Veelgestelde vragen AVG GDPR

Wist je dat elke vereniging, klein en  groot, aan de nieuwe privacywet (AVG) moet voldoen?

De AVG (Algemene Verordening Gegevensbescherming) geldt niet alleen voor bedrijven, maar ook voor alle soorten verenigingen, groot en klein. Van brancheorganisaties en beroepsverenigingen tot lokale (sport)verenigingen. Alle verenigingen hebben te maken met persoonsgegevens waar veilig mee omgegaan moet worden. Vanaf 25 mei 2018 gaat de AVG in en handhaaft de Autoriteit Persoonsgegevens (AP), de Nederlandse privacytoezichthouder, de nieuwe privacywet.

Onderneem op tijd de nodige stappen

De nieuwe wet verwacht van verenigingen actief om veel stappen te ondernemen: alles omtrent privacy uitzoeken, regelen en vastleggen. Het is een inspanningswet zoals je wellicht kent van de Arbowet (inclusief BHV-regelgeving).

Ons advies: start op tijd, dan is alles straks goed geregeld. Maar wat moet je volgens de wet allemaal doen? Je moet stappen zetten op het vlak van juridische zaken, ICT, organisatieprocedures en opleiding.

(bron: https://avgverenigingen.nl)

Mag ik onder de AVG aan direct marketing doen?

De wetgever maakt onderscheid tussen gewone direct marketing (bellen en post sturen) en digitale direct marketing (via e-mail, Facebook, LinkedIn of sms). De redenering is dat gewone direct marketing een organisatie geld kost en dus altijd beperkt zal blijven. Digitale marketing is nagenoeg gratis en kan daardoor heel veel toegepast worden, met alle gevolgen van dien. Om deze reden gelden er strengere regels voor digitale direct marketing.

Bij gewone direct marketing heb je vooraf geen toestemming nodig van degene die je benadert.

Bij digitale direct marketing heb je wel vooraf toestemming nodig.

Bij het eerste direct marketing contact moet je altijd het volgende duidelijk uitleggen:

  • waarom er contact opgenomen is;
  • met welke organisaties de vereniging de persoonsgegevens zal delen;
  • wat de rechten zijn om bezwaar te maken tegen deze direct marketing.

Recht van bezwaar

De betrokkene heeft te allen tijde het recht om bezwaar te maken tegen de verwerking van zijn gegevens voor direct-marketingdoeleinden. Als de betrokkene een dergelijk bezwaar indient, dan mogen zijn of haar gegevens niet meer voor marketingdoeleinden worden verwerkt.

Verschillende regels voor reclamepost en digitale reclame

Voor reclamepost en digitale reclame gelden verschillende regels om een overvloed tegen te gaan. Wanneer je als organisatie bijvoorbeeld een folder verspreidt, dan kost je dat geld. Een e-mail is (als we mailpakketten en abonnementen buiten beschouwing laten) gratis, waardoor je onbeperkt e-mails kunt sturen. Als alle organisaties dat zouden doen, dan maken zij deze communicatiekanalen onbruikbaar voor mensen en organisaties.

Richting bestaande leden

Als het gaat om digitale reclame, nieuwsbrieven of gewone mailings, geldt een uitzondering voor leden. Die mag je wel blijven benaderen. Zolang je maar duidelijk in elk contact aangeeft hoe iemand zich weer kan afmelden.

(bron: https://avgverenigingen.nl)

Is het BSN een bijzonder persoonsgegeven?

Deze vraag krijgen wij vaak. De berichtgevingen zorgen voor enige verwarring. Graag geven wij een korte uitleg. Het BSN is onder de huidige Wet bescherming persoonsgegevens (Wbp) een bijzonder persoonsgegeven. Dat betekent dat het BSN alleen gebruikt mag worden als er ergens in de wet staat dat een organisatie die bevoegdheid heeft. Onder de Europese AVG valt het BSN niet meer onder de noemer bijzonder persoonsgegeven, maar let op, maar er komen waarschijnlijk wel speciale regels voor.

De Europese lidstaten mogen onder de AVG zelf voorwaarden stellen aan het verwerken van een nationaal identificatienummer, zoals het BSN. Welke voorwaarden Nederland stelt, staat nu nog niet vast. Dat komt omdat de zogeheten Uitvoeringswet AVG nog niet definitief is. We verwachten dat de regels streng blijven  zoals we ze al jaren kennen. Met dit alles in het achterhoofd heeft onze stichting er voor gekozen om het BSN onder bijzonder persoonsgegeven te laten staan binnen ons stappenplan.

