25 mei 2018 - De AVG wordt van kracht

De Algemene verordening gegevensbescherming (AVG) is een verordening die door de Europese unie (EU) is vastgesteld. Hij regelt een aspect van het recht op privacy, namelijk de bescherming van persoonsgegevens, en gaat in op 25 mei 2018. Deze AVG vervangt per die datum de huidige Nederlandse Wet bescherming persoonsgegevens (Wbp).

Deze blog-post gaat in op wat de AVG voor stichtingen en verenigingen betekent.

Persoonsgegevens beschermen

In grote lijnen komt het beschermen van persoonsgegevens neer op dat personen geen nadeel ondervinden van dat gegevens over hen worden verzameld, verwerkt en gebruikt. De AVG maakt dit op allerlei manieren concreet.

Persoonsgegevens zijn gegevens die op een of andere manier aan een persoon zijn te relateren. Dat kunnen gegevens zijn als naam en adres, maar ook wat u heeft gekocht bij uw kruidenier (u heeft toch een Bonuskaart?) en op welke onderwerpen u Internet heeft afgezocht.

De AVG schrijft voor dat u als stichting of vereniging (de AVG spreekt van "verwerkingsverantwoordelijke") van een persoon (in de AVG: "betrokkene") uitdrukkelijk toestemming moet hebben om persoonsgegevens van hem te verzamelen, verwerken en gebruiken. De betrokkene kan deze toestemming op elk moment intrekken en dan moet de verantwoordelijke deze gegevens meteen wissen of vernietigen - of zo aanpassen dat zij niet meer tot deze persoon zijn te herleiden.

Verder mag u de gegevens alleen gebruiken voor het doel waarvoor u ze ooit heeft verkregen.

Sportverenigingen werken vaak met leeftijdscategorieën. Zij vragen daartoe naar de geboortedatum. Als dit het doel is waarvoor naar dit gegeven wordt gevraagd, mag de geboortedatum niet gebruikt worden om leden te feliciteren met hun verjaardag.

Algemener gesteld: U moet niet denken: "Hee, we weten ... dus we kunnen de leden ook ..."

Gegevens worden verwerkt door mensen. Deze mensen hebben geheimhoudingsplicht: zij mogen deze gegevens niet aan derden bekendmaken, of voor eigen gebruik aanwenden.

Ik had ooit een collega die voor eigen gebruik het personeelsbestand uitdraaide om te zien wat zijn collega's verdienden. Zo hield hij in de gaten of hij goed zat qua salaris.

Uw organisatie (de verwerkingsverantwoordelijke) heeft ook een geheimhoudingsplicht: u mag gegevens niet ter beschikking stellen aan anderen.

In het verlengde hiervan ligt dat u gegevensverzamelingen niet mag combineren, naast elkaar leggen of vergelijken.

Het bestuur van de "verwerkingsverantwoordelijke" (de stichting of vereniging) is het orgaan dat moet zorgen dat de verwerkingsverantwoordelijke de verordening naleeft. Het bestuur moet de verwerkingen zo optuigen dat ze aan de daarin gestelde eisen voldoen. Het bestuur moet zorgen dat mensen die in zijn opdracht (als personeelslid of als lid van een commissie) gegevens verwerken, zich aan de wet houden. En wanneer het eens misgaat moet het bestuur dit melden: aan de betrokkene(n) wiens gegevens het betreft, en aan de Autoriteit persoonsgegevens (AP).

Verboden te verwerken

Er zijn ook gegevens die u helemaal niet mag verwerken. Artikel 9 lid 1 van de AVG somt deze op:

Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.

Lid 2 van hetzelfde artikel noemt echter 10 voorwaarden waaronder dit verbod niet geldt.

En nu?

Wat moet u als bestuur nu doen om aan de eisen in de verordening te voldoen?

  1. Begin met te inventariseren welke overzichten u produceert (ledenlijsten, teamlijsten, deelnemerslijsten, donateurslijsten, enz.), welke vragenlijsten en formulieren u laat invullen en welke bestanden, spreadsheets en databases u onderhoudt.
  2. Ga dan per overzicht, formulier of bestand na of er een verboden persoonsgegeven in voorkomt - dit moet eruit, of u moet een héél goede reden hebben om het erin te houden. Lees daarvoor artikel 9 lid 2 heel secuur.
  3. Inventariseer wie of welke functionarissen de gegevens onder ogen krijgen. Stel zeker dat alleen zij, en geen anderen, deze gegevens zien. Doordring hen van hun geheimhoudingsplicht: zij mogen deze gegevens niet aan anderen doorspelen, noch (zelf) voor andere doeleinden gebruiken dan waarvoor zij ze onder ogen kregen.
  4. Creëer een cultuur van zorgvuldigheid in de omgang met persoonsgegevens. Fouten en slordigheden zijn onvermijdelijk, maar wees er open over. De meldplicht van lekken blijft gelden, namelijk.
  5. Wanneer u gegevens buiten de deur laat verwerken, maak dan goede afspraken met deze "bewerker".