AVG: Algemene Verordening Gegevensbescherming
Nog 1 jaar en dan wordt de AVG van kracht. 25 mei 2018 om precies te zijn. Nu hoor ik je denken. AVG wat is dat?
De AVG staat voor: Algemene Verordening Gegevensbescherming
De verordening wordt de opvolger van de Nederlandse Wet bescherming Persoonsgegevens. Deze wet beschermt sinds 1 september 2001 onze persoonsgegevens die wij geven aan bedrijven en instellingen. De AVG is een Europese wet en gaat nog een stapje verder dan de huidige wet. Aan de ene kant krijgen wij als burgers meer mogelijkheden om onze persoonsgegevens in te zien of te verwijderen. Aan de andere kant krijgen bedrijven en instellingen meer plichten om er voor te zorgen dat onze gegevens veilig en niet onnodig worden opgeslagen. Omdat het een uitbreiding is blijven de huidige bepalingen bestaan.
In Nederland is de Autoriteit Persoonsgegevens (AP) de instelling die de naleving van de wet borgt.
We hebben het hier trouwens over het geautomatiseerd verwerken van persoonsgegevens. Dus alles wat je in je computer hebt staan.
Er is een onderscheidt tussen:
- Verantwoordelijke. Degene die de persoonsgegevens verwerkt.
- De verwerker. Degene die of het verwerken voor de verantwoordelijke uitvoert. Of degene die de verantwoordelijke in staat stelt om de gegevens te verwerken. In het laatste geval is dit dus de leverancier van de applicatie waarmee de persoonsgegevens worden verwerkt en opgeslagen.
Beiden moeten onder de AVG kunnen aantonen dat ze zich aan de wet houden als het gaat om de verwerking en opslag van persoonsgegevens.
Wet bescherming Persoonsgegevens (WpB)
In Nederland hebben we dus al sinds 2001 de WpB. Deze wet kent de volgende belangrijkste bepalingen (overgenomen van de site van de Autoriteit Persoonsgegevens)
- Persoonsgegevens mogen alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier worden verwerkt.
- Persoonsgegevens mogen alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. En vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn.
- Degene van wie persoonsgegevens worden verwerkt (de betrokkene genoemd), moet ten minste op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verantwoordelijke) en van het doel van de gegevensverwerking.
- De gegevensverwerking moeten op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels.
Wat zijn persoonsgegevens?
Gegevens zijn Persoonsgegevens als:
- de gegevens informatie bevatten over een natuurlijke persoon; en
- die persoon identificeerbaar is.
Dus de volledige naam van een persoon in combinatie met zijn of haar adresgegevens voldoet aan bovenstaande criteria. Ik kan immers met die gegevens achterhalen wie de persoon is.
Bijzondere persoonsgegevens
- godsdienst of levensovertuiging;
- ras;
- politieke gezindheid;
- gezondheid;
- seksuele leven; en
- lidmaatschap van een vakvereniging.
- strafrechtelijke persoonsgegevens; en
- persoonsgegevens over onrechtmatig of hinderlijk handelen waarvoor een verbod is opgelegd (bijvoorbeeld een straatverbod).
Hier staat niet het Burger Service Nummer (BSN) bij. Dit komt omdat aan het vastleggen van het BSN strengere voorwaarden gelden als aan de bovengenoemde gegevens.
Uitgangspunt is in ieder geval dat bijzondere persoonsgegevens niet mogen worden vastgelegd. Maar bijvoorbeeld een kerkgenootschap mag wel de godsdienst of levensovertuiging van haar leden vastleggen. Het is dus afhankelijk van de soort organisatie en het doel van de opslag.
Voor het BSN geldt dat in de wet een aantal instanties zijn opgenomen die dit nummer mogen vastleggen. Dit zijn overheidsinstanties maar bijvoorbeeld ook zorgverzekeraars of financiële instellingen.
Beveiliging van de gegevens
U moet passende technische en organisatorische maatregelen nemen om het verlies van gegevens of onrechtmatige verwerking tegen te gaan.
Uiteraard mag je daarbij wel de kosten van de beveiliging afwegen tegen het risico. Maar gegevens zoals een bankrekeningnummer, telefoonnummer of email zijn wel gevoelige gegevens. En moeten dus ook goed beveiligd zijn.
Maar het is niet alleen het vastleggen dat moet worden beveiligd. Ook het kunnen uitdraaien of inzien van de gegevens valt onder verwerken en moet dus ook worden beveiligd zodat niet iedereen bij de gegevens kan.
Meldplicht datalekken (per 1-1-2016)
Sinds 1 januari vorig jaar hebben organisaties de plicht om datalekken te melden bij de Autoriteit Persoonsgegevens. Binnen 72 uur! De meldplicht is afhankelijk van welke gegevens op straat zijn komen te liggen en ook om hoeveel personen het gaat.
Daarnaast heb je als organisatie ook de plicht om het datalek te melden aan alle personen van wie de gegevens zijn gelekt. De Autoriteit Persoonsgegevens heeft een document gemaakt waarin precies staat wanneer wat moet worden gemeld. Klik hier om het document te openen.
Veranderingen AVG
Als de AVG straks ingaat komen er de volgende verplichtingen bij:
- Naast het al bestaande recht van degene waarvan de persoonsgegevens worden vastgelegd om deze in te zien en waar nodig te corrigeren en te verwijderen komt nu ook het recht van dataportabiliteit bij. Dit houdt in dat degene hun gegevens op een dusdanige manier moeten kunnen krijgen dat ze deze gegevens weer makkelijk aan andere organisaties kunnen doorgeven.
