Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties

Transcriptie

1 Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties Versie mei 2018

2 Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG)-wet van toepassing voor alle organisaties die met gegevens van personen (persoonsgegevens) werken. Ook organisaties die (volledig) met vrijwilligers werken moeten zich aan de regels in deze nieuwe Verordening houden. De regels worden over het algemeen strenger dan de nu geldende regels. Belangrijk is te weten dat bij schending hoge boetes kunnen volgen. De nieuwe regels geldt zowel voor het digitaal bewaren van persoonsgegevens als in mappen op een plank. Ook deze laatste moeten veilig worden opgeborgen zonder dat onbevoegden daar bij kunnen. Privacy: wat is dat? Het recht op privacy wordt omschreven als het recht om met rust te worden gelaten. We moeten zelf kunnen bepalen wie welke informatie over ons krijgt. Dat betekent dat u niet zomaar iemands persoonlijke informatie mag gebruiken: het recht op bescherming van persoonsgegevens. Wat zijn persoonsgegevens? Een persoonsgegeven is ieder gegeven dat herleidbaar is naar een persoon. Het gaat dus om alle informatie over die persoon. Duidelijke voorbeelden zijn iemands vooren achternaam, woonplaats en adres, telefoonnummer etc.. Maar denk ook aan iemands adres, IP adres, bankgegevens, gegevens over beroep, opleiding etc.. Er zijn bijzondere persoonsgegevens die gezien hun aard extra gevoelig kunnen zijn. Denk aan: gegevens over ras of etnische afkomst, gezondheid, meningen, geloofsovertuiging, seksueel gedrag of gerichtheid, financiële data, BSN nummer etc.. Foto- en filmbeelden waar herkenbare personen op staan vallen hier ook onder. Ook strafrechtelijke persoonsgegevens zijn uiteraard gevoelig. Zeer waarschijnlijk verwerkt u persoonsgegevens en moet u voldoen aan de regels. Gegevens deels anonimiseren bij publicatie (denk aan deelnemerslijsten en wedstrijduitslagen) is een goed initiatief. Toch moet u dan nog aan de regels voldoen omdat ook binnen de vereniging/organisatie de koppeling naar een persoon gelegd kan worden. Verwerkt u persoonsgegevens? Allereerst moet u vaststellen of de handelingen die worden verricht met de gegevens verwerkingen zijn. Veel voorkomende bewerkingen zijn: verzamelen, vastleggen, opslaan, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, wissen en vernietigen. In de praktijk komt het er dus op neer dat een verwerkingshandeling al snel een verwerking van persoonsgegevens in de zin van de Verordening is. Houd rekening met zes beginselen voor de verwerking van persoonsgegevens op grond van de AVG. a. de verwerking moet ten aanzien van de klant rechtmatig, behoorlijk en transparant zijn; b. op basis van te voren uitdrukkelijk omschreven en gerechtvaardigde doeleinden; c. er mogen niet meer gegevens worden verwerkt dan nodig voor de bepaalde doeleneinden; d. de gegevens moeten juist zijn en zo nodig worden geactualiseerd; e. de gegevens mogen niet langer worden bewaard dan noodzakelijk; f. een passende beveiliging (zowel organisatorisch als technisch) moet zijn gewaarborgd. De belangrijkste verantwoordelijkheden op grond van de AVG voor elke organisatie 1. U moet waarborgen dat gegevens worden verwerkt in overeenstemming met de AVG. 2. U moet achteraf kunnen aantonen dat de gegevensverwerking voldoet aan de eisen uit de AVG (dit vergt goede documentatie van processen (verwerkingsregister)). 3. U moet betrokkenen informeren over de verwerking van persoonsgegevens (processen aan hen kenbaar maken (privacyverklaring)). 1

