Stappenplan privacywetgeving (AVG) voor (vrijwilligers ... · Stappenplan privacywetgeving (AVG)...

15
Versie 1.0 18 mei 2018 Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties

Transcript of Stappenplan privacywetgeving (AVG) voor (vrijwilligers ... · Stappenplan privacywetgeving (AVG)...

Page 1: Stappenplan privacywetgeving (AVG) voor (vrijwilligers ... · Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 2 Met onderstaande stappen maakt

Versie 1.0 18 mei 2018

Stappenplan privacywetgeving (AVG) voor

(vrijwilligers)organisaties

Page 2: Stappenplan privacywetgeving (AVG) voor (vrijwilligers ... · Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 2 Met onderstaande stappen maakt

Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 1

Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG)-wet van toepassing

voor alle organisaties die met gegevens van personen (persoonsgegevens) werken. Ook organisaties

die (volledig) met vrijwilligers werken moeten zich aan de regels in deze nieuwe Verordening houden.

De regels worden over het algemeen strenger dan de nu geldende regels. Belangrijk is te weten dat

bij schending hoge boetes kunnen volgen. De nieuwe regels geldt zowel voor het digitaal bewaren van

persoonsgegevens als in mappen op een plank. Ook deze laatste moeten veilig worden opgeborgen

zonder dat onbevoegden daar bij kunnen.

Privacy: wat is dat? Het recht op privacy wordt omschreven als het recht om met rust te worden

gelaten. We moeten zelf kunnen bepalen wie welke informatie over ons krijgt. Dat betekent dat u niet

zomaar iemands persoonlijke informatie mag gebruiken: het recht op bescherming van

persoonsgegevens.

Wat zijn persoonsgegevens? Een persoonsgegeven is ieder gegeven dat herleidbaar is naar een

persoon. Het gaat dus om alle informatie over die persoon. Duidelijke voorbeelden zijn iemands voor-

en achternaam, woonplaats en adres, telefoonnummer etc.. Maar denk ook aan iemands e-mailadres,

IP adres, bankgegevens, gegevens over beroep, opleiding etc..

Er zijn bijzondere persoonsgegevens die gezien hun aard extra gevoelig kunnen zijn. Denk aan:

gegevens over ras of etnische afkomst, gezondheid, meningen, geloofsovertuiging, seksueel gedrag

of gerichtheid, financiële data, BSN nummer etc.. Foto- en filmbeelden waar herkenbare personen op

staan vallen hier ook onder. Ook strafrechtelijke persoonsgegevens zijn uiteraard gevoelig.

Zeer waarschijnlijk verwerkt u persoonsgegevens en moet u voldoen aan de regels. Gegevens deels

anonimiseren bij publicatie (denk aan deelnemerslijsten en wedstrijduitslagen) is een goed initiatief.

Toch moet u dan nog aan de regels voldoen omdat ook binnen de vereniging/organisatie de koppeling

naar een persoon gelegd kan worden.

Verwerkt u persoonsgegevens? Allereerst moet u vaststellen of de handelingen die worden verricht

met de gegevens ‘verwerkingen’ zijn. Veel voorkomende bewerkingen zijn: verzamelen, vastleggen,

opslaan, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, wissen en vernietigen. In de praktijk

komt het er dus op neer dat een verwerkingshandeling al snel een verwerking van persoonsgegevens

in de zin van de Verordening is.

Houd rekening met zes beginselen voor de verwerking van persoonsgegevens op grond van de AVG.

a. de verwerking moet ten aanzien van de klant rechtmatig, behoorlijk en transparant zijn;

b. op basis van te voren uitdrukkelijk omschreven en gerechtvaardigde doeleinden;

c. er mogen niet meer gegevens worden verwerkt dan nodig voor de bepaalde doeleneinden;

d. de gegevens moeten juist zijn en zo nodig worden geactualiseerd;

e. de gegevens mogen niet langer worden bewaard dan noodzakelijk;

f. een passende beveiliging (zowel organisatorisch als technisch) moet zijn gewaarborgd.

De belangrijkste verantwoordelijkheden op grond van de AVG voor elke organisatie

1. U moet waarborgen dat gegevens worden verwerkt in overeenstemming met de AVG.

2. U moet achteraf kunnen aantonen dat de gegevensverwerking voldoet aan de eisen uit de AVG

(dit vergt goede documentatie van processen (verwerkingsregister)).

3. U moet betrokkenen informeren over de verwerking van persoonsgegevens (processen aan hen

kenbaar maken (privacyverklaring)).

Page 3: Stappenplan privacywetgeving (AVG) voor (vrijwilligers ... · Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 2 Met onderstaande stappen maakt

Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 2

Met onderstaande stappen maakt u uw organisatie AVG-bestendig!

De AVG vraagt van organisaties een aantal antwoorden die in het privacy beleid moeten worden

opgenomen. Onderstaand stappenplan met vragen kan u helpen het privacy beleid vorm te geven.

Stap 1: Krijg inzicht: wat doen we met welke persoonsgegevens?

In de nieuwe AVG zijn ook vrijwilligersorganisaties verplicht te inventariseren wat ze vastleggen én te

registreren welke persoonsgegevens ze hoe vastleggen. Inventariseer en beschrijf:

1. Welke persoonsgegevens leggen we vast, van wie en met welk doel?

Inventariseer welke persoonsgegevens nu worden verzameld en vastgelegd. U legt meer van

meer partijen persoonsgegevens vast dan u denkt. Afhankelijk van uw activiteiten gaat het om

persoonsgegevens van medewerkers, vrijwilligers, leden, bezoekers, toeleveranciers, zakelijke

relaties, koepelorganisaties, verzekeraars, samenwerkingspartners, sponsoren etc.. Wat van

welke groep wordt vastgelegd kan verschillen. Breng dat in kaart.

Ga na waarom u welke gegevens vastlegt (verkoop, marketing, analyse, verantwoording etc.).

