AVG, ook voor bewonersgroepen

  • Ook bewonersverenigingen, wijkondernemingen en BewonersBedrijven krijgen te maken met de AVG: de Algemene Verordening Gegevensbescherming. Dit is de nieuwe Europese privacywetgeving die op 25 mei 2018 definitief van kracht wordt. Het vervangt de verouderde Nederlandse Wet bescherming persoonsgegevens (Wbp) en heeft als doel persoonsgegevens beter te beschermen en die bescherming in de gehele EU gelijk te trekken.

    Beeld: www.bluecoat.com

    Organisaties moeten duidelijk(er) maken waarom ze persoonsgegevens verzamelen, waarvoor ze die gebruiken en hoe lang de data wordt bewaard. Ook moeten ze mensen die erom vragen inzage geven in de opgeslagen data. Verenigingen, stichtingen, groot en klein, moeten allemaal aan de AVG voldoen. De nieuwe wet verwacht van ons dat we behoorlijk wat stappen ondernemen: alles omtrent privacy uitzoeken, regelen en vastleggen. Hier vind je info, tools en teksten die kunnen helpen.

    WAT MOET JE DOEN?

    Het is best veel,  dat je binnen de AVG-wet geregeld moet hebben. We hebben het onderverdeeld in vier hoofdgroepen, te weten Statement en overeenkomsten, ICT, Organisatie-procedures en Informatie medewerkers/vrijwilligers.

    Statement en overeenkomsten

    Je moet een aantal zaken vastleggen. Belangrijk is dat je een privacy statement maakt en voor iedereen vindbaar publiceert (je website is de meest logische plek). Zo’n privacy statement is een gedragscode waarin je aangeeft wat je doet met de gegevens die je van je bezoekers of leden verzamelt. Er is hier een handige tool voor te vinden, namelijk de privacyverklaring-tool van Veiliginternetten.nl. Let op: deze doet veel automatisch, maar je moet handmatig ook nog het een en ander invullen. Onder meer welke gegevens je hoe lang bewaart. Het LSA heeft ook een concept privacy statement gemaakt.

    Verwerkersovereenkomsten

    Daarnaast moet je verwerkersovereenkomsten afsluiten met een iedere partij aan wie jij persoonsgegevens vertrekt waarover je als organisatie verantwoordelijkheid  draagt. Hier zijn meerdere modellen voor te vinden, voorbeelden die je kunt gebruiken wanneer je een dienstverlener een opdracht geeft waarbij persoonsgegevens worden gebruikt, zoals een drukker die een magazine verzendt aan leden, een IT–bedrijf dat e-mails verstuurt of een bedrijf dan onderzoek verricht op basis van gegevens. De dienstverlener wordt vanuit de privacywetgeving gezien als verwerker en jij/jouw organisatie als verantwoordelijke. De verantwoordelijke is verplicht afspraken hierover vast te leggen.

    Kijk hier voor model-verwerkersovereenkomsten of bekijk hoe je specifiek een verwerkersovereenkomst afsluit met Google en MailChimp. Wanneer jij Google Analytics gebruikt moet je ook met hen een overeenkomst afsluiten én je moet goed kijken naar welke informatie je verzamelt. Lees hier meer daarover.

    ICT

    Zijn je software- en virusscanners up-to-date? Zijn er (veilige) back-ups om de persoonsgegevens te beschermen tegen verlies of ransomware? De beveiliging van gegevens moet in orde zijn. Denk aan Excel-bestanden, een CRM, het ledenbestand, mails, tablets, laptops en smartphones met ledengegevens. Je bent verplicht voor goede beveiligingssoftware te zorgen.
    Het wordt ook verplicht om je website te beveiligen met een SSL-Certificaat. Dit houdt in dat vertrouwelijke gegevens versleuteld worden en moeilijk kunnen worden onderschept. De bezoeker kan dit herkennen aan een groen slotje in de URL balk (wij hebben hem!) met daarachter HTTPS in plaats van HTTP.
    In de meeste gevallen kan het hostingsbedrijf dit voor jou instellen. Let wel op, er zijn drie verschillende soorten certificaten: Domein, organisatie en uitgebreide validatie. In de meeste gevallen zal de domein validatie voldoende zijn, maar vraag vooral even advies bij het hostingbedrijf.  Je kunt kijken of jouw website up to date is op www.internet.nl.