Meer over bijzondere persoonsgegevens

In onze kennisberichten kun je meer lezen over het onderwerp ‘bijzondere persoonsgegevens’.

Verenigingen leggen namelijk vaak (ongemerkt) bijzondere persoonsgegevens vast waarvoor speciale regels gelden. Zo hebben koepelorganisaties veel te maken met lobbywerk waardoor je onbewust bijzondere persoonsgegevens kan registreren. Mag dit, heb je daar toestemming voor, is er een verantwoorde doelbestemming? Wees je er bewust van en check of je deze gegevens daadwerkelijk mag en moet vastleggen.

We hebben bovendien een aparte toelichting geschreven over bijzondere persoonsgegevens. In ons stappenplan vind je veel informatie over wat je wel en niet mag met bijzondere persoonsgegevens. Via de Stichting AVG kun je ook in contact komen met AVG-professionals die je hiermee verder kunnen helpen.

(bron: https://avgverenigingen.nl)

Je privacy policy moet voor iedereen vindbaar zijn

Om aan de wet te voldoen moet de vereniging een privacy policy (privacybeleid) hebben. De mensen van wie de je persoonsgegevens hebt opgeslagen, dan wel gaat opslaan, moet je goed informeren over hoe je met persoonsgegevens omgaat en informeer je over hun rechten. Dit doe je met de privacy policy. Deze moet bovendien ook makkelijk te vinden zijn. Je website is daarvoor het meest geschikt. Je kan bijvoorbeeld in de footer de privacy policy opnemen en in al je documenten en e-mails daarnaar verwijzen.

Inhoud privacy policy
In de privacy policy breng je mensen op de hoogte van hun rechten zoals:

  • inzagerecht;
  • recht op rectificatie;
  • recht om vergeten te worden;
  • recht op beperking van verwerking;
  • recht op overdraagbaarheid van gegevens;
  • recht van bezwaar.

Stichting AVG heeft een privacy policy geschreven die alle deelnemers voor de eigen vereniging kunnen gebruiken als basis.

Aandachtspunt

Een persoon heeft altijd het recht om zijn persoonsgegevens in te zien. Je kunt deze persoon een kopie van bijvoorbeeld het aanmeldingsformulier met zijn of haar gegevens overhandigen.

Do’s en don’ts op je werkplek

Om privacybescherming meer handen en voeten te geven binnen je organisatie adviseren we te werken met do’s en don’ts voor op je werkplek. Hieronder een paar voorbeelden:

  • Blokkeer altijd je beeldscherm bij het verlaten van jouw werkplek;
  • Laat documenten met persoonsgegevens nooit onbeheerd achter op je bureau of bij de printer;
  • Kies nooit voor automatisch opslaan van inloggegevens op je computer;
  • Besef dat openbare netwerken niet veilig zijn;
  • Let op wat je deelt via sociale media;
  • Bedek altijd je webcam om ‘meekijken’ te voorkomen;
  • Gebruik nooit de inlog van een collega en geef je inloggegevens ook niet door aan een collega;
  • Zorg ervoor dat je mobiele telefoon beveiligd is met een inlogcode of vingerherkenning.

(bron: https://avgverenigingen.nl)

Zorg dat alle software veilig en altijd up-to-date is!

Je bent verplicht om alle persoonsgegevens goed te beveiligen en je moet kunnen aantonen hoe je dit hebt gedaan. Dit geldt voor alle ICT-systemen die je gebruikt. Het betekent dat je verplicht alle software up-to-date moet houden. Dit doe je door het aanzetten van het automatisch ophalen en installeren van updates van de software. Zorg bovendien ook voor goede antivirussoftware en maak goede afspraken met al je softwareleveranciers. Ga na of zij voldoen aan de nieuwe wetgeving. Bij twijfel, schakel een AVG-professional in.

Extra aandacht bij wachtwoorden

Beveiliging betekent niet alleen automatische updates en antivirussoftware. Zorg dat alle medewerkers goede veilige wachtwoorden gebruiken en zet een wachtwoord op alles waarmee persoonsgegevens worden verwerkt! Zowel op de computer, laptop, mobiele telefoon of USB. Maar ook op je Excelbestanden. Wees er ook van bewust dat je niet overal hetzelfde wachtwoord gebruikt en verander regelmatig wachtwoorden. En pas op met het delen van wachtwoorden met collega’s.

