Uw vereniging AVG proof!

16 januari 2018
Uw vereniging AVG proof!

Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. De AVG betekent een flinke verzwaring van de regels waaraan organisaties moeten voldoen in het kader van de bescherming van persoonsgegevens. Ledenorganisaties, zoals branche- en beroepsverenigingen, raakt dat in grote mate. Aan de slag dus!

AVG en uw vereniging

In de zomeruitgave van Sec! Magazine informeerden wij u over ontwikkelingen op het vlak van gegevensbescherming. Met de AVG in aantocht moet de komende tijd een groot aantal zaken geregeld worden, zodat uw vereniging ‘AVG proof’ is.

De nieuwe wet verwacht van verenigingen dat zij, actief, de nodige stappen ondernemen en alles omtrent privacy uitzoeken, organiseren en vastleggen. Het is een inspanningswet. Het is belangrijk aantoonbaar te kunnen maken dat je er alles aan gedaan hebt om overtreding van de wet te voorkomen.

En zo’n overtreding ligt overal op de loer. Immers, bij veel activiteiten van een vereniging komt het werken met persoonsgegevens om de hoek kijken. Of dat nu de registratie van een nieuw lid betreft, zijn of haar registratie voor evenementen, het aanleveren van een adressenbestand aan de uitgever of het reageren op de vraag van een actief lid of hij een lijstje namen van collega-leden mag hebben.

Wat betekent AVG concreet?

- Organisaties moeten kunnen bewijzen dat zij geldige toestemming hebben gekregen om persoonsgegevens te verwerken.
- Het moet voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.
- Het recht op dataportabiliteit. Hiermee hebben mensen straks (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen.

Over de ins en outs van deze nieuwe wetgeving is al veel geschreven. De website van de Autoriteit Persoonsgegevens (AP) biedt overigens (en uiteraard!) de meest complete informatie. Hieronder een drietal sprekende voorbeelden van de impact op uw vereniging.

1.    Privacy policy
Om aan de wet te voldoen, moet de vereniging een privacy policy (privacy beleid) hebben. De mensen van wie de persoonsgegevens zijn opgeslagen, dan wel worden opgeslagen, moeten goed geïnformeerd worden over hoe de vereniging met persoonsgegevens omgaat en wat hun rechten zijn. Dit doe je met de privacy policy, die ook makkelijk te vinden moet zijn. Je website is daarvoor het meest geschikt. Je kunt bijvoorbeeld in de footer de privacy policy opnemen en daar in al je documenten en e-mails naar verwijzen.
 
2.  Gegevens van een lid alleen gebruiken met de juiste ‘doelbinding’
Welke gegevens verwerkt jouw vereniging, met welk doel en heb je ze ook voor dat doel gekregen? Dat is ‘doelbinding’. Het is belangrijk dat je persoonsgegevens alleen verwerkt voor de doeleinden waar je ze voor verkregen hebt. En; je mag ook niet meer gegevens verlangen dan nodig is voor dat doel.

Zorg dat in je lidmaatschapsovereenkomst/-formulier duidelijk vermeldt dat de ingevulde gegevens gebruikt gaan worden conform de privacy policy. In de privacy policy kunnen de doelbindingen het beste worden beschreven.

3.  Nieuwe verwerkersovereenkomst met derden
De AVG verplicht je om verwerkersovereenkomsten met derden/partners te sluiten. Dit komt bij verenigingen in veel situaties voor, bijvoorbeeld bij het inschakelen van een drukkerij, hostingpartij of digitale nieuwsbriefverzender. Als vereniging mag je persoonsgegevens nooit doorgeven aan een andere partij, als je met die partij geen verwerkersovereenkomst hebt. De overeenkomsten die in het kader van de wet Bescherming Persoonsgegevens zijn opgesteld, voldoen niet meer.

Verenigingen privacy by design & privacy by default

Nieuw in de regelgeving zijn privacy by design en privacy by default. ‘By design’ houdt in dat je bij het ontwerp van producten en diensten al rekening houdt met de bescherming van persoonsgegevens. Met ‘by default’ wordt bedoeld dat je de technische maatregelen neemt. De AP geeft een aantal voorbeelden:

- bij een app niet automatisch de locatie van gebruikers registeren;
- op een website de optie ‘Ja, ik wil aanbiedingen ontvangen’ niet automatisch al aanvinken;
- bij abonneren op een nieuwsbrief niet om meer gegevens vragen dan nodig is.


Het project ‘Uw vereniging AVG-proof’

Uw vereniging AVG-proof maken is een flinke klus die het beste projectmatig kan worden opgepakt. Zo’n project behelst de volgende onderdelen:

- onderzoek en analyse database
- de juiste gegevens vastleggen (en verwijderen)
- beveiliging van gegevens borgen
- inventarisatie partijen waar gegevens mee worden uitgewisseld
- actuele verwerkersovereenkomsten met leveranciers (partners) sluiten
- (aanmeld-)formulieren aanpassen
- privacy beleid opstellen
- protocol datalek opstellen
- leden, actief voor de vereniging, informeren en instrueren

Na afronding van het project is het natuurlijk zaak het, conform de uitgangspunten van de AVG blijven werken in de organisatie, te borgen. Dat is immers in het vervolg de nieuwe manier van werken.

Wat doet MOS voor AVG?

Afgezien van het uitvoeren van bovengenoemde projecten voor onze klanten, doorlopen wij voor onze eigen organisatie eenzelfde traject. Teneinde in voorkomende gevallen adequaat te kunnen handelen, benoemen wij binnenkort een Data Protection Officer (DPO).

De DPO is verantwoordelijk voor de juiste afhandeling van het protocol in geval van een datalek, bij ons of bij uw vereniging. Verder is de DPO voor het onderwerp AVG het vaste aanspreekpunt voor u en onze medewerkers en zal hij, indien nodig (ook na 25 mei 2018), gevraagd en ongevraagd advies geven en informatie delen. Tot slot zorgt de DPO dat onze medewerkers getraind zijn en blijven om in het kader van AVG juist te handelen.

Meldplicht datalekken

De meldplicht datalekken blijft in de nieuwe regelgeving grotendeels hetzelfde. Wel moeten organisaties alle datalekken documenteren. Met deze informatie controleert de AP of organisaties aan de meldplicht hebben voldaan.

Raimond Fifis
 


< Terug naar Publicatieoverzicht


Over de auteur

Raimond Fifis
Raimond Fifis
Directeur MOS
Wij maken gebruik van cookies, gaat u hiermee akkoord? Meer informatie