TOOLKIT
—————
AVG: NIEUWE PRIVACYWETGEVING
GELDT OOK VOOR KLEINE GOEDE DOELEN
AVG: NIEUWE PRIVACYWETGEVING
Ook belangrijk voor kleine stichtingen!
Ook kleine stichtingen en verengingen verwerken persoonsgegevens – denk aan gegevens van donateurs, leden en vrijwilligers. Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming van toepassing. Deze Europese wet vervangt de Nederlandse Wet bescherming persoonsgegevens (WBP). Ook als kleine stichting krijgt u te maken met verplichtingen.
Over welke gegevens gaat de AVG?
De AVG ziet toe op de verwerking van alle gegevens die tot een persoon te herleiden zijn (persoonsgegevens). Het maakt niet uit of u de persoonsgegevens digitaal heeft vastgelegd (in een spreadsheet of een administratiesysteem) of dat u namen en adressen op papier heeft staan.
U moet er voor zorgen dat de gegevens alleen worden gebruikt voor het doel waarvoor ze aan u verstrekt en door u verzameld zijn. Dus: Verzamel niet meer gegevens dan voor het doel noodzakelijk. Leg dit vast in uw privacyprotocol.
U moet kunnen aantonen dat u een privacybeleid heeft. Een disclaimer op uw website is vaak al voldoende.In de disclaimer vermeldt u dat uw stichting een privacyprotocol heeft. U kunt dat protocol ergens op de website publiceren. Het privacyprotocol dient gesteld te zijn in begrijpelijke taal. (Voorbeeld: Onze stichting werkt conform een privacyprotocol. U kunt het privacyprotocol hier – maak een link- bekijken/downloaden.)
Als u (grote) donateurs wilt bedanken op de website van de stichting, Facebook of in het Jaarverslag dient u daar eerst uitdrukkelijk toestemming voor te vragen. Zonder toestemming kunt u wel melding maken van de gift, maar kunt u de donateur niet met naam en toenaam vermelden. Leg vast in uw privacyprotocol dat u zo met donateurs-gegevens omgaat.
U houdt indien nodig een verwerkingsregister bij (zie de kolom hiernaast). U sluit overeenkomsten met partijen die persoonsgegevens van u ontvangen (verwerkers of bewerkers; meer hierover in de kolom hiernaast). Denk bij verwerkers of bewerkers aan drukkers die diensten voor uw stichting uitvoeren. Leg -indien van toepassing -vast in uw privacyprotocol dat u verwerkers-overeenkomsten afsluit of alleen werkt met betrouwbare leveranciers (dit zijn leveranciers die werken/leveren conform het gestelde in de AVG).
Als u een verwerkersovereenkomst afsluit, kan die, vooral voor kleine stichtingen, heel kort zijn.
U zorgt ervoor, dat donateurs of leden die zich bij u hebben aangemeld, zich ook weer kunnen afmelden. Leg vast in uw privacyprotocol wat donateurs/leden moeten doen om zich af te melden en maak dat ook duidelijk in uw communicatie aan donateurs/leden. Maak het afmelden niet te moeilijk.
Als u digitale nieuwsbrieven verstuurt, moet u de mogelijkheid bieden aan uw leden/donateurs om zich uit te schrijven (‘unsubscribe’). Neem op in uw privacyprotocol dat u de mogelijkheid biedt.
Van nieuwe donateurs/leden neemt u de herkomst (reden van aanmelding) op. Denk hierbij aan de actie die u voerde, de nieuwsbrief die u stuurde en de informatie die u bij die gelegenheid over uw stichting verstrekte. Leg vast hoe u dit doet in uw privacyprotocol.
Website
Ook zijn er regels voor de website. Alle websites waarop leden/donateurs persoonsgegevens kunnen achterlaten (dus die met een aanmeldformulier) moeten in het kader van de AVG voorzien zijn van een SSL Certificaat. (Websites met een SSL certificaat herkent u aan het slotje en in het webadres wordt voorafgegaan door https:// Voorbeeld: geen http://www.websitenaam.nl maar https://www.websitenaam.nl. Ook geldt er een verplichte cookiemelding. (Voorbeeld: Bij bezoek aan onze website worden geen cookies geplaatst.)