3 Met onderstaande stappen maakt u uw organisatie AVG-bestendig! De AVG vraagt van organisaties een aantal antwoorden die in het privacy beleid moeten worden opgenomen. Onderstaand stappenplan met vragen kan u helpen het privacy beleid vorm te geven. Stap 1: Krijg inzicht: wat doen we met welke persoonsgegevens? In de nieuwe AVG zijn ook vrijwilligersorganisaties verplicht te inventariseren wat ze vastleggen én te registreren welke persoonsgegevens ze hoe vastleggen. Inventariseer en beschrijf: 1. Welke persoonsgegevens leggen we vast, van wie en met welk doel? Inventariseer welke persoonsgegevens nu worden verzameld en vastgelegd. U legt meer van meer partijen persoonsgegevens vast dan u denkt. Afhankelijk van uw activiteiten gaat het om persoonsgegevens van medewerkers, vrijwilligers, leden, bezoekers, toeleveranciers, zakelijke relaties, koepelorganisaties, verzekeraars, samenwerkingspartners, sponsoren etc.. Wat van welke groep wordt vastgelegd kan verschillen. Breng dat in kaart. Ga na waarom u welke gegevens vastlegt (verkoop, marketing, analyse, verantwoording etc.). Beoordeel vervolgens of u alle persoonsgegevens echt nodig hebt. Stel dat u standaard om adressen vraagt terwijl alle communicatie via , telefoon en/of social media gaat. Adressen zijn dan niet nodig. Het zal even wennen zijn maar hoe minder informatie er over personen bewaard wordt, hoe moeilijker gegevens herleidbaar zijn naar een persoon en hoe minder kans op schending van de privacy. Beoordeel per persoonsgegeven of het gaat om gewone, bijzondere of strafrechtelijke persoonsgegevens. Bijzondere persoonsgegevens zijn persoonsgegevens van gevoelige aard zoals godsdienst of levensovertuiging, ras, etnische afkomst (bedenk dat geboorteplaats hieronder kan vallen), politieke opvattingen, gezondheid, seksuele geaardheid, lidmaatschap van een vakvereniging of politieke partij, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag, genetische en biometrische kenmerken. Onder deze laatste vallen vingerafdrukken, stem, handschrift, geometrie van de handomtrek en scans van netvlies, iris en gelaat. Verwerken van bijzondere persoonsgegevens is verboden, tenzij hiervoor een wettelijke uitzondering is of de persoon daar uitdrukkelijk toestemming voor heeft gegeven. Als uit de inventarisatie blijkt dat nu bijzondere of strafrechtelijke persoonsgegevens worden verwerkt adviseren wij daarmee te stoppen. Vaak zijn goede alternatieven mogelijk. Als dat niet kan moet aan strengere regels worden voldaan. Vraag in dat geval aanvullend (juridisch) advies. In de praktijk komt het voor dat medische informatie, bijvoorbeeld over diabetes of allergieën, wordt opgeslagen. Dat is niet langer toegestaan. Deze informatie moet dus iedere keer worden gevraagd voor activiteiten waarbij dat van belang is. Ook voor vrijwilligers in bijvoorbeeld de zorg kan dit relevant zijn. Nu ligt geregeld informatie over de gezondheid schriftelijk vast in een dossier waar ook de vrijwilliger toegang toe heeft. De vraag is of dit nodig is. Stap bijvoorbeeld over naar een omschrijving van mogelijkheden en beperkingen van de cliënt waar de vrijwilliger mee werkt en laat de medische diagnose achterwege. 2

4 2. Waar en hoe lang bewaren we persoonsgegevens? Persoonsgegevens komen op verschillende manieren de organisatie binnen (via de website (via cookies of aanmeldingen etc.), via de ledenadministratie, andere organisaties etc.. Vervolgens worden de persoonsgegevens bewaard voor verwerking (administratie, nieuwsbrief, archief, debiteurenbeheer etc.). Waar worden ze bewaard? Digitaal of ook op papier? Bij digitale informatie: staat de informatie op meerdere computers? Is exact bekend waar persoonsgegevens staan? Zijn er losse gegevensdragers zoals USB sticks waar persoonsgegevens op staan? Zijn er back-ups? Staat de informatie op privé apparatuur van vrijwilligers? Hoe lang worden de gegevens op dit moment bewaard? 3. Wie heeft toegang tot welke persoonsgegevens? Wie heeft toegang tot de persoonsgegevens en wie maakt er gebruik van (penningmeester, directie, stagiaires, vrijwilligers etc.)? Worden de gegevens met derde partijen gedeeld? Denk aan: ICT provider, website provider, (externe) ledenadministratie, sportbonden/-koepel, social media (facebook, twitter, instagram etc.), pakketten als mailchimp. Resultaat stap 1: U weet van wie u welke persoonsgegevens bewerkt, wie toegang heeft, wanneer ze worden gebruikt (doel) en waar en hoe lang u de gegevens bewaart. U weet dat u geen bijzondere en strafrechtelijke persoonsgegevens verwerkt. Dit zijn bouwstenen voor uw analyse, verwerkingsregister en privacyverklaring. Voorbeeld inventarisatie/beschrijving persoonsgegevens: Van wie? Welke? Activiteit? Waarvoor? (doel) Vindplaats? (waar/hoe lang) Vrijwilligers NAW Vrijwillige Bereikbaarheid Waar: Bankgegevens inzet bij Beschikbaarheid Ledenadministratie een Betaling ICT provider evenement vrijwilligersvergoeding Hoe Lang: 1 jaar Leden Bezoekers Wie heeft toegang? Afdeling administratie Delen met derden? ICT Administratie PR & Communicatie Social media Stap 2: Bent u verantwoordelijke of verwerker? Binnen de AVG wordt een onderscheid gemaakt tussen verantwoordelijke of verwerker. In stap 1 hebt u geïnventariseerd met welke partijen u persoonsgegevens deelt. De verantwoordelijke stelt doel en middelen voor de verwerking vast (denk aan het organiseren van een wedstrijd of een activiteit en het beschikbaar stellen van ruimte/faciliteiten en personele inzet daarvoor). De verwerker verwerkt persoonsgegeven ten behoeve van de verantwoordelijke. Verwerkers zijn externe partijen zoals bijvoorbeeld een website host, boekhouder, controlerend accountant, Mailchimp, Facebook, een factureringsbedrijf, een koepelorganisatie. Met alle externe gebruikers van persoonsgegevens, dus ook bijvoorbeeld de koepelorganisatie, moeten overeenkomsten worden opgesteld over het gebruik van gegevens; de zogenoemde verwerkersovereenkomst. Met een verwerkersovereenkomst sluit u uit dat de andere partij de persoonsgegevens voor eigen doelen mag verwerken. 3