- Mensen kunnen een klacht indienen bij de Autoriteit Persoonsgegevens over de manier waarop met hun gegevens wordt omgegaan. De AP is verplicht deze klacht in behandeling te nemen.
- Documentatie plicht. De verantwoordelijke en de verwerker moeten kunnen aantonen dat zij in overeenstemming met de AVG handelen.
- Privacy by Design. Houdt bij het ontwerpen van je producten en diensten rekening met het goed beschermen van de persoonsgegevens
- Privacy by Default. Neem als organisatie alle technische en organisatorische maatregelen om ervoor te zorgen dat, als standaard, alleen die persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel wat je wilt bereiken.
- Registeren van alle datalekken. Dus los van of dit wel of niet gemeld moet worden. Uit de documentatie moet blijken of aan de meldplicht is voldaan.
- Indien de opslag en verwerken door derden wordt gedaan. Of in een applicatie van derden. Dan moet er een Bewerkersovereenkomst zijn. In deze overeenkomst staan alle rechten en plichten vastgelegd van de verantwoordelijke en de verwerker t.a.v. het opslaan en verwerken van de persoonsgegevens.
- Een organisatie moet kunnen aantonen dat de personen toestemming hebben gegeven om hun persoonsgegevens te verwerken. En het moet voor mensen net zo makkelijk zijn om deze toestemming weer in te trekken.
Wat betekent de AVG voor ons als vereniging?
Een vereniging is voor de AVG een verantwoordelijke. Alle plichten die hierboven beschreven zijn gelden dus voor de vereniging.
De wet schrijft voor dat elke organisatie die persoonsgegevens verwerkt dit dient te melden aan de Autoriteit Persoonsgegevens. Maar schrik niet. Gelukkig zijn er in de wet een aantal vrijstellingen opgenomen. En de ledenadministratie van je vereniging valt ook onder die vrijstelling.
Maar dat betekent niet dat je zomaar ongestraft alles mag vastleggen. Want de vrijstelling geldt alleen voor gegevens die vallen onder standaardgegevensverwerking. Dus: Naam, Adres, Woonplaats, Telefoonnummer, Email, Bankrekeningnummer.
Dus geen BSN!
Een vereniging moet straks vastleggen waar en op welke wijze de persoonsgegevens worden verwerkt.
Dit betekent dat van alle vrijwilligers beschreven moet zijn waar en op welke wijze zij de persoonsgegevens hebben opgeslagen.
Is er een datalek? Dan hoeft dit in de meeste gevallen niet te worden gemeld behalve:
- Als er fraudegevoelige informatie is gelekt. Zoals bankrekeningnummer, ed
- Als er bijzondere persoonsgegevens zijn vastgelegd.
- Bij twijfel
Maar er moet wel een register worden bijgehouden waarin elk incident, ook al hoeft deze niet te worden gemeld, wordt vermeld.
Om bovenstaande 2 punten goed uit te voeren moet de vereniging dus in kaart hebben waar wat door wie op welke wijze wordt verwerkt en opgeslagen… En waar dus eventuele risico’s op datalekken kunnen optreden.
Hier ligt volgens mij het grootste probleem voor verenigingen. Hoe krijg je al die informatie los? En hoe voorkom je dat al die persoonsgegevens verspreid over je vereniging worden gebruikt op stand-alone computers en laptops.
Altklube biedt hierin een prima oplossing doordat alles op 1 plek wordt opgeslagen. En doordat uiteraard beschreven is hoe en op welke wijze de gegevens worden verwerkt en opgeslagen.
Ook moet er bij gebruik van applicaties van derden een goede overeenkomst zijn waarbij de verplichtingen die de vereniging heeft ook gelden voor de verwerker.
Maar je mag als vereniging ook niet slordig met de persoonsgegevens van je leden omspringen. Je kunt je bijvoorbeeld afvragen of het geven van ledenlijsten met adresgegevens aan elke trainer wel in overeenstemming is met de AVG. Net zoals je je kunt afvragen of het opslaan van ledenlijsten op verschillende computers van leden wel zo handig is. Documenteren wordt dan namelijk best wel lastig.
Ook heeft iedereen die persoonsgegevens verwerkt binnen de vereniging een geheimhoudingsplicht en de plicht om zorgvuldig met de gegevens om te springen.
De boetes die kunnen worden gegeven als je als vereniging niet voldoet aan de AVG zijn niet mals. Er staat vanaf volgend jaar een maximale boete van 20 miljoen Euro op. Uiteraard hangt het heel sterk af van de ernst van de zaak. En de AP zal je eerst in staat stellen om eea te verbeteren/herstellen. Maar het is verstandig om het niet zover te laten komen.
Altklube
De beveiliging van persoonsgegevens heeft voor ons als verwerker de hoogste prioriteit. Altklube is dan ook ontworpen met de bescherming van persoonsgegevens als uitgangspunt. Persoonsgegevens zijn alleen toegankelijk voor diegenen die daartoe geautoriseerd zijn. Als je gebruikt maakt van Altklube weet je zeker dat je voor het verwerken en opslaan van persoonsgegevens voldoet aan de eisen van de AVG.