Beoordeel vervolgens of u alle persoonsgegevens echt nodig hebt. Stel dat u standaard om

adressen vraagt terwijl alle communicatie via e-mail, telefoon en/of social media gaat. Adressen

zijn dan niet nodig. Het zal even wennen zijn maar hoe minder informatie er over personen

bewaard wordt, hoe moeilijker gegevens herleidbaar zijn naar een persoon en hoe minder kans op

schending van de privacy.

Beoordeel per persoonsgegeven of het gaat om gewone, bijzondere of strafrechtelijke

persoonsgegevens. Bijzondere persoonsgegevens zijn persoonsgegevens van gevoelige aard

zoals godsdienst of levensovertuiging, ras, etnische afkomst (bedenk dat geboorteplaats

hieronder kan vallen), politieke opvattingen, gezondheid, seksuele geaardheid, lidmaatschap van

een vakvereniging of politieke partij, strafrechtelijke persoonsgegevens en persoonsgegevens

over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van

dat gedrag, genetische en biometrische kenmerken. Onder deze laatste vallen vingerafdrukken,

stem, handschrift, geometrie van de handomtrek en scans van netvlies, iris en gelaat. Verwerken

van bijzondere persoonsgegevens is verboden, tenzij hiervoor een wettelijke uitzondering is of de

persoon daar uitdrukkelijk toestemming voor heeft gegeven. Als uit de inventarisatie blijkt dat nu

bijzondere of strafrechtelijke persoonsgegevens worden verwerkt adviseren wij daarmee te

stoppen. Vaak zijn goede alternatieven mogelijk. Als dat niet kan moet aan strengere regels

worden voldaan. Vraag in dat geval aanvullend (juridisch) advies.

In de praktijk komt het voor dat medische informatie, bijvoorbeeld over diabetes of allergieën,

wordt opgeslagen. Dat is niet langer toegestaan. Deze informatie moet dus iedere keer worden

gevraagd voor activiteiten waarbij dat van belang is.

Ook voor vrijwilligers in bijvoorbeeld de zorg kan dit relevant zijn. Nu ligt geregeld informatie over

de gezondheid schriftelijk vast in een dossier waar ook de vrijwilliger toegang toe heeft. De vraag

is of dit nodig is. Stap bijvoorbeeld over naar een omschrijving van mogelijkheden en beperkingen

van de cliënt waar de vrijwilliger mee werkt en laat de medische diagnose achterwege.

Page 4: Stappenplan privacywetgeving (AVG) voor (vrijwilligers ... · Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 2 Met onderstaande stappen maakt

Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 3

2. Waar en hoe lang bewaren we persoonsgegevens?

Persoonsgegevens komen op verschillende manieren de organisatie binnen (via de website (via

cookies of aanmeldingen etc.), via de ledenadministratie, andere organisaties etc.. Vervolgens

worden de persoonsgegevens bewaard voor verwerking (administratie, nieuwsbrief, archief,

debiteurenbeheer etc.). Waar worden ze bewaard? Digitaal of ook op papier? Bij digitale

informatie: staat de informatie op meerdere computers? Is exact bekend waar persoonsgegevens

staan? Zijn er losse gegevensdragers zoals USB sticks waar persoonsgegevens op staan? Zijn er

back-ups? Staat de informatie op privé apparatuur van vrijwilligers?

Hoe lang worden de gegevens op dit moment bewaard?

3. Wie heeft toegang tot welke persoonsgegevens?

Wie heeft toegang tot de persoonsgegevens en wie maakt er gebruik van (penningmeester,

directie, stagiaires, vrijwilligers etc.)?

Worden de gegevens met derde partijen gedeeld? Denk aan: ICT provider, website provider,

(externe) ledenadministratie, sportbonden/-koepel, social media (facebook, twitter, instagram etc.),

pakketten als mailchimp.

Resultaat stap 1: U weet van wie u welke persoonsgegevens bewerkt, wie toegang heeft, wanneer ze

worden gebruikt (doel) en waar en hoe lang u de gegevens bewaart. U weet dat u geen bijzondere en

strafrechtelijke persoonsgegevens verwerkt. Dit zijn bouwstenen voor uw analyse, verwerkingsregister

en privacyverklaring.

Voorbeeld inventarisatie/beschrijving persoonsgegevens:

Van wie? Welke? Activiteit? Waarvoor? (doel) Vindplaats?

(waar/hoe lang)

Wie heeft

toegang?

Delen met

derden?

Vrijwilligers NAW

Bankgegevens

Vrijwillige

inzet bij

een

evenement

Bereikbaarheid

Beschikbaarheid

Betaling

vrijwilligersvergoeding

Waar:

Ledenadministratie

ICT provider

Hoe Lang:

1 jaar

Afdeling

administratie

ICT

Administratie

PR &

Communicatie

Social media

Leden

Bezoekers

……

Stap 2: Bent u verantwoordelijke of verwerker?

Binnen de AVG wordt een onderscheid gemaakt tussen verantwoordelijke of verwerker. In stap 1 hebt

u geïnventariseerd met welke partijen u persoonsgegevens deelt. De verantwoordelijke stelt doel en

middelen voor de verwerking vast (denk aan het organiseren van een wedstrijd of een activiteit en het

beschikbaar stellen van ruimte/faciliteiten en personele inzet daarvoor). De verwerker verwerkt

persoonsgegeven ten behoeve van de verantwoordelijke.

Verwerkers zijn externe partijen zoals bijvoorbeeld een website host, boekhouder, controlerend

accountant, Mailchimp, Facebook, een factureringsbedrijf, een koepelorganisatie. Met alle externe

gebruikers van persoonsgegevens, dus ook bijvoorbeeld de koepelorganisatie, moeten

overeenkomsten worden opgesteld over het gebruik van gegevens; de zogenoemde

verwerkersovereenkomst. Met een verwerkersovereenkomst sluit u uit dat de andere partij de

persoonsgegevens voor eigen doelen mag verwerken.

Page 5: Stappenplan privacywetgeving (AVG) voor (vrijwilligers ... · Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 2 Met onderstaande stappen maakt

Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 4

U mag alleen verwerkers inschakelen die voldoende garanties bieden dat zij aan de wettelijke

vereisten voldoen. Maar let op: als u de gegevensverwerking door een verwerker laat uitvoeren, dan

bent u nog steeds verantwoordelijk voor de naleving van de AVG.