5 U mag alleen verwerkers inschakelen die voldoende garanties bieden dat zij aan de wettelijke vereisten voldoen. Maar let op: als u de gegevensverwerking door een verwerker laat uitvoeren, dan bent u nog steeds verantwoordelijk voor de naleving van de AVG. In de verwerkersovereenkomst legt u onder meer het volgende vast: 1. Algemene beschrijving: Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke (nu nog verantwoordelijke genoemd). 2. Instructies verwerking: De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken. 3. Geheimhoudingsplicht: Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht. 4. Beveiliging: De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten. 5. Subverwerkers: De verwerker schakelt geen subverwerker(s) in zonder uw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting u heeft. In de overeenkomst kunt u ook direct afspreken dat, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen. Komt de subverwerker zijn verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting u voor het nakomen van de verplichtingen van de subverwerker (zie artikel 28, lid 4 van de AVG). 6. Privacyrechten: De verwerker helpt u om te voldoen aan uw plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit). 7. Andere verplichtingen: De verwerker helpt u ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging. 8. Gegevens verwijderen: Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan u terug, als u dat wilt. Ook verwijdert hij kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren. 9. Audits: De verwerker werkt mee aan uw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen (uit artikel 28 AVG) Stap 3: Zijn de verwerkingen die u wilt uitvoeren rechtmatig? De verwerkingen van persoonsgegevens moet u kunnen baseren op tenminste één van de 6 (of 10 bij bijzondere persoonsgegevens) opgesomde grondslagen. Als u dat niet kunt is de verwerking in strijd met de AVG en onrechtmatig. Dan moet u daarmee stoppen. De vier meest relevante grondslagen voor vrijwilligersorganisaties zijn: 1. Grondslag: uitvoering overeenkomst Als u een overeenkomst heeft, mag u de verwerking van persoonsgegevens die nodig zijn voor de uitvoering hiervan op deze grondslag baseren. U kunt dan denken aan een lidmaatschap van de vereniging of een koopovereenkomst bij het bezoeken van een voorstelling of wedstrijd. 4

6 Het is van belang bij het aangaan van de overeenkomst duidelijk aan te geven welke persoonsgegevens u nodig heeft en gaat verwerken. Dat kan o.a. middels het privacyverklaring (zie stap 9). Niet in alle gevallen is er sprake van een overeenkomst. Dan kunt u nagaan of een andere grondslag van toepassing is. 2. Grondslag: toestemming van betrokkene Als de betrokkene toestemming geeft, is het toegestaan om persoonsgegevens te verwerken. Dit klinkt eenvoudig, maar de AVG stelt verschillende zwaarwegende eisen aan het verkrijgen van deze toestemming: o u moet kunnen aantonen dat toestemming is gegeven; mondelinge toestemming zorgt dus voor bewijsproblemen; o de toestemming moet vrijelijk gegeven zijn: u mag iemand dus niet onder druk zetten, bijvoorbeeld door nadelige gevolgen te verbinden aan het weigeren van toestemming; o o o o o o de toestemming moet ondubbelzinnig gegeven zijn; toestemming moet gelden voor een specifieke verwerking en een specifiek doel: als de verwerking meerdere doeleinden heeft, dient u de klant hierover te informeren en voor elk doel afzonderlijk toestemming te vragen. Het doel mag niet gaandeweg veranderen; verzoek om toestemming moet begrijpelijk in duidelijke en eenvoudige taal worden gepresenteerd en er moet een duidelijk onderscheid zijn met andere aangelegenheden; toestemming moet even eenvoudig zijn in te trekken als het geven ervan; de toestemming is niet geldig als u die als voorwaarde stelt voor het aangaan van een overeenkomst waarvoor u de gegevens niet nodig hebt; de klant moet tevoren zijn geïnformeerd (zie onder stap 9) AVG schrijft niet voor in welke vorm toestemming moet worden gevraagd (d.m.v. handtekening of aankruisen vakje of nog anders). Let op: toestemming bij kinderen. De AVG beschermt kinderen jonger dan 16 jaar extra. Zij kunnen de risico s van gegevensbescherming minder goed inschatten. Om gegevens van hen te mogen verwerken moet er toestemming zijn van degene die gezag over hen heeft; 3. Grondslag: gerechtvaardigd belang Deze grondslag vergt een afweging tussen de gerechtvaardigde belangen van uw organisatie en de gevolgen voor de belangen en rechten van de betrokkene. In deze afweging wordt ook betrokken in hoeverre er maatregelen zijn genomen om onnodige inbreuk op de privacy te voorkomen. Er is nog veel onduidelijk m.b.t. deze grondslag. Ons advies is om deze bij voorkeur niet te gebruiken. Als u dat wel wilt doen, laat het toetsen door een inhoudsdeskundige! 4. Grondslag: uitvoering van een wettelijke verplichting Alleen in uitzonderlijke gevallen kan verwerking van persoonsgegevens gebaseerd worden op een wettelijke verplichting. Denk bijvoorbeeld aan de algemene fiscale bewaarplicht van 7 jaar voor de boekhouding en aan een lijst met aanwezigen bij de balie op last van de brandweer. Mocht uw gegevensverwerking niet te baseren zijn op één van deze vier grondslagen raadpleeg een inhoudsdeskundige. Stap 4: Wie wordt verantwoordelijk voor privacy in de organisatie? Het is belangrijk dat u de verantwoordelijkheid voor privacy in uw organisatie goed regelt. Sommige organisaties moeten een functionaris voor de gegevensbescherming (FG) aanstellen met wettelijke taken. Dit is niet verplicht voor alle organisaties. Wel voor overheids- en publieke organisaties, organisaties die persoonsgegevens analyseren (profiling) en bij grootschalige verwerking van bijzondere persoonsgegevens (zoals zorginstellingen) 5