(bron: https://avgverenigingen.nl)

Hoe weet ik of mijn verenigingswebsite veilig is?

De veiligheid van je website is ook van groot belang. Maar hoe weet je of deze veilig is? Je kunt zelf controleren of de verenigingswebsite veilig is via www.internet.nl. Dit is een initiatief van de Internetgemeenschap en de Nederlandse overheid. Voer je website-adres in op deze site en je krijgt onmiddellijk een analyse van de sterke en zwakke punten van de toegangsbeveiliging. Zo kun je eenvoudig checken of de internetverbinding, e-mail en website wel voldoen aan moderne internetstandaarden.

HTTPS

Let op! Als je persoonsgegevens verzamelt via de website, moet je in ieder geval https gebruiken. Dit is al het geval als je een (contact)formulier op de site gebruikt of een optie aanbiedt voor nieuwsbriefaanmeldingen. Https (beveiliging) voorkomt dat onbevoegde derden mee kunnen lezen met het verkeer naar de website. De professionals van stichting AVG kunnen jouw vereniging hier verder over adviseren.

(bron: https://avgverenigingen.nl)

Bescherm persoonsgegevens met back-ups

Om persoonsgegevens van jouw vereniging te beschermen tegen verlies of diefstal moet je back-ups maken. Veilige back-ups! Het is noodzakelijk om dat regelmatig te doen. De meeste digitale systemen maken op gezette tijden back-ups , maar niet allemaal. Ga na of dat geregeld is en of de back-ups ook veilig worden bewaard.

In veel gevallen regel je de data back-ups met je leverancier, maar je kan ook zelf voor de back-ups zorgen. Test regelmatig of het werkt en beveilig back-ups altijd met een wachtwoord. Let op: een USB-stick geldt niet als een veilige back-up. Een USB-stick is heel eenvoudig te stelen en/of te kopiëren. Voor back-ups op een externe harde schijf adviseren wij om deze steeds na een back-up los de koppelen van het systeem en achter slot en grendel te bewaren. Op deze manier zijn de persoonsgegevens ongevoelig voor ransomware. Dit is malware die een computer en/of gegevens die erop staan blokkeert en geld vraagt om de computer weer te ‘bevrijden’. Niet onbelangrijk dus, met een veilige back-up heb je altijd nog de beschikking over je data. Een ransomeware aanval kan wel  betekenen dat er sprake is van een datalek, loop daarom altijd het stappenplan datalekken door bij een beveiligingsincident.

Ook papieren documenten met persoonsgegevens moeten achter slot en grendel. Tip: zorg voor een sluitend sleutelbeheer met geautoriseerde personen en geheimhoudingsverklaringen. Meer over deze onderwerpen lees je in onze andere kennisberichten.

(bron: https://avgverenigingen.nl)

Mag mijn vereniging beeldmateriaal van minderjarige leden publiceren?

In hoofdlijnen zijn de regels onder de AVG hetzelfde als onder de Wet bescherming persoonsgegevens (Wbp). Dat komt er op neer dat je foto’s van minderjarige leden wel mag publiceren, maar alleen als je daarvoor toestemming hebt gekregen. Nieuw is dat je als vereniging moet kunnen aantonen dat deze toestemming is verleend en dat je maatregelen hebt genomen om de beelden te beschermen. We gaan op beide onderdelen verder in.

Toestemming van ouder/voogd of lid

Wil je beeldmateriaal (video/foto) publiceren van leden jonger dan 16 jaar? Dat kan online zijn, maar ook in het papieren clubblad, dan heb je toestemming nodig van zijn of haar ouder/voogd. Bij minderjarigheid, maar ouder dan 16, mag het lid daar zelf toestemming voor geven. Onder de AVG moet je de toestemming kunnen aantonen (bijvoorbeeld een handtekening op papier). En het moet bovendien makkelijk zijn om de toestemming weer in te trekken. Beelden moeten dan verwijderd worden als iemand daar later om vraagt.

Toestemming moet aan 3 voorwaarden voldoen
Om elke twijfel uit te sluiten moet de toestemming hier aan voldoen:

  • Deze moet vrij en niet onder druk gegeven zijn.
  • Deze moet ondubbelzinnig zijn. Je mag niet uit gaan van het principe ‘wie zwijgt, stemt toe’.
  • Je moet toestemming vragen voor een specifieke verwerking en een specifiek doel. Bijvoorbeeld om via beeldmateriaal op de site verslag te doen van een toernooi.

