Submenu

De AVG en vrijwilligersorganisaties

Ronald Hetem 12-01-2021 2235 keer bekeken 0 reacties

Sinds 25 mei 2018 geldt in de hele Europese Unie dezelfde privacywetgeving: de Algemene verordening gegevensbescherming (AVG). Met de invoering van de AVG kregen mensen meer privacyrechten. Organisaties moeten hun systemen en processen hierop inrichten.

Door Joanne Wieringa

Persoonsgegevens

Als vrijwilligersorganisatie leg je waarschijnlijk persoonsgegevens vast van bijvoorbeeld vrijwilligers, deelnemers en samenwerkingspartners. Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat deze informatie óf direct over iemand gaat, óf naar deze persoon te herleiden is. Voorbeelden van persoonsgegevens zijn: naam, adres, telefoonnummer, e-mailadres en geboortedatum.

Bijzondere persoonsgegevens

Gevoelige gegevens zoals iemands ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, gegevens over gezondheid en gegevens met betrekking tot iemands seksueel geaardheid worden ‘bijzondere persoonsgegevens’ genoemd. Deze bijzondere persoonsgegevens zijn door de wetgever extra beschermd. Het is verboden bijzondere persoonsgegevens te verwerken, tenzij er een wettelijke uitzondering is, bijvoorbeeld omdat de verwerking noodzakelijk is voor de volksgezondheid of om specifieke rechten uit te oefenen, zoals het arbeidsrecht. Is er bij jouw organisatie geen sprake van een wettelijke uitzondering, dan is het dus niet toegestaan om bijzondere persoonsgegevens te verwerken. Is er wél sprake van een wettelijke uitzondering, dan moet je als organisatie uitdrukkelijke toestemming vragen voor het verwerken van de bijzondere persoonsgegevens.

Verwerken van persoonsgegevens

Kort gezegd komt het ‘verwerken van persoonsgegevens’ er op neer dat alles wat je kan doen met persoonsgegevens onder het begrip ‘verwerken’ valt. Het maakt daarbij niet uit of de gegevens schriftelijke op papier worden verwerkt of in een bestand worden opgenomen. Dus wanneer je als organisatie een deelnemer toevoegt aan de deelnemerslijst, een update schrijft in een logboek of een certificaat voor een vrijwilliger maakt, ben je bezig met de verwerking van persoonsgegevens.

Redenen voor het verwerken van persoonsgegevens

Elke keer als je persoonsgegevens verwerkt, is dat een inbreuk op de privacy van de mensen over wie het gaat. Daarom mag je alleen persoonsgegevens verwerken als het echt niet anders kan. Dus: als je zonder deze gegevens je doel niet kunt bereiken. Je moet je als organisatie bijvoorbeeld afvragen of het echt nodig is de adresgegevens van een deelnemer te verwerken wanneer je alleen maar digitaal en telefonisch met deelnemers communiceert.

In de AVG staan 6 redenen genoemd waarom persoonsgegevens verwerkt mogen worden. De juridische naam voor die redenen is ‘grondslagen’. Je hebt dus één grondslag nodig om persoonsgegevens te mogen verwerken. Het gaat om de volgende 6 grondslagen:

Je hebt toestemming van de persoon om wie het gaat.
Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
Het is noodzakelijk om gegevens te verwerken omdat je dit wettelijk verplicht bent.
Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen.
Het is noodzakelijk om gegevens te verwerken om uw gerechtvaardigde belang te behartigen.

Bekijk als organisatie welke grondslag in jouw situatie van toepassing is en waarmee het gerechtvaardigd is om persoonsgegevens te verwerken.

Toestemming voor het verwerken van persoonsgegevens

Voor het verwerken van ‘gewone’ persoonsgegevens moet je op onderstaande manier toestemming vragen, voor bijzondere persoonsgegevens heb je uitdrukkelijke toestemming nodig.

Toestemming voor het verwerken van persoonsgegevens

Vraag op de volgende manier toestemming voor het verwerken van ‘gewone’ persoonsgegevens:

zorg ervoor dat de toestemming vrijwillig is gegeven. Er mag geen dwang achter zitten, maar de toestemming mag ook geen voorwaarde zijn voor iets anders;
de persoon moet een handeling verrichten, anders is er geen toestemming (dus niet: vooraf de optie toestemming aanvinken);
leg goed uit waarvoor je de persoonsgegevens gebruikt. De betrokkene moet weten waar hij/zij toestemming voor geeft en aan wie, welke persoonsgegevens er verwerkt worden, voor welk doel en hoe lang;
gebruik duidelijke en eenvoudige taal die door iedereen begrepen wordt;
maak duidelijk dat de toestemming op ieder moment weer makkelijk kan worden ingetrokken;
registreer de toestemming met datum, zodat je bewijs hebt van de toestemming. Als organisatie heb je namelijk een verantwoordingsplicht en moet je kunnen aantonen dat de betrokkene toestemming heeft gegeven.

Toestemming verwerken bijzondere persoonsgegevens

Je krijgt uitdrukkelijke toestemming als je naast de stappen voor gewone toestemming de personen de mogelijkheid geeft per specifiek doel te beslissen of ze er toestemming voor willen geven of niet.

Bewaartermijn van persoonsgegevens

Er is op grond van de AVG geen concrete bewaartermijn voor persoonsgegevens. Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren. Hierbij kijken zij naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt. Je moet de door jouw gekozen bewaartermijn van de persoonsgegevens wel delen met degene van wie je de persoonsgegevens verwerkt. Zijn de gegevens niet meer noodzakelijk? Dan moeten organisaties de gegevens vernietigen.

Meer informatie

De Rijksoverheid schreef de handleiding Algemene Verordening Gegevensbescherming.
Vereniging NOV ontwierp een 7-stappenplan waarmee je jouw organisatie AVG-bestendig maakt.
Op de website van de Autoriteit Persoonsgegevens vind je veel informatie over de AVG.