7 Op grond van deze criteria zijn veel vrijwilligersorganisaties waarschijnlijk niet verplicht een FG aan te stellen, maar u moet dit voor uzelf goed beoordelen. Voor organisaties waarvoor een FG niet verplicht is, kan het wel handig zijn een FG aan te stellen. Als u vrijwillig een FG aanstelt laat u dan informeren over o.a. de formele stappen die u moet zetten richting de Autoriteit Persoonsgegevens. Stelt u geen FG aan? Zorg er dan in elk geval voor dat goed kunt onderbouwen waarom u daarvoor kiest en leg dat vast in uw verwerkingsregister. Als u geen FG aanstelt is het van belang de verantwoordelijkheid voor privacy wel te beleggen binnen uw organisatie en te borgen dat er AVG proof gewerkt wordt binnen uw organisatie en correct gehandeld in geval van een datalek. Vrijwilligers en privacy: Ook met vrijwilligers moeten goede afspraken worden gemaakt als zij toegang krijgen tot persoonsgegevens. Denk bijvoorbeeld aan de toegang tot leden- en deelnemerslijsten. De (vrijwilligers)organisatie is als verantwoordelijke namelijk verplicht om te bewaken dat vrijwilligers persoonsgegevens verwerken op een AVG proof manier. Als hierin iets misgaat, dan kan dit in theorie leiden tot aansprakelijkheid van de organisatie en sancties van de toezichthouder. Stel daarom duidelijk beleid op, waarin vrijwilligers wordt uitgelegd hoe zij met informatie van de organisatie moeten omgaan. Controleer bovendien periodiek of het beleid daadwerkelijk wordt nageleefd. Beperk ook de toegang tot persoonsgegevens, zodat vrijwilligers alleen toegang hebben tot gegevens die noodzakelijk zijn voor de uitvoering van hun taak. Vrijwilligers kunnen soms plots uit beeld raken nadat zij hun taak neerleggen, of eenmalig assistentie hebben verleend. Vergeet dus nooit om tijdig de toegang tot informatie te beëindigen. Zorg ook dat alle persoonsgegevens worden teruggegeven, en waar nodig worden gewist van privéapparatuur van de vrijwilliger. Als je als organisatie gegevensbescherming zorgvuldig in beleid en procedures hebt geregeld is het van belang vrijwilligers daarover te infomeren. Borg daarmee dat vrijwilligers persoonsgegevens die nodig zijn bij de uitoefening van de zijn/haar functie zorgvuldig behandelen. Als gegevens worden gelekt (dit kan gaan om gegevens uit de bestanden van de organisatie zelf, maar ook om informatie die een vrijwilliger van een deelnemer of ouder heeft gekregen) is dat een datalek. Stap 5: Bent u verplicht een DPIA uit te voeren? Met een Data Protection Impact Assesment (DPIA) brengt u in beeld wat de gevolgen zijn van het verzamelen van persoonsgegevens voor de personen zelf. Of u een DPIA moet uitvoeren is afhankelijk van wat met de gegevens gedaan wordt. Een DPIA moet worden uitgevoerd wanneer: Met de persoonsgegevens systematisch persoonlijke aspecten worden geëvalueerd (profiling); Op grote schaal bijzondere gegevens worden verwerkt (zie stap 1); Personen gevolgd worden in publieke ruimte (bijvoorbeeld door cameratoezicht). Wanneer de gegevens verzameld worden voor het versturen van de contributiebrief of een nieuwsbrief, is het effect dat mensen lid blijven van de organisatie of dat ze geïnformeerd zijn over de organisatie. Niet voor alle bestanden met persoonsgegevens hoeft daarom een DPIA gedaan te worden. Voor de meeste vrijwilligersorganisaties is een formele DPIA niet nodig. Vooral niet omdat meestal alleen contactgegevens verzameld worden en geen bijzondere persoonsgegevens. U kunt deze wel vrijwillig doen om het risico op mogelijke datalekken te verkleinen. 6