TIP: vraag in een keer toestemming voor de publicatie van beeldmateriaal voor meerdere activiteiten gedurende het jaar. Je moet dan wel per activiteit aan de drie voorwaarden voldoen.

Beveiligen van beeldmateriaal

Onder de AVG moet je aan kunnen tonen dat je voldoende technische en organisatorische maatregelen hebt genomen om beeldmateriaal van minderjarige leden te beschermen.

Een praktisch voorbeeld: wil je alleen ouders en (minderjarige) leden toegang geven tot het beeldmateriaal? Dan is een aparte omgeving binnen je website, waar alleen deze groep op in kan loggen, een goede oplossing. Let wel op: deze moet wel met https beveiligd zijn. Lees meer hierover in één van onze andere kennisberichten.

Er zijn ook apps en andere online diensten op de markt die het mogelijk maken om binnen een afgeschermde groep beelden te delen. Let er wel goed op wat de aanbieder met de persoonsgegevens doet. Dat lees je terug in de privacy policy. Niet alle internationale diensten voldoen namelijk aan de regels die binnen de AVG gelden.

(bron: https://avgverenigingen.nl)

Kan de Autoriteit Persooonsgegevens (AP) boetes uitdelen aan verenigingen?

De Autoriteit Persoonsgegevens (AP) treedt binnen Nederland op als privacytoezichthouder. De AP is daarbij ook bevoegd om boetes uit te delen als organisaties straks de AVG overtreden. Daar vallen ook verenigingen onder.

Maximale inspanning om aan de AVG te voldoen

Volgens de regels kan de AP een boete opleggen van maximaal 20 miljoen euro. In welke vorm de AP controles uit gaat voeren of meldingen oppakt is niet bekend. Te verwachten valt dat naleving van de privacywetgeving hoog op de agenda zal staan. Niemand zit op boetes te wachten, maar bovenal is het van groot belang om goed om te gaan met privacygevoelige informatie. Doe je er het maximale aan om aan de AVG te voldoen en privacy te waarborgen, dan is de kans niet groot dat je als vereniging een boete krijgt. Dit is ook precies waarbij de stappen in ons AVG-programma helpen. Zo vergeet je niks en kan je aantonen dat je alle stappen hebt doorlopen om aan de AVG te voldoen.

AP kent twee categorieën boetes

De AP kent twee categorieën overtredingen, we geven ze kort weer plus de maximale boetes die bij de overtredingen horen:

Organisaties die persoonsgegevens verwerken hebben onder de AVG bepaalde verplichtingen, zoals de verantwoordingsplicht. Kom je deze niet na, dan kan de AP een boete opleggen van maximaal 10 miljoen euro. Of een boete van 2% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

    Overtreedt een organisatie de beginselen of grondslagen van de AVG? Of de privacyrechten van de betrokkenen? Dan kan de AP een boete opleggen van maximaal 20 miljoen euro. Of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

(bron: https://avgverenigingen.nl)

Nooit gegevens opslaan buiten de EU. Hoe pak je dat aan?

De AVG is Europese wetgeving. De wetgever is extra streng als je persoonsgegevens wilt opslaan buiten de EU. Bij clouddiensten wordt er bijvoorbeeld vaak gebruik gemaakt van opslag buiten de EU, waar andere regels gelden. Deze zijn veelal niet in lijn met de Europese wetgeving. Check daarom of je dienstverlener (drukker, verspreider, enz.) de toevertrouwde persoonsgegevens binnen de EU opslaat. Dat kan bijvoorbeeld om een mailinglist of ledenlijst gaan. In de verwerkersovereenkomst kun je dit vastleggen.

Extra aandacht bij online diensten

Bij online diensten (zoals Dropbox, WeTransfer enz.) is het een stuk moeilijker. Enige terughoudendheid is vereist. Bij deze diensten heb je namelijk geen 1-op-1 verwerkersovereenkomst en moet je zelf onderzoeken of de dienst voldoet aan de Europese eisen. Leg contact en/of bekijk de voorwaarden van de aanbieder. Geef altijd aan dat je vereniging domicilie heeft in Nederland. In aanloop naar de AVG zorgen diverse niet-Europese partijen (denk aan Microsoft), dat zij hun diensten/opslag binnen de EU regelen. Een goede ontwikkeling. Wees er echter op bedacht dat niet alle partijen dit (tijdig) op orde hebben. Zo heeft in november 2017 (na vele toezeggingen) MailChimp dit nog niet geregeld. Veel Nederlandse organisaties maken gebruik van hun nieuwsbriefdienst. Wellicht moet je nadenken over een anders oplossing?!

