Het ligt er helemaal aan hoe groot je bent als organisatie en welke gegevens je nodig denkt te hebben van leden of belangstellenden. In dit artikel leggen we in hoofdlijnen uit wat je moet weten en wat je moet doen.
Heb je na onderstaande informatie nog een vraag? Stel hem in ons Open forum. Onderaan deze pagina vind je een hele rits goede voorbeelden die je kunt downloaden.
Algemene Verordening Gegevensbescherming (AVG)
Deze wet beschermt onze privacy. Dat betekent dat we controle behouden over persoonsgegevens. Geven we anderen onze persoonsgegevens, dan dienen zij hiermee voorzichtig om te gaan. De AVG beschermt ons hierin. Voor huishoudelijk gebruik geldt de AVG niet. Stichtingen en verenigingen verzamelen gegevens van leden, donateurs en andere relaties. Deze gegevens bevatten informatie over mensen. Dat kunnen gewone gegevens zijn, maar ook bijzondere. Bijzondere gegevens zeggen meer over iemand dan gewone gegevens. Bij verlies of onzorgvuldig gebruik van bijzondere gegevens is de impact groter. Bijzondere gegevens zeggen iets over politieke gezindheid, seksuele voorkeur, ras, ziekte of andere gevoelige kenmerken.
De AVG beschermt privacy van mensen en geeft het recht om te weten welke gegevens een organisatie van mensen heeft. Iemand die een zogeheten inzageverzoek doet, en daarmee wil weten welke gegevens er over hem of haar worden verwerkt, moet inzage worden gegeven. Welke gegevens er worden verwerkt en bewaard, verschilt per organisatie. Welke gegevens ook worden verwerkt, er gelden uitgangspunten vanuit de AVG.
Manier waarop gegevens worden verwerkt
Volgens de bepalingen van de AVG zijn de volgende uitgangspunten van toepassing op gegevens die worden gevraagd.
- rechtmatigheid, behoorlijkheid en transparantie;
- Rechtmatig wil zeggen: je moet een reden hebben om bepaalde gegevens te vragen. Het zijn een of meerdere reden vanuit deze opsomming: In de AVG staan de er 6 grondslagen voor verwerking van persoonsgegevens. Zoals: Je hebt toestemming van de persoon om wie het gaat of, je bent wettelijk verplicht om gegevens te verwerken.
- Behoorlijkheid is: gegevens mogen niet nadelig, discriminerend, onverwacht of misleidend zijn.
- Transparant betekent dat je open en duidelijk moet zijn waarom je deze gegevens nodig hebt.
- Doelbinding. De redenen waarvoor gegevens worden gevraagd en verwerkt zijn in lijn met de gestelde doelen. Als iemand een nieuwsbrief wil ontvangen, dan is op z'n minst een e-mailadres nodig.
- Dataminimalisatie. Niet meer gegevens vragen en verwerken dan noodzakelijk.
- Juistheid. De gegevens die je verzamelt moeten juist zijn.
- Opslagbeperking. Je mag gegevens niet langer dan noodzakelijk bewaren.
- Vertrouwelijkheid en integriteit. Bestanden of systemen met persoonsgegevens moeten zijn beveiligd.
Gegevens naar andere organisaties sturen
Organisaties kunnen bepaalde diensten uitbesteden aan anderen. Zoals het versturen van nieuwsbrieven of enquêtes. Een andere organisatie heet in AVG-termen een verwerker. Dat betekent dat een andere organisatie gegevens verwerkt en hiervoor moet een afspraak op papier worden gemaakt, een verwerkersovereenkomst. Hier vind je wat er in zo'n verwerkersovereenkomst dient te worden opgeschreven: Verwerkersovereenkomst | Autoriteit Persoonsgegevens.
Gegevensverwerking met hoog privacyrisico
Het verwerken van privacygegevens kunnen gepaard gaan met hoge risico's voor de rechthebbenden. Als er bijvoorbeeld systematisch en uitgebreid onderzoek plaatsvindt naar de kredietwaardigheid van personen of wanneer er op grootschalige wijze surveillance plaatsvindt, dan moet er voorafgaand een risicoinventarisatie worden uitgevoerd. In de AVG heet dit een data protection impact assessment (DPIA). Data protection impact assessment (DPIA) | Autoriteit Persoonsgegevens.
Datalek
Organisaties zijn volgens de AVG verplicht om een datalekregister aan te leggen en bij te houden. Dat geldt ook zolang er geen sprake is van een datalek. Een voorbeeld van zo’n register vind je hier: Voorbeeld-datalekregister | Autoriteit Persoonsgegevens. Een datalek moet binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens: Datalek melden | Autoriteit Persoonsgegevens.
Samenvattend, waarop letten?
Voor veel organisaties die met vrijwilligers werken is het redelijk overzichtelijk waarop zij moeten letten. Allereerst is de privacy belangrijk, vervolgens bepaal je welke gegevens nodig zijn voor jouw organisatie. Vervolgens informeer je mensen welke gegevens je vraagt en wat je ermee doet. Tenslotte bewaar je de gegevens op een goede manier. De meeste organisaties verwijderen gegevens van vrijwilligers die niet langer actief zijn. In een privacyreglement leg je vast welke gegevens je verwerkt. Kijk bijvoorbeeld eens hier Privacyverklaring | Vereniging VrijwilligerswerkNL hoe wij dat doen.
Handige downloads, tools en voorbeelden