In de verwerkersovereenkomst legt u onder meer het volgende vast:

1. Algemene beschrijving: Een omschrijving van het onderwerp, de duur, de aard en het doel van de

verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en

verplichtingen als verwerkingsverantwoordelijke (nu nog ‘verantwoordelijke’ genoemd).

2. Instructies verwerking: De verwerking vindt in principe uitsluitend plaats op basis van uw

schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden

gebruiken.

3. Geheimhoudingsplicht: Personen in dienst van of werkzaam voor de verwerker hebben een

geheimhoudingsplicht.

4. Beveiliging: De verwerker treft passende technische en organisatorische maatregelen om de

verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens,

permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij

incidenten, regelmatige beveiligingstesten.

5. Subverwerkers: De verwerker schakelt geen subverwerker(s) in zonder uw voorafgaande

schriftelijke toestemming. De verwerker legt aan een subverwerker in een

subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting u heeft.

In de overeenkomst kunt u ook direct afspreken dat, en onder welke voorwaarden, de verwerker

subverwerkers mag inschakelen.

Komt de subverwerker zijn verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk

richting u voor het nakomen van de verplichtingen van de subverwerker (zie artikel 28, lid 4 van de

AVG).

6. Privacyrechten: De verwerker helpt u om te voldoen aan uw plichten als betrokkenen hun

privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).

7. Andere verplichtingen: De verwerker helpt u ook om andere verplichtingen na te komen. Zoals bij

het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en

bij een voorafgaande raadpleging.

8. Gegevens verwijderen: Na afloop van de verwerkingsdiensten verwijdert de verwerker de

gegevens. Of bezorgt hij deze aan u terug, als u dat wilt. Ook verwijdert hij kopieën. Tenzij de

verwerker wettelijk verplicht is de gegevens te bewaren.

9. Audits: De verwerker werkt mee aan uw audits of die van een derde partij. En stelt alle relevante

informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven

genoemde verplichtingen (uit artikel 28 AVG)

Stap 3: Zijn de verwerkingen die u wilt uitvoeren rechtmatig?

De verwerkingen van persoonsgegevens moet u kunnen baseren op tenminste één van de 6 (of 10 bij

bijzondere persoonsgegevens) opgesomde grondslagen. Als u dat niet kunt is de verwerking in strijd

met de AVG en onrechtmatig. Dan moet u daarmee stoppen. De vier meest relevante grondslagen

voor vrijwilligersorganisaties zijn:

1. Grondslag: uitvoering overeenkomst

Als u een overeenkomst heeft, mag u de verwerking van persoonsgegevens die nodig zijn voor de

uitvoering hiervan op deze grondslag baseren. U kunt dan denken aan een lidmaatschap van de

vereniging of een koopovereenkomst bij het bezoeken van een voorstelling of wedstrijd.

Page 6: Stappenplan privacywetgeving (AVG) voor (vrijwilligers ... · Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 2 Met onderstaande stappen maakt

Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 5

Het is van belang bij het aangaan van de overeenkomst duidelijk aan te geven welke

persoonsgegevens u nodig heeft en gaat verwerken. Dat kan o.a. middels het privacyverklaring

(zie stap 9).

Niet in alle gevallen is er sprake van een overeenkomst. Dan kunt u nagaan of een andere

grondslag van toepassing is.

2. Grondslag: toestemming van betrokkene Als de betrokkene toestemming geeft, is het toegestaan om persoonsgegevens te verwerken. Dit klinkt eenvoudig, maar de AVG stelt verschillende zwaarwegende eisen aan het verkrijgen van deze toestemming: o u moet kunnen aantonen dat toestemming is gegeven; mondelinge toestemming zorgt dus

voor bewijsproblemen; o de toestemming moet vrijelijk gegeven zijn: u mag iemand dus niet onder druk zetten,

bijvoorbeeld door nadelige gevolgen te verbinden aan het weigeren van toestemming; o de toestemming moet ondubbelzinnig gegeven zijn; o toestemming moet gelden voor een specifieke verwerking en een specifiek doel: als de

verwerking meerdere doeleinden heeft, dient u de klant hierover te informeren en voor elk doel afzonderlijk toestemming te vragen. Het doel mag niet gaandeweg veranderen;

o verzoek om toestemming moet begrijpelijk in duidelijke en eenvoudige taal worden gepresenteerd en er moet een duidelijk onderscheid zijn met andere aangelegenheden;

o toestemming moet even eenvoudig zijn in te trekken als het geven ervan; o de toestemming is niet geldig als u die als voorwaarde stelt voor het aangaan van een

overeenkomst waarvoor u de gegevens niet nodig hebt; o de klant moet tevoren zijn geïnformeerd (zie onder stap 9) AVG schrijft niet voor in welke vorm

toestemming moet worden gevraagd (d.m.v. handtekening of aankruisen vakje of nog anders). Let op: toestemming bij kinderen. De AVG beschermt kinderen jonger dan 16 jaar extra. Zij kunnen de risico’s van gegevensbescherming minder goed inschatten. Om gegevens van hen te mogen verwerken moet er toestemming zijn van degene die gezag over hen heeft;

3. Grondslag: gerechtvaardigd belang

Deze grondslag vergt een afweging tussen de gerechtvaardigde belangen van uw organisatie en

de gevolgen voor de belangen en rechten van de betrokkene. In deze afweging wordt ook

betrokken in hoeverre er maatregelen zijn genomen om onnodige inbreuk op de privacy te

voorkomen. Er is nog veel onduidelijk m.b.t. deze grondslag. Ons advies is om deze bij voorkeur

niet te gebruiken. Als u dat wel wilt doen, laat het toetsen door een inhoudsdeskundige!

4. Grondslag: uitvoering van een wettelijke verplichting

Alleen in uitzonderlijke gevallen kan verwerking van persoonsgegevens gebaseerd worden op een

wettelijke verplichting. Denk bijvoorbeeld aan de algemene fiscale bewaarplicht van 7 jaar voor de

boekhouding en aan een lijst met aanwezigen bij de balie op last van de brandweer.