Stappenplan

Als je wilt dat de verenigingsdata netjes binnen de EU blijven, hoe pak je dan aan? Hier een aantal handige stappen:

  • Werk voor dit onderdeel nauw samen met de ICT-afdeling of ICT-partij. Zeker externe partijen krijgen deze vragen steeds vaker en hebben waarschijnlijk al wat antwoorden klaarliggen;
  • Begin met een beschrijving van alle software die je vereniging gebruikt, het zogenaamde softwarelandschap;
  • Geef in het landschap aan met welke softwareleveranciers je een verwerkingsovereenkomst hebt. Als het goed is staat in de verwerkersovereenkomst dat jullie data alleen binnen de EU opgeslagen mogen worden;
  • Vraag bij de overgebleven softwareleveranciers na waar de persoonsgegevens opgeslagen worden. Vaak heeft een softwareleverancier daarover al informatie staan op de website;
  • Zorg dat je de informatie bewaart waar de persoonsgegevens zijn opgeslagen. Dit geldt in het bijzonder voor leveranciers waarvan bekend is dat ze een niet-Europese achtergrond hebben;
  • Ben je er ook van bewust dat er sprake kan zijn van een keten van leveranciers. Zorg dat de eigen leverancier garant staat voor de gegevensbescherming door de partners en derden.

(bron: https://avgverenigingen.nl)

Verplichte (nieuwe) verwerkersovereenkomst met derden

De AVG verplicht je om verwerkersovereenkomsten met derden/partners te sluiten. Dit komt bij verenigingen in veel situaties voor, bijvoorbeeld bij het inschakelen van een drukkerij, hostingpartij of digitale nieuwsbriefverzender. Als vereniging mag je persoonsgegevens nooit doorgeven aan een andere partij als je met die partij geen verwerkersovereenkomst hebt.

Ook oude bewerkersovereenkomsten herzien

Ga dus na met welke verwerkers jouw vereniging allemaal samenwerkt en sluit (nieuwe) overeenkomsten af die voldoen aan de AVG. Binnen de overeenkomst moeten onder meer afspraken worden gemaakt over de beveiliging van de gegevens en het verwijderen van de gegevens aan het einde van de opdracht. Let op. Oude bewerkersovereenkomsten moeten herzien worden, omdat de AVG andere eisen stelt.

Binnen het AVG-programma hebben we een standaard verwerkersovereenkomst ter download opgenomen. Uiteraard kun je ook zelf afspraken vastleggen binnen eigen documentatie/contracten. Hierin moet je in ieder geval de volgende afspraken vastleggen:

  • het onderwerp en de duur van de verwerking;
  • de aard en het doel van de verwerking;
  • het soort persoonsgegevens;
  • de categorieën van betrokkenen;
  • de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven.

Deze en meer punten kaarten we aan in een extra checklist waarmee je kunt vaststellen of je verwerkersovereenkomst voldoende is ‘dichtgetimmerd’. De Stichting AVG kan je ook helpen door je overeenkomsten (contracten) met externe verwerkers te controleren.

(bron: https://avgverenigingen.nl)

Gegevens van ex-leden moet je vernietigen

Onder de AVG gelden dezelfde regels omtrent de bewaartermijn als nu. Het uitgangspunt blijft dat je persoonsgegevens niet langer mag bewaren dan noodzakelijk voor het doel van de verwerking.

Verscheuren en weggooien is niet voldoende

Persoonsgegevens moeten zowel digitaal (bijvoorbeeld een regel wissen in Excel) als fysiek vernietigd worden (het aanmeldingsformulier) als er geen overeenkomst meer is. Bij de vernietiging van papieren documenten is versnipperen de juiste wijze, verscheuren en weggooien is niet voldoende.

Bewaartermijn, wet nog in beweging

Hoe lang mag of moet je persoonsgegevens bewaren? Op dit punt is de wetgeving nog in beweging. Hoe het precies zit met de gegevens van ex-leden, is namelijk nog niet duidelijk. Financieel heb je een bewaarplicht van 7 jaar, maar voor een nieuwsbrief? Ons advies is te bepalen hoe lang je de persoonsgegevens bewaart. Als dat niet mogelijk is, bepaal je in elk geval de criteria voor het vaststellen van de bewaartermijn. Je legt de bewaartermijn of de criteria vast in het privacybeleid. Ons advies is ook om de nodige persoonsgegevens in de financiële administratie te behouden, en verder de gegevens overal vernietigen na het verlopen van de bewaartermijn. De Stichting AVG volgt de ontwikkelingen op de voet en zodra er meer over duidelijk is over de concrete invulling omtrent bewaartermijnen informeren wij deelnemers aan ons programma.