8 Stap 6: Voldoet u aan de eisen van privacy by design en default? Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat u niet meer gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. En dat u de gegevens niet langer bewaart dan nodig. Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Bijvoorbeeld door: een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is; op uw website het vakje Ja, ik wil aanbiedingen ontvangen niet vooraf aan te vinken; als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is. De bewaartermijn voor persoonsgegevens mag niet langer zijn dan noodzakelijk voor het gegeven doel. Het doel van het bewaren van de persoonsgegevens kan verschillen per activiteit. De noodzakelijke bewaartermijn zal per activiteit verschillen. Voor elke activiteit is daarom een afzonderlijke afweging noodzakelijk. De volgende wettelijke bewaartermijnen geven bij deze afweging voor klantgegevens enige houvast: Bewaartermijn fiscale boekhoud- en administratieplicht = 7 jaar (art. 52 AWR) Bewaarplicht voor administraties bij boekjaarsubsidies (optioneel) = 7 jaar (art. 4:69 Awb) Daarnaast kent het Vrijstellingsbesluit Wet bescherming persoonsgegevens voor klantgegevens concrete handvatten: Bewaartermijn voor persoonsgegevens bij dienstverlening = 2 jaar nadat de desbetreffende transactie is afgehandeld (art. 13 lid 5 Vrijstellingsbesluit). Voor bijvoorbeeld sollicitaties gelden weer andere bewaartermijnen. Het is gebruikelijk dat een organisatie sollicitatiegegevens verwijdert uiterlijk 4 weken na het einde van de sollicitatieprocedure. Wel kunt u toestemming vragen aan betrokkene om gegevens langer te bewaren. Bijvoorbeeld omdat er mogelijk op een later tijdstip een passende functie voor betrokkene komt. Een termijn van maximaal 1 jaar na beëindiging van de sollicitatieprocedure is hiervoor redelijk. Sommige informatie zult u wellicht voor statistische, wetenschappelijke of historische doeleinden langer willen bewaren. Dat mag, maar zorg wel dat dit bij betrokkenen bekend is, deze langer bewaarde gegevens niet alsnog voor andere doeleinden worden gebruikt, en onderzoek in hoeverre u de gegevens kunt anonimiseren. Stap 7: Hoe legt u verantwoording af? Organisaties hebben een verantwoordingsplicht door de nieuwe AVG-wet. Dat betekent dat organisaties vastleggen wie verantwoordelijk is voor de data, aan wie informatie wordt verstrekt, op welke computer deze wordt opgeslagen en op welke wijze deze wordt beschermt tegen virussen en hacken. De Algemene Verordening Gegevensbescherming (AVG) legt meer verantwoordelijkheid bij u als organisatie om aan te tonen dat u aan de privacyregels voldoet. Door te voldoen aan uw verantwoordingsplicht (accountability) levert u een belangrijke bijdrage aan de bescherming van het grondrecht van mensen op privacy. De nieuwe regels dwingen u om goed na te denken over hoe uw organisatie persoonsgegevens verwerkt en beschermt. De verantwoordingsplicht houdt in dat u moet kunnen aantonen dat uw verwerkingen aan de regels van de AVG voldoen. 7

9 U moet bijvoorbeeld kunnen aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals: rechtmatigheid; transparantie; doelbinding; juistheid. Ook moet u kunnen laten zien dat u de juiste technische en organisatorische maatregelen hebt genomen om de persoonsgegevens te beschermen. U bent verplicht verantwoording af te leggen over uw gegevensverwerkingen wanneer de Autoriteit Persoonsgegevens daar om vraagt. Zorg daarom dat u aan uw verantwoordingsplicht voldoet vanaf 25 mei Vanaf dan geldt de AVG. Verplichte maatregelen: De verplichte maatregelen die de AVG concreet noemt zijn: het bijhouden van een register van verwerkingsactiviteiten; het uitvoeren van een data protection impact assessment (DPIA) voor gegevensverwerkingen met een hoog privacyrisico; het bijhouden van een register van datalekken die zijn opgetreden; het aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer u voor een verwerking toestemming nodig heeft. wanneer onduidelijk is of u verplicht bent om een Functionaris voor gegevensbescherming aan te stellen, moet u goed kunnen onderbouwen waarom u ervoor gekozen hebt om al dan niet een FG aan te stellen. Naast de verplichte maatregelen kunt u ervoor kiezen om extra maatregelen te nemen waarmee u aantoont dat u voldoet aan de eisen van de AVG. Bijvoorbeeld: het aansluiten bij een gedragscode; het behalen van een bepaald certificaat; het hanteren van een specifiek ICT-beveiligingsbeleid; het afleggen van verantwoording over de verwerking van persoonsgegevens in uw jaarverslag of in een speciaal privacy-jaarverslag. Hoewel deze maatregelen niet verplicht zijn, helpen zij u wel om aan de toezichthouder te laten zien dat u voldoet aan de eisen van de AVG. Daarom moedigen wij deze vrijwillige maatregelen aan. Of u een verwerkingsregister moet opstellen, hangt af van de omvang van uw organisatie en het type gegevens dat u verwerkt. Organisaties met meer dan 250 medewerkers: Heeft uw organisatie meer dan 250 medewerkers? Dan bent u verplicht om een register van verwerkingsactiviteiten bij te houden. Organisaties met minder dan 250 medewerkers: Heeft uw organisatie minder dan 250 medewerkers? Dan moet u over een register beschikken wanneer u persoonsgegevens verwerkt: waarvan de verwerking niet incidenteel is. In de praktijk zijn verwerkingen zelden incidenteel. Denk bijvoorbeeld aan de persoonsgegevens van medewerkers die u verwerkt. Of van uw klanten, cliënten, patiënten of inwoners en/of; die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt en/of; die vallen onder de categorie bijzondere persoonsgegevens. Zoals gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens. Bent u verplicht om een register van verwerkingsactiviteiten op te stellen? Dan moet u dit register kunnen verstrekken wanneer de Autoriteit Persoonsgegevens daar om vraagt. 8