Mocht uw gegevensverwerking niet te baseren zijn op één van deze vier grondslagen raadpleeg een

inhoudsdeskundige.

Stap 4: Wie wordt verantwoordelijk voor privacy in de organisatie?

Het is belangrijk dat u de verantwoordelijkheid voor privacy in uw organisatie goed regelt. Sommige

organisaties moeten een functionaris voor de gegevensbescherming (FG) aanstellen met wettelijke

taken. Dit is niet verplicht voor alle organisaties. Wel voor overheids- en publieke organisaties,

organisaties die persoonsgegevens analyseren (profiling) en bij grootschalige verwerking van

bijzondere persoonsgegevens (zoals zorginstellingen)

Page 7: Stappenplan privacywetgeving (AVG) voor (vrijwilligers ... · Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 2 Met onderstaande stappen maakt

Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 6

Op grond van deze criteria zijn veel vrijwilligersorganisaties waarschijnlijk niet verplicht een FG aan te

stellen, maar u moet dit voor uzelf goed beoordelen. Voor organisaties waarvoor een FG niet verplicht

is, kan het wel handig zijn een FG aan te stellen. Als u vrijwillig een FG aanstelt laat u dan informeren

over o.a. de formele stappen die u moet zetten richting de Autoriteit Persoonsgegevens. Stelt u geen

FG aan? Zorg er dan in elk geval voor dat goed kunt onderbouwen waarom u daarvoor kiest en leg

dat vast in uw verwerkingsregister.

Als u geen FG aanstelt is het van belang de verantwoordelijkheid voor privacy wel te beleggen binnen

uw organisatie en te borgen dat er AVG proof gewerkt wordt binnen uw organisatie en correct

gehandeld in geval van een datalek.

Vrijwilligers en privacy: Ook met vrijwilligers moeten goede afspraken worden gemaakt als zij toegang

krijgen tot persoonsgegevens. Denk bijvoorbeeld aan de toegang tot leden- en deelnemerslijsten. De

(vrijwilligers)organisatie is als verantwoordelijke namelijk verplicht om te bewaken dat vrijwilligers

persoonsgegevens verwerken op een AVG proof manier. Als hierin iets misgaat, dan kan dit in theorie

leiden tot aansprakelijkheid van de organisatie en sancties van de toezichthouder.

Stel daarom duidelijk beleid op, waarin vrijwilligers wordt uitgelegd hoe zij met informatie van de

organisatie moeten omgaan. Controleer bovendien periodiek of het beleid daadwerkelijk wordt

nageleefd. Beperk ook de toegang tot persoonsgegevens, zodat vrijwilligers alleen toegang hebben

tot gegevens die noodzakelijk zijn voor de uitvoering van hun taak.

Vrijwilligers kunnen soms plots uit beeld raken nadat zij hun taak neerleggen, of eenmalig assistentie

hebben verleend. Vergeet dus nooit om tijdig de toegang tot informatie te beëindigen. Zorg ook dat

alle persoonsgegevens worden teruggegeven, en waar nodig worden gewist van privéapparatuur van

de vrijwilliger.

Als je als organisatie gegevensbescherming zorgvuldig in beleid en procedures hebt geregeld is het

van belang vrijwilligers daarover te infomeren. Borg daarmee dat vrijwilligers persoonsgegevens die

nodig zijn bij de uitoefening van de zijn/haar functie zorgvuldig behandelen. Als gegevens worden

gelekt (dit kan gaan om gegevens uit de bestanden van de organisatie zelf, maar ook om informatie

die een vrijwilliger van een deelnemer of ouder heeft gekregen) is dat een datalek.

Stap 5: Bent u verplicht een DPIA uit te voeren?

Met een Data Protection Impact Assesment (DPIA) brengt u in beeld wat de gevolgen zijn van het

verzamelen van persoonsgegevens voor de personen zelf. Of u een DPIA moet uitvoeren is

afhankelijk van wat met de gegevens gedaan wordt. Een DPIA moet worden uitgevoerd wanneer:

Met de persoonsgegevens systematisch persoonlijke aspecten worden geëvalueerd (profiling);

Op grote schaal bijzondere gegevens worden verwerkt (zie stap 1);

Personen gevolgd worden in publieke ruimte (bijvoorbeeld door cameratoezicht).

Wanneer de gegevens verzameld worden voor het versturen van de contributiebrief of een

nieuwsbrief, is het effect dat mensen lid blijven van de organisatie of dat ze geïnformeerd zijn over de

organisatie. Niet voor alle bestanden met persoonsgegevens hoeft daarom een DPIA gedaan te

worden. Voor de meeste vrijwilligersorganisaties is een formele DPIA niet nodig. Vooral niet omdat

meestal alleen contactgegevens verzameld worden en geen bijzondere persoonsgegevens. U kunt

deze wel vrijwillig doen om het risico op mogelijke datalekken te verkleinen.

Page 8: Stappenplan privacywetgeving (AVG) voor (vrijwilligers ... · Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 2 Met onderstaande stappen maakt

Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 7

Stap 6: Voldoet u aan de eisen van privacy by design en default?

Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat

persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat u niet meer gegevens

verzamelt dan noodzakelijk voor het doel van de verwerking. En dat u de gegevens niet langer

bewaart dan nodig.

Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor

te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het

specifieke doel dat u wilt bereiken. Bijvoorbeeld door:

een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;

op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;

als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is. De bewaartermijn voor persoonsgegevens mag niet langer zijn dan noodzakelijk voor het gegeven doel. Het doel van het bewaren van de persoonsgegevens kan verschillen per activiteit. De noodzakelijke bewaartermijn zal per activiteit verschillen. Voor elke activiteit is daarom een afzonderlijke afweging noodzakelijk. De volgende wettelijke bewaartermijnen geven bij deze afweging voor klantgegevens enige houvast:

Bewaartermijn fiscale boekhoud- en administratieplicht = 7 jaar (art. 52 AWR)

Bewaarplicht voor administraties bij boekjaarsubsidies (optioneel) = 7 jaar (art. 4:69 Awb) Daarnaast kent het Vrijstellingsbesluit Wet bescherming persoonsgegevens voor klantgegevens concrete handvatten:

Bewaartermijn voor persoonsgegevens bij dienstverlening = 2 jaar nadat de desbetreffende transactie is afgehandeld (art. 13 lid 5 Vrijstellingsbesluit).

