Verenigingen en de Algemene Verordening Gegevensbescherming

15
nov

Wat moet u weten over de AVG?

Op 25 mei 2018 gaat de nieuwe europese wet in, de “Algemene Verordening Gegevensbescherming” (AVG).

Het doel van deze wet is om personen meer controle over hun eigen gegevens te geven. Verenigingen houden natuurlijk ook gegevens bij van hun leden, en deze wet is dan ook zeker van toepassing op verenigingen.

U kunt de volledige wettekst hier inzien : Wet Algemene Verordening Gegevensbescherming

Wilt u na 25 mei 2018 voldoen aan deze wet, dan dient u met een aantal zaken rekening  te houden.

Actiepunten in het kort:

  • Beveilig de toegang tot persoonsgegevens
  • Maak een document waarin u omschrijft welke gegevens u bijhoudt van de leden en voor welk doel dit is (Het “overzicht van verwerkingsactiviteiten”)
  • Schrijf hierin ook op wie (welk rollen) er toegang hebben tot deze gegevens.
  • Houdt u gegevens bij van u leden die geen doel hebben, verwijder deze dan.
  • Maak het document toegankelijk voor uw leden.
  • Vraag bij nieuwe leden expliciet toestemming om gegevens bij te houden voor de omschreven doelen (B.v. op hun inschrijfformulier).
  • Informeer u over de rechten en plichten zoals in deze wet en hieronder omschreven staan.

 

Waar dient u rekening mee te houden:

U bent als vereniging verantwoordelijk.

Als vereniging bent u de zogenaamde verwerkingsverantwoordelijke. U bent als vereniging verantwoordelijk voor het beschermen van gegevens die u bijhoudt over uw leden, en verantwoordelijk voor de uitvoering en naleving van deze wet. (Art 24)

Beperking van de registratie van gegevens.

Onder de nieuwe wet is het belangrijk dat geen overbodige gegevens van personen worden opgeslagen.

Dit betekent dat u moet nadenken  over het doel waarvoor u gegevens bijhoudt, en dit opschrijft en beschikbaar maakt aan uw leden (“Het overzicht van verwerkingsactiviteiten”). Uw leden moeten dus kunnen weten dat u b.v. hun rekeningsgegevens bijhoudt, met als doel automatisch contributie af te schrijven.

U mag gegevens van uw leden registreren als(Art. 6.1):

  • De gegevens “noodzakelijk zijn voor de uitvoering van de overeenkomst die u heeft gesloten”. U heeft b.v. de naam van een lid nodig om ze te kunnen aanspreken, en een geboortedatum om het contributietarief uit te kunnen rekenen.
  • De gegevens bijgehouden worden voor doelen waarvoor het lid specifiek heeft toestemming gegeven. Op het moment dat u bijvoorbeeld bij uw leden incasseert, dan mag u rekeninggegevens van uw leden bijhouden als deze daar toestemming voor geeft.Let op dat toestemming bij gegevens die over personen van jonger dan 16 jaar gaan, moet worden gegeven door “de persoon die de ouderlijke verantwoording voor het kind draagt” (Art 8.1)

    Als “instantie zonder winstoogmerk” heeft u een uitzondering op het bijhouden van etnische, politieke, of seksuele gerichtheid. Dit mag bij bedrijven in geen geval. Als vereniging mag u dit bijhouden op het moment dat uw organisatie een doelstelling heeft die hier mee te maken heeft (Art 9.2.d)

  • De gegevens nodig zijn om te voldoen aan wettelijke verplichtingen. Denk hier b.v. aan financiële gegevens in de boekhouding. Deze kan lidgegevens bevatten. U dient deze tenminste 7 jaar te bewaren. En dit mag dan ook.

Belangrijk is dat u opschrijft welke gegevens welk doel hebben. U kunt daarnaast bijvoorbeeld op uw inschrijfformulier  toestemming vragen voor het bijhouden van gegevens voor de betreffende doelen. U hoeft hier dus alleen toestemming te vragen voor de doelen die niet noodzakelijk zijn voor de uitvoering van het lidmaatschap.