10 Het register van verwerkingsactiviteiten bevat informatie over de persoonsgegevens die u verwerkt. U mag zelf weten hoe u het register opstelt. Wel schrijft de AVG voor welke informatie u als verantwoordelijke of verwerker in het register moet zetten. Als de Autoriteit Persoonsgegevens (AP) daar om vraagt, moet u het register direct kunnen laten zien. Is uw organisatie de verwerkingsverantwoordelijke? Stelt uw organisatie zelf het doel en de middelen voor de verwerking van de persoonsgegevens vast? Dan is uw organisatie de verwerkingsverantwoordelijke. De wet schrijft voor dat deze verantwoordelijken de volgende informatie in het register moeten opnemen: de naam en contactgegevens van: o uw organisatie, of de vertegenwoordiger van uw organisatie; o eventuele andere organisaties met wie u gezamenlijk de doelen en middelen van de verwerking heeft vastgesteld; o de Functionaris voor de gegevensbescherming (FG) als u die heeft aangesteld; o eventuele andere internationale organisaties waar u persoonsgegevens mee deelt. de doelen waarvoor u de persoonsgegevens verwerkt. Bijvoorbeeld voor de werving en selectie van personeel, het bezorgen van producten of direct marketing; een beschrijving van de categorieën van personen van wie u gegevens verwerkt. Bijvoorbeeld uitkeringsgerechtigden, klanten of patiënten; een beschrijving van de categorieën van persoonsgegevens. Zoals het BSN, NAW-gegevens, telefoonnummers, camerabeelden of IP-adressen; de datum waarop u de gegevens moet wissen (als dat/deze bekend is); de categorieën van ontvangers aan wie u persoonsgegevens verstrekt; deelt u de gegevens met een land of internationale organisatie buiten de EU? Dan moet u dit aangeven in het register; een algemene beschrijving van de technische en organisatorische maatregelen die u hebt/heeft genomen om persoonsgegevens die u verwerkt te beveiligen. Is uw organisatie een verwerker? Verwerkt u in opdracht van een verantwoordelijke persoonsgegevens? Bijvoorbeeld omdat u werkt bij een administratiekantoor of een online dienst voor gegevensopslag? Dan moet de volgende informatie in uw verwerkingsregister staan: De naam en contactgegevens van; o uw organisatie, of de vertegenwoordiger van uw organisatie, of de verwerkingsverantwoordelijke; o een Functionaris voor de gegevensbescherming (FG) als u die heeft aangesteld; o een beschrijving van de categorieën van verwerkingen die u in opdracht van iedere verantwoordelijke uitvoert; o eventuele andere internationale organisaties met wie u persoonsgegevens deelt. o deelt u de gegevens met een land of internationale organisatie buiten de EU? Dan moet u dit aangeven in het register; een algemene beschrijving van de technische en organisatorische maatregelen die u hebt/heeft genomen om persoonsgegevens die u verwerkt te beveiligen. Aantonen toestemming Verwerkt u persoonsgegevens gebaseerd op toestemming van de betrokken personen? Dan moet u onder de Algemene Verordening Gegevensbescherming (AVG) aan de Autoriteit Persoonsgegevens (AP) kunnen laten zien dat u die toestemming daadwerkelijk heeft. Dat maakt onderdeel uit van de verantwoordingsplicht die u onder de AVG heeft. 9

11 Specifiek en geïnformeerd Twee van de eisen die de AVG stelt aan toestemming zijn dat deze geïnformeerd en specifiek gegeven is. Om geldige toestemming aan te tonen is het dan ook essentieel dat u kunt laten zien op basis van welke informatie de betrokken personen de toestemming hebben gegeven. Het is dus onvoldoende om alleen de toestemming zelf vast te leggen. Online toestemming Vraagt u online toestemming aan mensen voor het verwerken van hun persoonsgegevens? Dan kunt u de informatie over het websitebezoek, waarin zij de toestemming hebben gegeven, vastleggen. Deze informatie kunt u combineren met: documentatie over het proces waarin u heeft vastgelegd op welke manier u toestemming ontvangt en vastlegt. een kopie van de informatie die de betrokkenen hebben ontvangen voorafgaand aan de gegeven toestemming. Verwijzen naar automatische registratie van toestemming door uw website is onvoldoende om geldige toestemming aan te kunnen tonen. De informatie die aan de betrokkenen is verstrekt, ontbreekt dan namelijk. Ten slotte moet u ervoor zorgen dat u voldoende data heeft waarmee u een link tussen de verwerking én de toestemming van een betrokkene kunt aantonen. Let wel, u mag hierbij niet méér data verzamelen dan strikt noodzakelijk is om geldige toestemming aan te kunnen tonen. Stap 8: Zijn uw klantgegevens voldoende beveiligd? Ga in deze stap na of technisch en organisatorisch maatregelen zijn getroffen om veilig persoonsgegevens te verwerken. Mogelijke databeveiligingsmaatregelen om verlies of onrechtmatige verwerking van persoonsgegevens te voorkomen of te beperken zijn: Technische beveiligingsmaatregelen (enkele voorbeelden): up to date software, virusscanner en firewalls etc. pseudonimisering en versleuteling van persoonsgegevens; twee factor authenticatie; screensaver met wachtwoord beveiliging; logging; wachtwoordenbeleid (regels voor sterke wachtwoorden, wachtwoorden privé houden, periodiek wijzigen etc.); software tegen malware-aanvallen; het periodiek maken van backups; beveiligde website is (SSL-certificaat) om hacken tegen te gaan, zeker als bijvoorbeeld uw ledenadministratie gekoppeld is aan de website of als u inschrijfformulieren voor een toernooi of activiteiten op uw website hebt staan; het bewaren van persoonsgegevens op pc s in een afgesloten ruimte; gevoelige informatie opbergen en bewaren in afsluitbare kasten. Niet onbelangrijk: zorg dat de data maar op één computer of één systeem staan. Verspreiding van data over verschillende computers of systemen zonder dat dat is vastgelegd, kan uitgelegd worden als datalekken. Denk daarbij ook aan USB sticks etc.! 10