(bron: https://avgverenigingen.nl)

Toestemming en controleplicht bij gegevens minderjarigen (<16)

Als je persoonsgegevens verwerkt van personen jonger dan 16 jaar, dan moet je daarvoor schriftelijk een akkoord hebben van de ouder, verzorger of wettelijke vertegenwoordiger. Zwart op wit! Volgens de AVG geldt namelijk de controleplicht, dit wordt ook expliciet vermeld in de nieuwe privacywet. Als vereniging moet je dus kunnen aantonen dat die toestemming ook daadwerkelijk is verleend. Een handtekening op papier.

Maar mag je überhaupt geboortedata vastleggen?

Als het lidmaatschap leeftijdsafhankelijk is dan heb je bij inschrijving dus ook een geboortedatum nodig. Is het lidmaatschap niet leeftijdgebonden, dan is hiervoor de geboortedatum dus niet relevant en mag je die niet opnemen.. Let er ook op dat er altijd een duidelijk doel van de gegevensverwerking beschreven is als je een geboortedatum gaat opslaan en verwerken.

(bron: https://avgverenigingen.nl)

Bewustwording: Maak gebruik van geheimhoudingsverklaringen

Je neemt als vereniging je verantwoordelijkheid door je te houden aan de wettelijke privacyregels en bewustwording te creëren binnen de gehele organisatie. Om bewustwording om te zetten in harde procedures en verantwoordelijkheden kan je geheimhoudingsverklaringen inzetten. Niet verplicht, zeker wel aan te raden!

De vereniging bepaalt wie er geautoriseerd is om persoonsgegevens in te zien, te bewerken ofwel te verwerken. Vaak worden alleen de secretaresse (of secretaris) en de bestuursleden geautoriseerd. Dat verschilt per vereniging. Om goed vast te leggen wat een geautoriseerde medewerker van de vereniging wel of niet mag doen is het verstandig dit goed te beschrijven in een geheimhoudingsverklaring (vaak onderdeel van de arbeidsovereenkomst). Je kunt risico’s beperken door goed vast te leggen welke medewerkers geautoriseerd moeten zijn voor hun werk voor de vereniging (en andere dus niet). Kortom: Laat medewerkers/vrijwilligers die inzicht hebben in persoonsgegevens een geheimhoudingsverklaring tekenen!

Tip: Het is bovendien een mooi moment om weer een goede afweging te maken wie momenteel toegang heeft tot (welke) persoonsgegevens.

(bron: https://avgverenigingen.nl)

Moet onze vereniging en (D)PIA houden?

Zodra de AVG geldt (25 mei 2018) moeten sommige organisaties verplicht een Data Protection Impact Assessment (DPIA) uitvoeren. De DPIA is een instrument om vooraf de privacyrisico’s van gegevensverwerking in kaart te brengen en om vervolgens maatregelen te nemen om de risico’s zo klein mogelijk te maken. Wat is voor verenigingen van toepassing? Een DPIA geldt enkel voor speciale gegevensverwerkingen, met name wanneer er een hoog privacyrisico is. Wanneer is dat het geval? Wanneer ben je verplicht een DPIA uit te voeren?

De AVG geeft aan dat dat in ieder geval geldt als jouw organisatie:

  • systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling (beoordelen van mensen op basis van persoonskenmerken);
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
  • op grote schaal bijzondere persoonsgegevens verwerkt;

Op grote schaal bijzondere persoonsgegevens verwerken

Voor verenigingen zou dat laatste punt vragen op kunnen roepen. De eerste twee zijn veelal niet van toepassing. Bij het derde punt is het de vraag of je überhaupt bijzondere persoonsgegevens verwerkt (hou dat nog een keer goed tegen het licht). Lees ook onze kennisberichten daar over, want ongemerkt leggen verenigingen meer bijzondere persoonsgegevens vast dan je denkt.

