Privacywetgeving

Stappenplan privacywetgeving (AVG) voor verenigingen en stichtingen

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG)-wet van toepassing voor alle organisaties die gegevens van personen (persoonsgegevens) in een bestand bewaren. Deze organisaties moeten zich aan de regels in deze nieuwe verordening houden. Dat geldt zowel voor het bewaren in digitale bestanden als in mappen op een plank.
Ook deze laatste moeten voortaan veilig worden op geborgen zonder dat vreemden daar bij kunnen. Met onderstaande stappen maak je jouw organisatie AVG-bestendig!

De AVG vraagt van organisaties een aantal antwoorden die in het privacy beleid moeten worden opgenomen. Onderstaande voorbeeldvragen kunnen je helpen het privacy beleid vorm te geven.

Stap 1: Ga na waarom, hoe en wat

Ga na welke persoonsgegevens worden verzameld en waar die worden bewaard. In de nieuwe AVG zijn ook vrijwilligersorganisaties verplicht te inventariseren wat ze vastleggen én te registreren welke persoonsgegevens ze hoe vastleggen. Ook moeten ze bedenken of dat wat ze opslaan wel functioneel is;  waarom leggen ze welke gegevens vast? Dit houdt in dat je alleen persoonsgegevens vastlegt die je nodig hebt en dat je ze alleen gebruikt waarvoor je ze verzamelt.

Denk bijvoorbeeld aan de voetbalvereniging die standaardadressen (straatnaam, postcode, huisnummer) van de leden in een bestand bewaart terwijl alle communicatie per telefoon, sociale media en digitale nieuwsbrief gaat. Deze clubs hoeven helemaal geen straat en huisnummer te bewaren. Het zal even wennen zijn maar hoe minder informatie er over personen bewaard wordt, hoe moeilijker gegevens herleidbaar zijn naar een persoon en hoe minder kans op schending van de privacy.

Stap 2: Laat weten wat je bewaart

Onveranderd maar wel van belang is dat betrokkenen toestemming geven voor het gebruik van hun persoonsgegevens. Alleen wanneer daar een dringende reden van algemeen belang of wetgeving voor is, kunnen persoonsgegevens zonder toestemming worden opgeslagen. Nieuw is dat de betrokkene moet weten dat zijn persoonsgegevens worden verwerkt en met welk doel. Betrokkenen hebben het recht hun gegevens in te zien en aan te (laten) passen. Bij verenigingen is helder dat persoonsgegevens noodzakelijk zijn voor het lidmaatschap en om deel te nemen aan de activiteiten. Dit laatste geldt ook voor deelname aan activiteiten van een stichting.

Pas op met bijzondere persoonsgegevens!

Verwerken van bijzondere persoonsgegevens is verboden, tenzij hiervoor een wettelijke uitzondering is of de persoon daar uitdrukkelijk toestemming voor heeft gegeven. Dit zijn persoonsgegevens van gevoelige aard zoals godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele geaardheid, lidmaatschap van een vakvereniging of politieke partij, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag, genetische en biometrische kenmerken. Onder deze laatste vallen vingerafdrukken, stem, handschrift, geometrie van de handomtrek en scans van netvlies, iris en gelaat.

Ook medische informatie, bijvoorbeeld over diabetes of allergieën, mag je alleen opslaan als er een wettelijke uitzondering is. Organisaties hebben nu de neiging deze informatie automatisch op te slaan in een bestand. Dat is niet langer toegestaan. Deze informatie moet dus iedere keer worden gevraagd voor activiteiten waarbij dat van belang is.