Voor bijvoorbeeld sollicitaties gelden weer andere bewaartermijnen. Het is gebruikelijk dat een

organisatie sollicitatiegegevens verwijdert uiterlijk 4 weken na het einde van de sollicitatieprocedure.

Wel kunt u toestemming vragen aan betrokkene om gegevens langer te bewaren. Bijvoorbeeld omdat

er mogelijk op een later tijdstip een passende functie voor betrokkene komt. Een termijn van maximaal

1 jaar na beëindiging van de sollicitatieprocedure is hiervoor redelijk.

Sommige informatie zult u wellicht voor statistische, wetenschappelijke of historische doeleinden

langer willen bewaren. Dat mag, maar zorg wel dat dit bij betrokkenen bekend is, deze langer

bewaarde gegevens niet alsnog voor andere doeleinden worden gebruikt, en onderzoek in hoeverre u

de gegevens kunt anonimiseren.

Stap 7: Hoe legt u verantwoording af?

Organisaties hebben een verantwoordingsplicht door de nieuwe AVG-wet. Dat betekent dat

organisaties vastleggen wie verantwoordelijk is voor de data, aan wie informatie wordt verstrekt, op

welke computer deze wordt opgeslagen en op welke wijze deze wordt beschermt tegen virussen en

hacken.

De Algemene Verordening Gegevensbescherming (AVG) legt meer verantwoordelijkheid bij u als

organisatie om aan te tonen dat u aan de privacyregels voldoet. Door te voldoen aan uw

verantwoordingsplicht (accountability) levert u een belangrijke bijdrage aan de bescherming van het

grondrecht van mensen op privacy. De nieuwe regels dwingen u om goed na te denken over hoe uw

organisatie persoonsgegevens verwerkt en beschermt. De verantwoordingsplicht houdt in dat u moet

kunnen aantonen dat uw verwerkingen aan de regels van de AVG voldoen.

Page 9: Stappenplan privacywetgeving (AVG) voor (vrijwilligers ... · Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 2 Met onderstaande stappen maakt

Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 8

U moet bijvoorbeeld kunnen aantonen dat een verwerking aan de belangrijkste beginselen van

verwerking voldoet, zoals:

rechtmatigheid;

transparantie;

doelbinding;

juistheid.

Ook moet u kunnen laten zien dat u de juiste technische en organisatorische maatregelen hebt

genomen om de persoonsgegevens te beschermen. U bent verplicht verantwoording af te leggen over

uw gegevensverwerkingen wanneer de Autoriteit Persoonsgegevens daar om vraagt. Zorg daarom

dat u aan uw verantwoordingsplicht voldoet vanaf 25 mei 2018. Vanaf dan geldt de AVG.

Verplichte maatregelen: De verplichte maatregelen die de AVG concreet noemt zijn:

het bijhouden van een register van verwerkingsactiviteiten;

het uitvoeren van een data protection impact assessment (DPIA) voor gegevensverwerkingen met

een hoog privacyrisico;

het bijhouden van een register van datalekken die zijn opgetreden;

het aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een

gegevensverwerking wanneer u voor een verwerking toestemming nodig heeft.

wanneer onduidelijk is of u verplicht bent om een Functionaris voor gegevensbescherming aan te

stellen, moet u goed kunnen onderbouwen waarom u ervoor gekozen hebt om al dan niet een FG

aan te stellen.

Naast de verplichte maatregelen kunt u ervoor kiezen om extra maatregelen te nemen waarmee u

aantoont dat u voldoet aan de eisen van de AVG. Bijvoorbeeld:

het aansluiten bij een gedragscode;

het behalen van een bepaald certificaat;

het hanteren van een specifiek ICT-beveiligingsbeleid;

het afleggen van verantwoording over de verwerking van persoonsgegevens in uw jaarverslag of

in een speciaal privacy-jaarverslag.

Hoewel deze maatregelen niet verplicht zijn, helpen zij u wel om aan de toezichthouder te laten zien

dat u voldoet aan de eisen van de AVG. Daarom moedigen wij deze vrijwillige maatregelen aan.

Of u een verwerkingsregister moet opstellen, hangt af van de omvang van uw organisatie en het type

gegevens dat u verwerkt.

Organisaties met meer dan 250 medewerkers: Heeft uw organisatie meer dan 250 medewerkers?

Dan bent u verplicht om een register van verwerkingsactiviteiten bij te houden.

Organisaties met minder dan 250 medewerkers: Heeft uw organisatie minder dan 250 medewerkers?

Dan moet u over een register beschikken wanneer u persoonsgegevens verwerkt:

waarvan de verwerking niet incidenteel is. In de praktijk zijn verwerkingen zelden incidenteel.

Denk bijvoorbeeld aan de persoonsgegevens van medewerkers die u verwerkt. Of van uw

klanten, cliënten, patiënten of inwoners en/of;

die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie u

persoonsgegevens verwerkt en/of;

die vallen onder de categorie bijzondere persoonsgegevens. Zoals gegevens over godsdienst,

gezondheid en politieke voorkeur of strafrechtelijke gegevens.

Bent u verplicht om een register van verwerkingsactiviteiten op te stellen? Dan moet u dit register

kunnen verstrekken wanneer de Autoriteit Persoonsgegevens daar om vraagt.

Page 10: Stappenplan privacywetgeving (AVG) voor (vrijwilligers ... · Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 2 Met onderstaande stappen maakt

Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 9

Het register van verwerkingsactiviteiten bevat informatie over de persoonsgegevens die u verwerkt. U

mag zelf weten hoe u het register opstelt. Wel schrijft de AVG voor welke informatie u als

verantwoordelijke of verwerker in het register moet zetten. Als de Autoriteit Persoonsgegevens (AP)

daar om vraagt, moet u het register direct kunnen laten zien.