Verwerk je bijzondere persoonsgegevens, dan is de volgende vraag natuurlijk ‘wat is grootschalig’. De AVG geeft geen definitie van ‘grootschalige gegevensverwerkingen’. Maar de Europese toezichthouders geven echter (in Guidelines on Data Protection Officers) wel een aantal voorbeelden van wat zij als grootschalig zien:

  • Een ziekenhuis dat patiëntgegevens verwerkt
  • Een vervoersmaatschappij die reisinformatie verwerkt (bijvoorbeeld door reizigers te volgen via vervoerskaarten).
  • Een verwerker die gespecialiseerd is in marktonderzoek en voor een klant de actuele locatiegegevens van hun klanten verwerkt voor statistische doeleinden.
  • Een verzekeringsmaatschappij of bank die klantgegevens verwerkt
  • Een zoekmachine die persoonsgegevens verwerkt om advertenties te kunnen tonen op basis van internetgedrag.

(bron: https://avgverenigingen.nl)

Je mag gegevens van een lid alleen gebruiken met de juiste ‘doelbinding’. Wat betekent dat?

Welke gegevens verwerkt jouw vereniging, met welk doel en heb je ze daar ook voor gekregen? We praten over ‘doelbinding’. Het is belangrijk dat je persoonsgegevens alleen verwerkt voor de doeleinden waarvoor je deze hebt verkregen. En, je mag ook niet meer gegevens verlangen dan nodig zijn voor het doel.

Een voorbeeld:

De vereniging heeft bij het inschrijven van een nieuw lid zijn of haar naw-gegevens gekregen. Je mag deze naw-gegevens van het nieuwe lid dus alleen gebruiken voor de uitvoering van de lidmaatschapsovereenkomst en niet voor andere doeleinden. Er moet dus 1) een overeenkomst (hetzij een schriftelijke of elektronische instemming) zijn met 2) een bepaald doel en de daarvoor 3) relevante persoonsgegevens. De betrokkene heeft jou zijn/haar persoonsgegevens aangereikt met een specifiek doel (lid worden) en de persoonsgegevens mogen dan ook alleen daarvoor gebruikt worden.

Een ander herkenbaar voorbeeld is het inschrijven voor de digitale nieuwsbrief. De afspraak is dan: je krijgt mijn e-mailadres voor toesturen van de (wekelijkse) nieuwsbrief. Je mag deze persoon niet zomaar in een aparte mail uitnodigen voor bijeenkomsten, want dat heb je niet samen afgesproken!

Inventariseer en registreer

Inventariseer en registreer wat bij jouw vereniging van toepassing is. Voor verenigingen hebben wij al uitgezocht welke soorten overeenkomsten er meestal gelden (denk ook aan een vrijwilligersovereenkomst) en hebben we al het doel en het type persoonsgegevens genoteerd. In het AVG-programma hebben we uitgebreide lijst opgenomen van doelbindingen die je alleen maar hoeft aan te vinken.

Aandachtspunt bij een lidmaatschapsovereenkomst

Zorg dat in je lidmaatschapsovereenkomst/formulier duidelijk vermeld dat de ingevulde gegevens gebruikt gaan worden conform de privacy policy. In de privacy policy kun je al de doelbindingen het beste beschrijven. Je kunt de privacy policy bijvoegen of een duidelijke verwijzing (of link naar de website) opnemen. Let op dat een minderjarige (< 16jaar) schriftelijke toestemming nodig heeft van ouder, verzorger, wettelijke vertegenwoordiger om de overeenkomst aan te gaan. Vergeet ook niet om met vrijwilligers een aparte overeenkomst aan te gaan.

Tip: hou je vereniging eens extra tegen het licht

Je bent nu met veel gegevens bezig. Je raakt aan de kern van je vereniging. Zijn de statuten nog actueel? En het huishoudelijk reglement? Belangrijke vragen. Door aan de slag te gaan met de AVG zie je dat je meer inzichten krijgt. Zijn aanpassingen nodig? Bespreek dit eens in het bestuur.

(bron: https://avgverenigingen.nl)

Wist je dat er bijzondere persoonsgegevens zijn die je niet zomaar mag vastleggen?

Binnen de AVG is er ook sprake van bijzondere persoonsgegevens. Dit zijn gegevens van gevoelige aard, de verwerking ervan kan iemands privacy ernstig beïnvloeden. Denk aan gezondheidsgegevens, geaardheid, politieke voorkeur, maar ook een paspoort kopie, waarop de pasfoto zichtbaar is (zonder voorlegger gekopieerd).