Bescherming van de geregistreerde gegevens (Art 32)

Er wordt van u verwacht dat u de gegevens die u van leden opslaat beveiligd tegen inbraak. Dat wil zeggen dat deze “passend beveiligd”(Art 32.1) worden tegen ongeautoriseerde toegang.

Ook is het belangrijk dat u nadenkt en in kaart brengt wie er binnen uw organisatie toegang heeft tot welke gegevens, en dit ook opschrijft. Bijvoorbeeld:  Het bestuur heeft inzicht in de relatiegegevens om de leden te kunnen informeren. Alleen de secretaris muteert deze gegevens.

Deelt u gegevens met andere organisaties? Dan dient u ook dit ook op te schrijven.

Recht op vergetelheid (Art 17)

Elk persoon heeft het recht om aan te geven dat deze niet langer wenst dat de gegevens worden bijgehouden en dat de bijgehouden gegevens worden gewist. Hierbij geldt:

  • Dit hoeft alleen te gebeuren voor gegevens die niet noodzakelijk zijn voor het uitvoeren van de overeenkomst (Art 17.1.a)
  • U hoeft geen gegevens te wissen waarvoor u rechtelijk verplicht bent deze gegevens te bewaren (b.v. financieel administratieve bewaarplicht) (Art 17.3)
  • U dient dit zonder onredelijke vertraging uit te voeren (Art 17.1)

Op het moment dat gegevens niet langer nodig zijn om een doel uit te voeren (zoals als bijvoorbeeld een lid de vereniging verlaat) dan heeft u niet langer het recht om deze te bewaren en dient u deze dus te verwijderen. Wat wel toegestaan is om als doel archivering aan te merken(Art 5.1.b, Art 89), waarbij u b.v. de gegevens later nog gebruikt om de leden op de hoogte te houden, of om statistische gegevens bij te houden. Hierbij is het belangrijk om alleen de daarvoor noodzakelijke gegevens te bewaren.

Transparantie over de bijgehouden gegevens van personen en dataportabiliteit (Art 12,20)

U dient de door u geregistreerde gegevens (na identificatie) aan een lid te kunnen overhandigen in begrijpbare vorm (D.w.z. dat u niet b.v. een beveiligd .conscribobackup bestand mag overhandigen). Dit dient kosteloos te gebeuren (Art 12.5) Op deze manier moeten uw leden bijvoorbeeld eenvoudig hun gegevens van u bij een andere vereniging kunnen aanleveren.

Wel gelden hier een aantal uitzonderingen: (Art 14.5 a-d)

  • Indien de persoon de gegevens zelf al heeft, hoeft u deze niet ook te geven (Denk aan NAW en de e-mailcorrespondentie met leden)
  • Indien het verstrekken onmogelijk is of onevenredig veel inspanning vereist (Als u bijvoorbeeld handmatig alle archieven door zou moeten spitten)
  • Indien de gegevens onder een statutair of wettelijk geheimhoudingsplicht vallen.

Melding datalekken

U dient binnen 72 uur na constatering van een datalek bij de betrokkenen en bij de Autoriteit Persoonsgegevens te melden dat dit lek heeft plaatsgevonden. (Art 33)

Mocht het zo zijn dat alleen gegevens zijn gelekt die slechts geringe kans geven op schending van rechten van de betrokkenen, dan hoeft u dit niet bij de Autoriteit Persoonsgegevens te melden (Art 33.1)

U dient in alle gevallen wel de betrokkenen te informeren, en u dient dit zelf te registeren zodat u bij navraag kunt laten zien wat er gebeurd is. (Art 33.5, Art 34)

Verwerkersovereenkomst (Art 26)

Op het moment dat uw vereniging samenwerkt met een andere partij, die ook beschikking krijgt over deze gegevens (b.v. Conscribo), dan dient hiermee een afgesproken te worden welke verantwoordelijkheden die partijen hebben.

Dit geldt niet op het moment dat er sprake is van incidentele verwerking en als het risico gering is voor de “rechten en vrijheden” van de personen (Art 27.2.a)

Functionaris gegevensbescherming

U bent als vereniging niet per se verplicht om een functionaris gegevensbescherming aan te stellen. Dit dient u in de meeste gevallen alleen te doen indien u “regelmatig en stelselmatig observatie op grote schaal van betrokkenen” uitvoert (Art 37.1.b).