12 Organisatorische beveiligingsmaatregelen (enkele voorbeelden): het beperken van toegang tot persoonsgegevens (personen enkel tot die gegevens die zij nodig hebben voor de uitoefening van hun werkzaamheden toegang geven); Voorbeeld: de ledenadministratie van een vereniging zal gegevens als straatnaam en huisnummer nodig hebben voor het werk binnen de vereniging, iemand van de PR commissie hoogstwaarschijnlijk niet. De leden van de PR commissie hebben in dit geval geen recht de gegevens straatnaam en huisnummer in te zien. het creëren van informatieveiligheidsbewustzijn onder medewerkers; het opstellen van procedures en protocollen; toezien op naleven van procedures en protocollen; toegang tot persoonsgegevens beëindigen bij vertrek van vrijwilligers; vragen (wellicht laten verklaren) dat persoonsgegevens zijn teruggegeven of verwijderd bij vertrek (ook van privé apparatuur). Stap 9: Informatieplicht. Wanneer u met persoonsgegevens werkt, bent u verplicht de betrokkenen op een begrijpelijke manier te laten weten welke gegevens u verwerkt en waarom. U dient daarom een privacyverklaring op te stellen, met in elk geval de volgende informatie: 1. De identiteit en de contactgegevens van de verwerkingsverantwoordelijke; 2. De contactgegevens van de FG als u die heeft; 3. De doeleinden en rechtsgrond van de verwerking, en als u zich beroept op een gerechtvaardigd belang: op welk belang u zich beroept; 4. De (categorieën van) ontvangers van de persoonsgegevens; 5. Of u van plan bent de persoonsgegevens door te geven buiten de EU; 6. De bewaartermijn van de gegevens; 7. De rechten van de betrokkene, zoals het recht op inzage, correctie en verwijdering; 8. Het recht van de betrokkene om de gegeven toestemming voor een bepaalde verwerking altijd in te kunnen trekken; 9. Dat de betrokkene een klacht kan indienen bij de AP; 10. Of en waarom de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn als de gegevens niet worden verstrekt; 11. Of u gebruik maakt van geautomatiseerde besluitvorming, inclusief profilering, en hoe u besluiten neemt; 12. Als de gegevens van een andere organisatie zijn verkregen: de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen; Verkrijgt u de persoonsgegevens via een derde in plaats van rechtstreeks via de betrokkene, dan moet u tevens meedelen van welke bron de gegevens afkomstig zijn, en welke categorieën persoonsgegevens het betreft. Tip: wees duidelijk! Niemand is geholpen met een vage bewoording dat de vereniging "bepaalde informatie" "mogelijk" voor "kwaliteitsdoeleinden" gebruikt. Het lijkt aantrekkelijk om veel ruimte te creëren voor allerlei vormen van gebruik, maar uiteindelijk leiden ze tot onduidelijkheid. Hoe stelt u de privacyverklaring beschikbaar? De betrokkene moet in principe voorafgaand aan het vastleggen van zijn of haar persoonsgegevens worden geïnformeerd. We bespreken twee veelvoorkomende situaties. 11

13 Voorbeeld 1: inschrijving als lid/deelnemer: Schrijft iemand zich online in als verenigingslid of als deelnemer aan een wedstrijd/evenement, verwijs dan duidelijk op het inschrijfformulier naar de privacyverklaring met een hyperlink. Bijvoorbeeld: "Onze vereniging verwerkt uw persoonsgegevens conform de privacyverklaring" en laat betrokkene een vinkje zetten voor akkoord. Schrijft iemand zich ter plaatse in (dus niet online), verwijs dan op het papier naar de privacyverklaring en leg deze klaar voor eventuele raadpleging en laat betrokkene tekenen voor gezien. Voorbeeld 2: de website: Bezoekers van een website kunt u eenvoudig informeren door het plaatsen van een link naar de privacyverklaring onderaan elke sub-pagina van de website. Vraag bezoekers (voor bepaalde delen) om zich te registreren met een account, verwijs dan nogmaals uitdrukkelijk naar de privacyverklaring (zie voorbeeld 1). Let op: voor het verstrekken van informatie over de plaatsing van cookies gelden aparte regels. Voor alle verwerkingen die buiten hetgeen in het privacyverklaring staat vermeld vallen is aparte toestemming nodig. Denk dus goed na over de inhoud van de privacyverklaring. Stap 10: Rechten van betrokkenen. Personen van wie data wordt vastgelegd of bewaard hebben een aantal rechten. Het recht op dataportabiliteit. Het recht om persoonsgegevens over te dragen (NIEUW). Het recht op vergetelheid. Het recht om vergeten te worden (NIEUW). Recht op inzage. Dat is het recht van mensen om de persoonsgegevens die u van hen verwerkt in te zien. Recht op rectificatie en aanvulling. Het recht om de persoonsgegevens die u verwerkt te wijzigen. Het recht op beperking van de verwerking: Het recht om minder gegevens te laten verwerken. Het recht met betrekking tot geautomatiseerde besluitvorming en profilering. Oftewel: het recht op een menselijke blik bij besluiten. Het recht om bezwaar te maken tegen de gegevensverwerking. Ten slotte hebben mensen recht op duidelijke informatie over wat u met hun persoonsgegevens doet. Onder de AVG moet u aan een aantal specifieke eisen voldoen. Op enkele rechten gaan we wat dieper in. Inzagerecht en recht om vergeten te worden: Personen van wie data wordt vastgelegd/bewaard hebben inzagerecht en het recht om vergeten te worden. Dit moet binnen 1 maand na het verzoek gebeuren. Er mogen geen kosten aan verbonden zijn. Het recht om vergeten te worden geldt niet altijd. Het is onder meer van toepassing als u de gegevens niet meer nodig hebt voor het doel waarvoor u ze hebt verzameld, als eerder gegeven instemming wordt ingetrokken, als u persoonsgegevens op onrechtmatige wijze verwerkt, als bezwaar wordt gemaakt tegen direct marketing, als u gegevens te lang bewaart. Recht op dataportabiliteit: Nieuw in de AVG-wet is het recht op dataportibiliteit: bij het recht op dataportabiliteit moeten organisaties de gegevens verstrekken in een vorm die het voor betrokkenen makkelijk maakt om hun gegevens te hergebruiken en door te geven aan een andere organisatie. Organisaties zijn daarom wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en machine leesbaar formaat te verstrekken (o.a. Word, Excel, PDF). 12