Bijzondere persoonsgegevens mogen alleen onder zeer strenge voorwaarden worden verwerkt. Je moet aan veel meer eisen voldoen en er als vereniging heel zorgvuldig mee omgaan. We geven enkele voorbeelden. Zo mag je bijzondere persoonsgegevens niet verwerken tenzij:

  • de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering;de verwerking wordt verricht door een stichting, een vereniging of een andere instantie zonder winstoogmerk, werkzaam op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt;
  • de betrokkene de persoonsgegevens zelf openbaar heeft gemaakt;
  • de verwerking noodzakelijk is met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden.

Ongemerkt worden er vaak bijzondere persoonsgegevens verwerkt. Bijvoorbeeld: Koepelorganisaties hebben veel te maken met lobbywerk waardoor je onbewust bijzondere persoonsgegevens kan registreren. Mag dit, heb je daar toestemming voor, is er een verantwoorde doelbestemming? Wees je er bewust van en check of je deze gegevens daadwerkelijk mag en moet vastleggen.

We hebben een aparte toelichting geschreven en de specialisten van de Stichting AVG kunnen je hier verder mee helpen. Neem gerust contact op als dat nodig is.

(bron: https://avgverenigingen.nl)

Wist je dat je moet inventariseren welke persoonsgegevens je vastlegt?

Vanuit de AVG moet elke vereniging inventariseren welke persoonsgegevens worden verwerkt. En je moet daar een overzicht van kunnen overhandigen. Je hebt voor je vereniging persoonsgegevens nodig anders kun je geen ledenbestand opbouwen. Kernbegrip is ‘verwerken’. Hiermee bedoelen we alle handelingen die je met de persoonsgegevens uitvoert. Je maakt een algemeen Excel-ledenbestand en een financieel Excel-bestand, je kopieert gegevens op papier, je maakt een adressenlijstje voor je nieuwsbrief, enz.  Zodra je persoonsgegevens verwerkt val je onder de AVG en moet je dus aan deze regelgeving voldoen.

Ga na welke persoonsgegevens er binnen de vereniging gebruikt worden

Het is een hele klus om te inventariseren welke gegevens je allemaal verwerkt. Denk aan:

  • Computerapplicaties controleren waarin velden zijn opgenomen met persoonsgegevens
  • Controleer ook persoonsgegevens die je als vereniging hebt ondergebracht bij derde partijen, b.v. een salarisadministratiekantoor of nieuwsbrief-verzender
  • Elektronische documenten (Excel-lijstjes, Word-documenten, etc.) met persoonsgegevens
  • Papieren documenten (denk ook aan kopieën van een paspoort of rijbewijs)

Pas op met bijzondere persoonsgegevens
Bijzondere persoonsgegevens zijn gegevens van gevoelige aard, de verwerking ervan kan iemands privacy ernstig beïnvloeden. Denk aan gezondheidsgegevens of politieke voorkeur. Bijzondere persoonsgegevens mogen daarom alleen onder zeer strenge voorwaarden worden verwerkt.

(bron: https://avgverenigingen.nl)

"Stop blending in with the rest of the crowd and start leaving your mark on the web."

Professionele vormgeving

Wilt u een simpele statische website of een uitgebreidere webapplicatie? Wij zetten uw imago om in een perfect passend ontwerp. Niet alleen maken wij de vormgeving mooi, maar ook uitermate gebruiksvriendelijk en doelgericht.

Zoekmachine vriendelijke website

Het optimaliseren van een website wordt gedaan met het doel om een hogere ranking in de zoekmachines te realiseren waardoor de bezoekersaantallen stijgen. DigiBit kan u adviseren en helpen bij het realiseren van doelstelling.

Webdevelopment

Met webdevelopment bedoelen we het ontwikkelen van webapplicaties. Online software gerealiseerd op basis van uw wensen vertaald in een maatwerk product. DigiBit heeft een eigen CMS ontwikkeld waarmee dit alles te realiseren is.

Responsive design

Uw website, webshop of webapplicatie wordt gerealiseerd voor alle apparaten. Zowel op de desktop, tablet en mobiele telefoon zal uw product optimaal in beeld worden gebracht. Ons eigen CMS is op dit gebied uniek op deze wereld.

Domeinnamen & Webhosting

DigiBit is lid van SIDN, waardoor wij domeinnamen rechtstreeks kunnen vastleggen. Op het gebied van webhosting werken wij samen met enkele partners in Nederland. Een veilige en betrouwbare webserver staat bij ons voorop.

Content management

Doormiddel van ons eigen Content Management Systeem kunt u heel eenvoudig de inhoud van uw website aanpassen. Sinds kort is ons CMS volledig AVG compliant, wat inhoudt dat deze volledig voldoet aan de nieuwe privacywet.