Is uw organisatie de ‘verwerkingsverantwoordelijke’?

Stelt uw organisatie zelf het doel en de middelen voor de verwerking van de persoonsgegevens vast?

Dan is uw organisatie de verwerkingsverantwoordelijke. De wet schrijft voor dat deze

verantwoordelijken de volgende informatie in het register moeten opnemen:

de naam en contactgegevens van:

o uw organisatie, of de vertegenwoordiger van uw organisatie;

o eventuele andere organisaties met wie u gezamenlijk de doelen en middelen van de

verwerking heeft vastgesteld;

o de Functionaris voor de gegevensbescherming (FG) als u die heeft aangesteld;

o eventuele andere internationale organisaties waar u persoonsgegevens mee deelt.

de doelen waarvoor u de persoonsgegevens verwerkt. Bijvoorbeeld voor de werving en selectie

van personeel, het bezorgen van producten of direct marketing;

een beschrijving van de categorieën van personen van wie u gegevens verwerkt. Bijvoorbeeld

uitkeringsgerechtigden, klanten of patiënten;

een beschrijving van de categorieën van persoonsgegevens. Zoals het BSN, NAW-gegevens,

telefoonnummers, camerabeelden of IP-adressen;

de datum waarop u de gegevens moet wissen (als dat/deze bekend is);

de categorieën van ontvangers aan wie u persoonsgegevens verstrekt;

deelt u de gegevens met een land of internationale organisatie buiten de EU? Dan moet u dit

aangeven in het register;

een algemene beschrijving van de technische en organisatorische maatregelen die u hebt/heeft

genomen om persoonsgegevens die u verwerkt te beveiligen.

Is uw organisatie een ‘verwerker’?

Verwerkt u in opdracht van een verantwoordelijke persoonsgegevens? Bijvoorbeeld omdat u werkt bij

een administratiekantoor of een online dienst voor gegevensopslag? Dan moet de volgende informatie

in uw verwerkingsregister staan:

De naam en contactgegevens van;

o uw organisatie, of de vertegenwoordiger van uw organisatie, of de

verwerkingsverantwoordelijke;

o een Functionaris voor de gegevensbescherming (FG) als u die heeft aangesteld;

o een beschrijving van de categorieën van verwerkingen die u in opdracht van iedere

verantwoordelijke uitvoert;

o eventuele andere internationale organisaties met wie u persoonsgegevens deelt.

o deelt u de gegevens met een land of internationale organisatie buiten de EU? Dan moet u dit

aangeven in het register;

een algemene beschrijving van de technische en organisatorische maatregelen die u hebt/heeft

genomen om persoonsgegevens die u verwerkt te beveiligen.

Aantonen toestemming

Verwerkt u persoonsgegevens gebaseerd op toestemming van de betrokken personen? Dan moet u

onder de Algemene Verordening Gegevensbescherming (AVG) aan de Autoriteit Persoonsgegevens

(AP) kunnen laten zien dat u die toestemming daadwerkelijk heeft. Dat maakt onderdeel uit van de

verantwoordingsplicht die u onder de AVG heeft.

Page 11: Stappenplan privacywetgeving (AVG) voor (vrijwilligers ... · Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 2 Met onderstaande stappen maakt

Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 10

Specifiek en geïnformeerd

Twee van de eisen die de AVG stelt aan ‘toestemming’ zijn dat deze ‘geïnformeerd’ en ‘specifiek’

gegeven is. Om geldige toestemming aan te tonen is het dan ook essentieel dat u kunt laten zien op

basis van welke informatie de betrokken personen de toestemming hebben gegeven. Het is dus

onvoldoende om alleen de toestemming zelf vast te leggen.

Online toestemming

Vraagt u online toestemming aan mensen voor het verwerken van hun persoonsgegevens? Dan kunt

u de informatie over het websitebezoek, waarin zij de toestemming hebben gegeven, vastleggen.

Deze informatie kunt u combineren met:

documentatie over het proces waarin u heeft vastgelegd op welke manier u toestemming ontvangt

en vastlegt.

een kopie van de informatie die de betrokkenen hebben ontvangen voorafgaand aan de gegeven

toestemming.

Verwijzen naar automatische registratie van toestemming door uw website is onvoldoende om geldige

toestemming aan te kunnen tonen. De informatie die aan de betrokkenen is verstrekt, ontbreekt dan

namelijk.

Ten slotte moet u ervoor zorgen dat u voldoende data heeft waarmee u een link tussen de verwerking

én de toestemming van een betrokkene kunt aantonen. Let wel, u mag hierbij niet méér data

verzamelen dan strikt noodzakelijk is om geldige toestemming aan te kunnen tonen.

Stap 8: Zijn uw klantgegevens voldoende beveiligd?

Ga in deze stap na of technisch en organisatorisch maatregelen zijn getroffen om veilig

persoonsgegevens te verwerken. Mogelijke databeveiligingsmaatregelen om verlies of onrechtmatige

verwerking van persoonsgegevens te voorkomen of te beperken zijn:

Technische beveiligingsmaatregelen (enkele voorbeelden):

up to date software, virusscanner en firewalls etc.

pseudonimisering en versleuteling van persoonsgegevens;

twee factor authenticatie;

screensaver met wachtwoord beveiliging;

logging;

wachtwoordenbeleid (regels voor sterke wachtwoorden, wachtwoorden privé houden, periodiek

wijzigen etc.);

software tegen malware-aanvallen;

het periodiek maken van backups;

beveiligde website is (SSL-certificaat) om hacken tegen te gaan, zeker als bijvoorbeeld uw

ledenadministratie gekoppeld is aan de website of als u inschrijfformulieren voor een toernooi of

activiteiten op uw website hebt staan;

het bewaren van persoonsgegevens op pc’s in een afgesloten ruimte;

gevoelige informatie opbergen en bewaren in afsluitbare kasten.

Niet onbelangrijk: zorg dat de data maar op één computer of één systeem staan. Verspreiding van

data over verschillende computers of systemen zonder dat dat is vastgelegd, kan uitgelegd worden als

datalekken. Denk daarbij ook aan USB sticks etc.!

