personen van wie data wordt vastgelegd/bewaard hebben inzagerecht en het recht om vergeten te worden. Hoe snel moet voldaan worden aan een verzoek om inzagerecht of een verzoek voor recht om vergeten te worden? Dit moet binnen 1 maand na het verzoek gebeuren. Er mogen geen kosten aan verbonden zijn.

Recht op dataportabiliteit

Nieuw in de AVG-wet is het recht op dataportibiliteit: bij het recht op dataportabiliteit moeten organisaties de gegevens verstrekken in een vorm die het voor betrokkenen makkelijk maakt om hun gegevens te hergebruiken en door te geven aan een andere organisatie. Organisaties zijn daarom wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en machine leesbaar formaat te verstrekken (o.a. Word, Excel, PDF).

Verwijderen van persoonsgegevens

Wanneer moeten persoonsgegevens bij een vrijwilligersorganisatie verwijderd worden? Uit de actieve ledenadministratie moeten persoonsgegevens uiterlijk twee jaar na het einde van het lidmaatschap verwijderd worden, tenzij er een eerder verzoek is gekomen van een oud-lid. Met toestemming van de leden is het mogelijk om persoonsgegevens langer vast te leggen (voor historiek, reünie). Let wel op de wettelijke bewaarplicht voor de administratie (verwijderen van data is niet hetzelfde als vernietigen van data).

Cameratoezicht

Moeten organisaties onder de AVG-wet cameratoezicht altijd melden bij de autoriteit persoonsgegevens? Ja, tenzij er een vrijstellingsbesluit van toepassing is. Het cameratoezicht moet duidelijk doel hebben en niet op zichzelf staan. Als je bijvoorbeeld de kantine van de sportvereniging met camera’s wilt beveiligen, dan is dit toegestaan. Maar als je een van deze camera’s op de openbare weg richt, zonder dat dit de beveiliging van de kantine ten goede komt, dan is dit niet toegestaan. Het toezicht moet gemeld worden aan bezoekers. De beelden mogen 4 weken bewaard worden. Bezoekers hebben een inzagerecht: zij mogen opgenomen beelden inzien. Maak hiervoor een protocol.

 

Handige documenten en links

Onderstaande links en documenten zijn hulpmiddelen bij de invoering van de privacywet binnen je organisatie. Je blijft als bestuur van je organisatie zelf verantwoordelijk voor de correcte invoer van deze wetgeving.

Documenten


Links

– Website Autoriteit Persoonsgegevens met informatie over de AVG

 

Bronnen stappenplan: NOV, Jan van Gool/MARK advocaten, GripOp, ContourdeTwern

Scroll naar boven