De regels van de nieuwe privacywet AVG (Algemene Verordening Gegevensbescherming) leiden vooral bij clubs en verenigingen tot veel vragen. Daarom: een korte handleiding.
Onze privacy is dankzij de AVG, die sinds 25 mei 2018 van kracht is, beter beschermd. Bedrijven en organisaties mogen niet meer ‘zomaar’ persoonsgegevens verzamelen en verwerken. Ze moeten kunnen aantonen dat ze aan de AVG voldoen. Maar: de AVG reikt ver: zij geldt niet alleen voor grote bedrijven zoals Facebook. Ook vrijwilligers die voor een maatschappelijke of sportvereniging persoonsgegevens verwerken, hebben ermee te maken. Dit roept bij sommige vrijwilligersorganisaties vragen op. Wat mag wel? Wat is verboden?
Een ruim begrip
Lastig daarbij is dat de AVG geen simpele richtlijnen bevat. Goed om te weten is dat ‘persoonsgegevens’ een zeer ruim begrip is. Het gaat om alle informatie die te herleiden is tot een persoon, zoals naam, adres, telefoonnummer, leeftijd en e-mailadres. Persoonsgegevens waaruit iemands etnische afkomst, politieke opvatting, religieuze of levensbeschouwelijke overtuiging, gezondheid of seksuele gerichtheid blijkt, gelden als bijzondere persoonsgegevens. Voor het verwerken hiervan gelden strengere regels.
Ook ‘verwerken’ wordt breed opgevat. In de praktijk valt nagenoeg iedere handeling met persoonsgegevens eronder, zoals verzamelen, opslaan, bewaren, doorsturen. Het geldt dus ook voor een bestandje met e-mailadressen dat wordt gedeeld. Of voor een foto op de website met herkenbare mensen. Een overzicht van geblesseerde sporters zegt iets over de gezondheid en valt hoogstwaarschijnlijk onder het verwerken van bijzondere persoonsgegevens.
Register
Iemand binnen een organisatie moet allereerst grondig in kaart brengen welke persoonsgegevens de organisatie verwerkt, met welk doel, waar die gegevens vandaan komen, hoelang ze worden bewaard, hoe ze worden beveiligd, met wie de organisatie de gegevens deelt, wie de verwerking uitvoert en hoe de betrokkenen worden geïnformeerd. Deze informatie moet vastgelegd worden in een ‘register van verwerkingsactiviteiten’. Het bijhouden van zo’n register is wettelijk verplicht.
Het register komt goed van pas om bij iedere verwerking van persoonsgegevens te verifiëren of dit is toegestaan. Onder de AVG moet er altijd een goede reden voor verwerking van de persoonsgegevens zijn, een ‘geldige grondslag’ in de termen van de AVG. Is die er niet, dan is de verwerking van de persoonsgegevens niet toegestaan.
Er zijn zes grondslagen. Belangrijk voor een kleine organisatie zijn: 1) Toestemming van de betrokken persoon. 2) De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst. 3) De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
Een voorbeeld van toestemming is dat iemand ermee akkoord gaat dat zijn e-mailadres in een bestand komt om een nieuwsbrief te ontvangen of dat er foto’s op een website komen. Een voorbeeld van de tweede grondslag is het opnemen van een nieuw lid in de ledenadministratie om contributie te kunnen innen. Een voorbeeld van de derde grondslag is het informeren van de Belastingdienst.
Toestemming vragen
Het vragen van toestemming dient aan speciale eisen te voldoen. Zo moet de toestemming vrijelijk gegeven zijn. Met andere woorden: een organisatie mag iemand niet onder druk zetten en ook niet benadelen als hij geen toestemming geeft. De toestemming moet ondubbelzinnig, geïnformeerd en specifiek zijn. Bij ‘wie zwijgt, stemt toe’ of bij een vooraangevinkt vakje op een website is dat niet het geval.
Daarnaast moet de organisatie helder uitleggen welke persoonsgegevens ze wil gebruiken, waarom en hoe de toestemming weer is in te trekken. Toestemming gaat dus over een specifieke verwerking voor een specifiek doel. Iemand die toestemming geeft om een nieuwsbrief te ontvangen, geeft daarmee nog geen toestemming om ook reclamemails te ontvangen.
Wie persoonsgegevens van kinderen onder de 16 verwerkt, heeft toestemming van de ouders nodig.
Informeren
De AVG schrijft ook voor dat de persoonsgegevens goed beveiligd moeten zijn en vertrouwelijk dienen te blijven. Persoonsgegevens mogen dus niet rondslingeren op USB-sticks of externe harde schijven, en vrijwilligers met toegang tot de gegevens hebben een geheimhoudingsplicht. Pc’s moeten zijn beschermd met wachtwoorden, die regelmatig worden gewijzigd. Ook zijn er regelmatige back-ups nodig, zodat bij een computercrash geen gegevens verloren gaan.
Als sluitstuk informeert de organisatie de betrokkenen. Ze vertelt welke persoonsgegevens zij verzamelt, wat zij ermee doet en hoelang ze de gegevens wil bewaren. Dit gebeurt in een zogeheten privacyverklaring. Daarin staat ook dat betrokkenen inzage kunnen vragen in hun gegevens, deze eventueel kunnen corrigeren, om verwijdering kunnen vragen, en het recht hebben een klacht in te dienen bij de Autoriteit Persoonsgegevens. Laat betrokkenen akkoord gaan met de privacyverklaring en de persoonsgegevens zijn in goede handen.
- Plus Magazine