Page 12: Stappenplan privacywetgeving (AVG) voor (vrijwilligers ... · Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 2 Met onderstaande stappen maakt

Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 11

Organisatorische beveiligingsmaatregelen (enkele voorbeelden):

het beperken van toegang tot persoonsgegevens (personen enkel tot die gegevens die zij nodig

hebben voor de uitoefening van hun werkzaamheden toegang geven); Voorbeeld: de

ledenadministratie van een vereniging zal gegevens als straatnaam en huisnummer nodig hebben

voor het werk binnen de vereniging, iemand van de PR commissie hoogstwaarschijnlijk niet. De

leden van de PR commissie hebben in dit geval geen recht de gegevens ‘straatnaam’ en

‘huisnummer’ in te zien.

het creëren van informatieveiligheidsbewustzijn onder medewerkers;

het opstellen van procedures en protocollen;

toezien op naleven van procedures en protocollen;

toegang tot persoonsgegevens beëindigen bij vertrek van vrijwilligers;

vragen (wellicht laten verklaren) dat persoonsgegevens zijn teruggegeven of verwijderd bij vertrek

(ook van privé apparatuur).

Stap 9: Informatieplicht.

Wanneer u met persoonsgegevens werkt, bent u verplicht de betrokkenen op een begrijpelijke manier

te laten weten welke gegevens u verwerkt en waarom.

U dient daarom een privacyverklaring op te stellen, met in elk geval de volgende informatie:

1. De identiteit en de contactgegevens van de verwerkingsverantwoordelijke;

2. De contactgegevens van de FG als u die heeft;

3. De doeleinden en rechtsgrond van de verwerking, en als u zich beroept op een gerechtvaardigd

belang: op welk belang u zich beroept;

4. De (categorieën van) ontvangers van de persoonsgegevens;

5. Of u van plan bent de persoonsgegevens door te geven buiten de EU;

6. De bewaartermijn van de gegevens;

7. De rechten van de betrokkene, zoals het recht op inzage, correctie en verwijdering;

8. Het recht van de betrokkene om de gegeven toestemming voor een bepaalde verwerking altijd in

te kunnen trekken;

9. Dat de betrokkene een klacht kan indienen bij de AP;

10. Of en waarom de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de gevolgen

zijn als de gegevens niet worden verstrekt;

11. Of u gebruik maakt van geautomatiseerde besluitvorming, inclusief profilering, en hoe u besluiten

neemt;

12. Als de gegevens van een andere organisatie zijn verkregen: de bron waar de persoonsgegevens

vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen;

Verkrijgt u de persoonsgegevens via een derde in plaats van rechtstreeks via de betrokkene, dan

moet u tevens meedelen van welke bron de gegevens afkomstig zijn, en welke categorieën

persoonsgegevens het betreft.

Tip: wees duidelijk! Niemand is geholpen met een vage bewoording dat de vereniging "bepaalde

informatie" "mogelijk" voor "kwaliteitsdoeleinden" gebruikt. Het lijkt aantrekkelijk om veel ruimte te

creëren voor allerlei vormen van gebruik, maar uiteindelijk leiden ze tot onduidelijkheid.

Hoe stelt u de privacyverklaring beschikbaar?

De betrokkene moet in principe voorafgaand aan het vastleggen van zijn of haar persoonsgegevens

worden geïnformeerd. We bespreken twee veelvoorkomende situaties.

Page 13: Stappenplan privacywetgeving (AVG) voor (vrijwilligers ... · Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 2 Met onderstaande stappen maakt

Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 12

Voorbeeld 1: inschrijving als lid/deelnemer: Schrijft iemand zich online in als verenigingslid of als

deelnemer aan een wedstrijd/evenement, verwijs dan duidelijk op het inschrijfformulier naar de

privacyverklaring met een hyperlink. Bijvoorbeeld: "Onze vereniging verwerkt uw persoonsgegevens

conform de privacyverklaring" en laat betrokkene een vinkje zetten voor akkoord.

Schrijft iemand zich ter plaatse in (dus niet online), verwijs dan op het papier naar de privacyverklaring

en leg deze klaar voor eventuele raadpleging en laat betrokkene tekenen voor gezien.

Voorbeeld 2: de website: Bezoekers van een website kunt u eenvoudig informeren door het plaatsen

van een link naar de privacyverklaring onderaan elke sub-pagina van de website. Vraag bezoekers

(voor bepaalde delen) om zich te registreren met een account, verwijs dan nogmaals uitdrukkelijk naar

de privacyverklaring (zie voorbeeld 1).

Let op: voor het verstrekken van informatie over de plaatsing van cookies gelden aparte regels.

Voor alle verwerkingen die buiten hetgeen in het privacyverklaring staat vermeld vallen is aparte

toestemming nodig. Denk dus goed na over de inhoud van de privacyverklaring.

Stap 10: Rechten van betrokkenen.

Personen van wie data wordt vastgelegd of bewaard hebben een aantal rechten.

Het recht op dataportabiliteit.

Het recht om persoonsgegevens over te dragen (NIEUW).

Het recht op vergetelheid. Het recht om ‘vergeten’ te worden (NIEUW).

Recht op inzage. Dat is het recht van mensen om de persoonsgegevens die u van hen verwerkt in

te zien.

Recht op rectificatie en aanvulling. Het recht om de persoonsgegevens die u verwerkt te wijzigen.

Het recht op beperking van de verwerking: Het recht om minder gegevens te laten verwerken.

Het recht met betrekking tot geautomatiseerde besluitvorming en profilering. Oftewel: het recht op

een menselijke blik bij besluiten.

Het recht om bezwaar te maken tegen de gegevensverwerking.

Ten slotte hebben mensen recht op duidelijke informatie over wat u met hun persoonsgegevens doet.

Onder de AVG moet u aan een aantal specifieke eisen voldoen.

Op enkele rechten gaan we wat dieper in.

Inzagerecht en recht om vergeten te worden: Personen van wie data wordt vastgelegd/bewaard

hebben inzagerecht en het recht om vergeten te worden. Dit moet binnen 1 maand na het verzoek

gebeuren. Er mogen geen kosten aan verbonden zijn.