    Mailverkeer

    Ook met de AVG wetgeving mag je klanten nog gewoon nieuwsbrieven sturen. Het is wel belangrijk dat je de juiste toestemming vraagt. Bij een aanmelding moet een bevestigende actie worden verricht. Standaard een aangevinkt vakje mag dus niet. Ook moeten de e-mail toestemming en de algemene voorwaarden gescheiden van elkaar worden weergegeven.

    Verder moet bij de aanmelding voor de nieuwsbrief duidelijk vermeld worden wat men kan verwachten. En hoe vaak de nieuwsbrief wordt verstuurd? Plaats daarnaast een verwijzing in de tekst naar de privacy verklaring.

    FG

    Daarnaast moet je nagaan of je een functionaris voor de gegevensbescherming nodig hebt, waarschijnlijk niet. Het is verplicht voor overheids- en publieke organisaties, organisaties die persoonsgegevens analyseren (profiling) en wanneer bijzondere persoonsgegevens worden opgeslagen. Voor organisaties waarvoor een FG niet verplicht is, kan het wel handig zijn een FG aan te stellen. Bekijk hier meer informatie over de FG.

    DPIA

    DPIA is ook iets waar waarschijnlijk geen bewonersgroep toe verplicht is. Een DPIA, in het Nederlands een ‘gegevensbeschermingseffectbeoordeling’ genoemd, dient alleen te worden opgesteld als bij verwerking van persoonsgegevens een groot privacyrisico ontstaat voor de betrokken mensen. Als je grote hoeveelheden gevoelige informatie opslaat en aan profiling doet, dan moet je hier wel even induiken!

    Organisatie-procedures

    Maak een document waarin staat wie binnen de organisatie toegang heeft tot welke gegevens en wie die gegevens mag veranderen. Dit document is voor intern gebruik, je hoeft het dus niet te publiceren. Beschrijf daarnaast ook een procedure wat je doet wanneer er een datalek is.  Elke organisatie die persoonsgegevens opslaat, is verplicht datalekken te melden binnen 72 uur na ontdekking. We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Meestal gaat het om uitgelekte computerbestanden, een gestolen geprinte ledenlijst of cliëntgegevens. Andere voorbeelden zijn cyberaanvallen, verkeerd verzonden e-mail, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usb-sticks. Hier vind je het data-lek-loket.

    Personeelsbeleid

    Als je personeel in dienst hebt, zorg dan ook voor een goed personeelsbeleid waarin rekening wordt gehouden met de privacy. Ook hier geldt dat je alleen informatie bijhoudt die je echt nodig hebt, dat het duidelijk is wie er toegang tot heeft, dat het beveiligd is en dat je de gegevens na verloop van tijd verwijdert. Lees hier meer over personeelsbeleid en pivacy

    Informatie medewerkers/vrijwilligers

    Alle medewerkers/vrijwilligers moeten geïnformeerd  worden omtrent de wetgeving. Leg goed uit wat de regels zijn omtrent persoonsgegeven. En spreek goed af wie verantwoordelijk is voor het databestand / de databestanden.

    Checklist

    Tot slot nog een nuttige AVG-checklist.

    En kijk ook in ons kennisdossier over de AVG. Dit dossier is nog groeiende en mooie voorbeelden van bewonersgroepen zijn zeer welkom!

    We hebben geprobeerd duidelijk en volledig te zijn, maar we zijn geen juristen. We aanvaarden dan ook geen enkele aansprakelijkheid als er onvolkomenheden in het artikel staan. Mocht je inhoudelijke (juridische) vragen hebben over jouw eigen situatie, leg je vraag dan voor aan een jurist.

  • Meer van onze leden

    MidWest

    MidWest

    Coop MidWest is een verzamelplek in de Amsterdamse Baarsjes. Bottum-up bedacht, uitgewerkt en tot stand gekomen door ...

    Lees meer >
    BewonersBedrijf Delfzijl Noord

    BewonersBedrijf Delfzijl Noord

    “We kunnen het zelf beter, goedkoper en duurzamer!” Een BewonersBedrijf is een bijzonder bedrijf. Het is een ...

    Lees meer >
    Stichting Reload the City

    Stichting Reload the City

    De stichting Reload the City is opgericht uit liefde voor Amsterdam Nieuw-West, maar vooral ook uit liefde voor ...

    Lees meer >