14 Verwijderen van persoonsgegevens: Wanneer moeten persoonsgegevens bij een vrijwilligersorganisatie verwijderd worden? Uit de actieve ledenadministratie moeten persoonsgegevens uiterlijk twee jaar na het einde van het lidmaatschap verwijderd worden, tenzij er een eerder verzoek is gekomen van een oud-lid. Met toestemming van de leden is het mogelijk om persoonsgegevens langer vast te leggen (voor historiek, reünie). Let wel op de wettelijke bewaarplicht voor de administratie (verwijderen van data is niet hetzelfde als vernietigen van data). Wat als er toch iets misgaat? Procedure opstellen voor het melden van datalekken U hebt zich nu maximaal voorbereid op het voorkomen van een datalek. Maar stel dat u toch te maken krijgt met een datalek, dan leest u hier op hoofdlijnen wat te doen. Elke organisatie die persoonsgegevens opslaat, is verplicht alle datalekken te melden binnen 72 uur na ontdekking bij de Autoriteit Persoonsgegevens. Om dit zorgvuldig te doen is het handig vooraf procedures af te spreken. Hierin staat: Wat een datalek is. We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, een gestolen geprinte ledenlijst of cliëntgegevens. Andere voorbeelden zijn cyberaanvallen, verkeerd verzonden , gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usbsticks; Bij wie in de organisatie een datalek gemeld moet worden; Wie binnen de organisatie nog meer geïnformeerd moet worden; Wie checkt wat er gelekt is; Hoe in kaart gebracht wordt wat de gevolgen zijn voor de personen van wie de persoonsgegevens gelekt zijn; Welke gegevens nodig zijn voor de melding. De melding moet in ieder geval bestaan uit: o de aard van de inbreuk; o de instanties of persoon waar meer informatie over de inbreuk kan worden verkregen; o de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken; o een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens; o de maatregelen die de organisatie heeft genomen of voorstelt te nemen om deze gevolgen te verhelpen. Wie de melding doet bij de Autoriteit Persoonsgegevens: dit kan de functionaris voor de gegevensbescherming (FG) zijn, maar bijvoorbeeld ook een bestuurslid. Meldingen kunnen digitaal gedaan worden bij het meldloket van de Autoriteit Persoonsgegevens: Wanneer moet u betrokkene(n) informeren over een datalek? Wanneer u heeft vastgesteld dat de inbreuk op de persoonsgegevens een hoog risico voor betrokkenen inhoudt, dient u ook aan de betrokkenen mede te delen dat er sprake is geweest van een inbreuk in verband met persoonsgegevens. Onder hele specifieke omstandigheden hoeft dat niet (bijvoorbeeld als gegevens versleuteld zijn). Kijk voor meer informatie op de website van de Autoriteit Persoonsgegevens. Het is verstandig om personen wiens data gelekt is (leden, deelnemers, donateurs e.d.) te informeren over het datalek en de aard van de gegevens die gelekt zijn. Zeker als deze data een inbreuk kunnen vormen op de persoonlijke levenssfeer. Maak een protocol dat u kunt volgen voor het geval dit voorkomt. 13

15 Handige documenten en links Dit document en onderstaande links en bijgevoegde documenten zijn hulpmiddelen bij de invoering van de privacywet binnen uw organisatie. Wij kunnen onmogelijk volledig zijn in dit en bijgevoegde documenten. Het bestuur van uw organisatie blijft dan ook zelf verantwoordelijk voor de correcte invoer van deze wetgeving. Raadpleeg in geval van twijfel een deskundige. Veel koepelorganisaties hebben ook voorbeeld documenten. Kijk ook een binnen uw eigen koepel en binnen Enschede op de website van Sportaal. Achtergrondinformatie: Checklist invoering privacywetgeving / AVG voor verenigingen en stichtingen Handleiding Algemene verordening gegevensbescherming van het Ministerie van Justitie en Veiligheid Documenten: Voorbeeld privacyverklaring Voorbeeld verwerkingsregister Voorbeeld Model Verwerkersovereenkomst via de Rijksoverheid Voorbeeld protocol bij datalekken Links Website Autoriteit Persoonsgegevens met informatie over de AVG Website Sportaal Bronnen stappenplan: Autoriteit persoonsgegevens, NOV, Cultuurconnectie, diverse websites. Meer info Hebt u na het doornemen van het stappenplan nog vragen of wilt u graag advies? Neem dan contact op met M-Pact via avg@m-pact.nl of bel