Het recht om vergeten te worden geldt niet altijd. Het is onder meer van toepassing als u de gegevens

niet meer nodig hebt voor het doel waarvoor u ze hebt verzameld, als eerder gegeven instemming

wordt ingetrokken, als u persoonsgegevens op onrechtmatige wijze verwerkt, als bezwaar wordt

gemaakt tegen direct marketing, als u gegevens te lang bewaart.

Recht op dataportabiliteit: Nieuw in de AVG-wet is het recht op dataportibiliteit: bij het recht op

dataportabiliteit moeten organisaties de gegevens verstrekken in een vorm die het voor betrokkenen

makkelijk maakt om hun gegevens te hergebruiken en door te geven aan een andere organisatie.

Organisaties zijn daarom wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en

machine leesbaar formaat te verstrekken (o.a. Word, Excel, PDF).

Page 14: Stappenplan privacywetgeving (AVG) voor (vrijwilligers ... · Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 2 Met onderstaande stappen maakt

Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 13

Verwijderen van persoonsgegevens: Wanneer moeten persoonsgegevens bij een

vrijwilligersorganisatie verwijderd worden? Uit de actieve ledenadministratie moeten

persoonsgegevens uiterlijk twee jaar na het einde van het lidmaatschap verwijderd worden, tenzij er

een eerder verzoek is gekomen van een oud-lid. Met toestemming van de leden is het mogelijk om

persoonsgegevens langer vast te leggen (voor historiek, reünie). Let wel op de wettelijke bewaarplicht

voor de administratie (verwijderen van data is niet hetzelfde als vernietigen van data).

Wat als er toch iets misgaat? Procedure opstellen voor het melden van datalekken

U hebt zich nu maximaal voorbereid op het voorkomen van een datalek. Maar stel dat u toch te maken

krijgt met een datalek, dan leest u hier op hoofdlijnen wat te doen.

Elke organisatie die persoonsgegevens opslaat, is verplicht alle datalekken te melden binnen 72 uur

na ontdekking bij de Autoriteit Persoonsgegevens. Om dit zorgvuldig te doen is het handig vooraf

procedures af te spreken. Hierin staat:

Wat een datalek is. We spreken van een datalek als persoonsgegevens in handen vallen van

derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van

een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, een

gestolen geprinte ledenlijst of cliëntgegevens. Andere voorbeelden zijn cyberaanvallen, verkeerd

verzonden e-mail, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usb-

sticks;

Bij wie in de organisatie een datalek gemeld moet worden;

Wie binnen de organisatie nog meer geïnformeerd moet worden;

Wie checkt wat er gelekt is;

Hoe in kaart gebracht wordt wat de gevolgen zijn voor de personen van wie de persoonsgegevens

gelekt zijn;

Welke gegevens nodig zijn voor de melding. De melding moet in ieder geval bestaan uit:

o de aard van de inbreuk;

o de instanties of persoon waar meer informatie over de inbreuk kan worden verkregen;

o de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken;

o een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de

verwerking van persoonsgegevens;

o de maatregelen die de organisatie heeft genomen of voorstelt te nemen om deze gevolgen te

verhelpen.

Wie de melding doet bij de Autoriteit Persoonsgegevens: dit kan de functionaris voor de

gegevensbescherming (FG) zijn, maar bijvoorbeeld ook een bestuurslid.

Meldingen kunnen digitaal gedaan worden bij het meldloket van de Autoriteit Persoonsgegevens:

https://datalekken.autoriteitpersoonsgegevens.nl.

Wanneer moet u betrokkene(n) informeren over een datalek? Wanneer u heeft vastgesteld dat de

inbreuk op de persoonsgegevens een hoog risico voor betrokkenen inhoudt, dient u ook aan de

betrokkenen mede te delen dat er sprake is geweest van een inbreuk in verband met

persoonsgegevens. Onder hele specifieke omstandigheden hoeft dat niet (bijvoorbeeld als gegevens

versleuteld zijn). Kijk voor meer informatie op de website van de Autoriteit Persoonsgegevens.

Het is verstandig om personen wiens data gelekt is (leden, deelnemers, donateurs e.d.) te informeren

over het datalek en de aard van de gegevens die gelekt zijn. Zeker als deze data een inbreuk kunnen

vormen op de persoonlijke levenssfeer. Maak een protocol dat u kunt volgen voor het geval dit

voorkomt.

Page 15: Stappenplan privacywetgeving (AVG) voor (vrijwilligers ... · Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 2 Met onderstaande stappen maakt

Stappenplan privacywetgeving (AVG) voor (vrijwilligers)organisaties versie 1.0 mei 2018 14

Handige documenten en links

Dit document en onderstaande links en bijgevoegde documenten zijn hulpmiddelen bij de invoering

van de privacywet binnen uw organisatie. Wij kunnen onmogelijk volledig zijn in dit en bijgevoegde

documenten. Het bestuur van uw organisatie blijft dan ook zelf verantwoordelijk voor de correcte

invoer van deze wetgeving. Raadpleeg in geval van twijfel een deskundige.

Veel koepelorganisaties hebben ook voorbeeld documenten. Kijk ook een binnen uw eigen koepel en

binnen Enschede op de website van Sportaal.

Achtergrondinformatie:

Checklist invoering privacywetgeving / AVG voor verenigingen en stichtingen

Handleiding Algemene verordening gegevensbescherming van het Ministerie van Justitie en

Veiligheid

Documenten:

Voorbeeld privacyverklaring

Voorbeeld verwerkingsregister

Voorbeeld Model Verwerkersovereenkomst via de Rijksoverheid

Voorbeeld protocol bij datalekken

Links

Website Autoriteit Persoonsgegevens met informatie over de AVG

Website Sportaal

Bronnen stappenplan: Autoriteit persoonsgegevens, NOV, Cultuurconnectie, diverse websites.

Meer info

Hebt u na het doornemen van het stappenplan nog vragen of wilt u graag advies? Neem dan contact

op met M-Pact via [email protected] of bel 053-4323304.