Heeft u onvoldoende kennis in huis om de website AVG-proof te maken: kijk dan eens naar het aanbod van For the Better .
BEKIJK OOK DE WEBSITE VAN DE AUTORITEIT PERSOONSGEGEVENS EN DOWNLOAD DE UITGEBREIDE HANDLEIDING
Verwerkingsregister
Ook kleine organisaties dienen een verwerkers-register te maken als zij op regelmatige basis persoonsgegevens leveren aan derden (denk aan de drukker die uw nieuwsbrieven drukt en verstuurt en/of de acceptgiro’s print.) U mag zelf weten hoe en wat u in het verwerkingsregister zet, maar neem op:
1. met welke organisatie u gegevens deelt en met welk doel.
2. van welke categorieën van personen (donateurs, leden, vrijwilligers).
3. Op basis van welke informatie de leden/donateurs zich bij u hebben aangemeld.
Verwerker of bewerker
Met de bewerker of verwerker die op basis van door u aangeleverde persoonsgegevens diensten verricht (drukken van acceptgiro’s of etiketten bijvoorbeeld) dienen grote organisaties een schriftelijke overeenkomst aan te gaan. Voor kleine verenigingen of stichtingen die een paar honderd etiketten of acceptgiro’s laten drukken, is een schriftelijke overeenkomst misschien wat zwaar.
Maar als u de bestelling doet (bij een betrouwbare leverancier) leg dan bij het plaatsen van de order het volgende schriftelijk vast:
1. De bewerking vindt plaats op basis van uw instructies (etiketten drukken, nieuwsbrief versturen)
2. De verwerker mag de geleverde persoons-gegevens niet voor eigen doeleinden gebruiken.
3. Personen in dienst van de verwerker hebben geheimhoudingsplicht
4. Verwerker mag de werkzaamheden niet aan een ander (een ‘subverwerker’) uitbesteden.
5. De datum waarop de verwerker de door u aangeleverde gegevens moet wissen.
Vraag akkoord op deze bepalingen voordat u bestanden opstuurt.
Rechten van betrokkenen (de leden, donateurs, vrijwilligers)
1. Betrokkenen hebben recht op juistheid. Zij moeten gegevens kunnen (laten) wijzigen.
2. Betrokkenen moeten gegevens kunnen (laten) verwijderen.
Bijzondere persoonsgegevens
Over het algemeen zal een kleine stichting of vereniging geen bijzondere persoonsgegevens opslaan (zie voor bijzondere persoonsgegevens de begrippenverklaring uiterst links op deze pagina).
Als u wel bijzondere persoonsgegevens moet opslaan voor uw doel, dan dient u er op te letten dat die alleen in ‘veilige landen’ mogen worden opgeslagen. Amerika behoort niet tot de veilige landen. Amerikaanse leveranciers (Microsoft, Google, Facebook, Dropbox etc) zijn verplicht om gegevens te leveren als de NSA (Amerikaanse geheime dienst) dat vraagt. De veiligheid van bijzondere persoonsgegevens is bij deze bedrijven dus niet gegarandeerd.
Data-opslag
Vermeld in uw privacyprotocol waar u de persoonsgegevens bewaart (lokaal op de eigen computer of in ‘the cloud’). Alleen de vermelding ‘in the cloud’ is niet voldoende. U moet dan achterhalen op welke server de data wordt bewaard.
Een datalek dient meteen gemeld te worden bij de Autoriteit Persoonsgegevens.
Maak het je makkelijk
Voor 20 euro kunt u een handig protocol bestellen. Dit voorbeeldprotocol past u aan aan de situatie van uw stichting of vereniging. Daarmee voldoet een kleine stichting of vereniging geheel aan de eisen van de AVG.
Klik hier om te betalen en het AVG protocol wordt u zsm per mail toegestuurd.
MEER TOOLKITS
Handig in dit verband zijn wellicht ook: