Is jouw stichting al klaar voor de AVG?

By |2018-07-31T20:58:56+00:0013 maart 2018|Veiligheid en privacy|0 Comments

De AVG is een privacywet die al langer bestaat, maar vanaf 25 mei 2018 ook gehandhaafd wordt. Met de komst van deze wet moeten bedrijven, verenigingen en stichtingen aan allerlei eisen voldoen. Zelfs zzp’ers komen er niet onderuit.

En hoewel ik niet verwacht dat op 26 mei ineens een controleur op mijn stoep staat, begin ik wel wat zenuwachtig te worden. De boetes die je kan krijgen zijn namelijk niet mals.

Dus ik ben er ingedoken en heb de afgelopen tijd alles wat los en vast zit gelezen over de AVG. Ik droom er zelfs over. 😊

Wat is de AVG?

De afkorting AVG staat voor Algemene Verordening Gegevensbescherming. Deze wet geeft aan hoe we na 25 mei in heel Europa omgegaan met persoonsgegevens.

Het doel van de nieuwe privacywet is dat jouw gegevens niet zomaar mogen worden gebruikt of opgeslagen. Ook mag je niet meer commercieel benaderd worden tenzij je daar uitdrukkelijk toestemming voor hebt gegeven. Heel prettig dus voor ons als consument en burger.

Iets minder prettig is het voor organisaties die jouw gegevens in een adressenbestand hebben. Of die willen meten wat jij op hun website doet. Of die klantprofielen maken om te zorgen dat jij alleen reclames ziet die bij jou passen. Want zij moeten flink aan het werk om te zorgen dat ze alles op orde hebben vóór 25 mei.

Wat betekent de AVG voor mijn organisatie?

Het zal je verbazen hoeveel gegevens jouw organisatie bewaart en verwerkt. Zelfs een kleine stichting heeft een lijstje met contactgegevens van het bestuur. Vaak ook op de website. Dan moet jouw website aan bepaalde eisen voldoen.

En wat dacht je van de mensen die een nieuwsbrief ontvangen? Op papier of digitaal maakt geen verschil. Kun jij aantonen dat deze mensen toestemming hebben gegeven? Zo niet dan mag je ze na 25 mei geen nieuwsbrief meer sturen. Je moet namelijk kunnen bewijzen dat ze toestemming hebben gegeven. Je moet zelfs aan kunnen tonen op wélke tekst ze toestemming hebben gegeven.

Word je al zenuwachtig?

Wat verstaat de AVG onder persoonsgegevens?

Een persoonsgegeven is elk gegeven dat gaat over jou of dat direct naar jou te herleiden is.

Natuurlijk je naam, adres en BSN-nummer persoonsgegevens. Maar ook je e-mailadres, klantnummer en zakelijke telefoonnummer. Wat dacht je van de bonuskaart van Albert Hein? Als je net zo bent als ik, dan heb je een hele voorraad van dat soort klantkaarten.

Sommige persoonsgegevens krijgen in de nieuwe wet extra bescherming. Denk aan medische gegevens en zaken zoals politieke overtuiging,  geloofsovertuiging, geaardheid en ras.

En daarmee is een pasfoto straks ook een bijzonder persoonsgegeven. Van een foto kan je namelijk afleiden tot welk ras iemand behoort. Daar ga je met je ‘smoelenboek’. ☹

Wat moet mijn organisatie allemaal doen?

Om te voldoen aan de AVG moet je zorgvuldig met persoonsgegevens omgaan. De regels voor wat zorgvuldig is, worden een stuk strenger. Vrijwel zeker is dat jullie huidige werkwijze niet voldoende is na 25 mei.

Zo moet je een beknopt privacyverklaring hebben die in eenvoudige taal is opgesteld. Beknopt is bijna niet te doen vanwege alle onderdelen die hier in moeten staan. En zelfs de meest eenvoudige uitleg over het gebruik van cookies op je website is voor digibeten nog steeds ingewikkeld.

Daarnaast moet je vooral veel zaken kunnen aantonen. Je moet laten zien wiens gegevens je bewaart. Niet per persoon, maar per groep personen (websitebezoekers, vrijwilligers, zakelijke partners).

En je moet aantonen welke gegevens je bewaart, met welk doel en met wie je die gegevens deelt (bijvoorbeeld Mailchimp voor je nieuwsbriefbestand). Verder moet je bijhouden waar je de persoonsgegevens bewaart, hoe lang je ze bewaart en hoe ze beveiligd zijn.

Waar moet ik beginnen?

Je kunt een paar dingen doen. Als eerste adviseer ik je om je verder in te lezen over de AVG. Een goede website om te beginnen is die van de Autoriteit Persoonsgegevens. Daar staat alle informatie over de nieuwe wet en kun je een beeld krijgen van wat er nodig is.

Een andere handige website is die van de NOV (vereniging Nederlandse Organisaties Vrijwilligerswerk). Zij hebben een stappenplan waarmee je een begin kunt maken.

Verder kun je een schrijfblok pakken of een Word-document openen en opschrijven van welke groepen mensen jouw organisatie informatie verzamelt en welke informatie dat is (contact, medisch, IP-adres). Als je ook nog erbij zet waarom je dit verzamelt, dan ben je al een heel eind.

Online Cursus ‘AVG in de Praktijk’

De afgelopen weken heb ik bijna dag en nacht gewerkt om mijn kennis beschikbaar te maken voor (kleine) stichtingen en non-profits. In deze uitgebreide cursus krijg je in het eerste deel uitleg over de AVG. In het tweede deel ga je zelf aan de slag.

In kleine stappen loop je langs alle onderdelen die in orde moeten zijn voor de nieuwe privacywet. Je gaat inventariseren welke persoonsgegevens jouw organisatie verwerkt aan de hand van checklists en invulsjablonen, je gaat een verwerkingsregister invullen en een privacyverklaring opstellen.

Maar ook ga je kijken wat er nodig is om je website en nieuwsbrief in orde te krijgen en procedures opstellen over wat je moet doen als er toch een datalek ontstaat. Aan het eind van de training heb je zoveel stappen gezet dat je met een gerust hart kunt aantonen dat jullie voldoen aan de AVG.

Lees meer over de online cursus AVG in de Praktijk.

 

De afbeelding bij dit artikel is van Felix Russell-Saw op Unsplash

About the Author:

Heleen van Egmond helpt stichtingen en non-profits met het werven van (jonge) vrijwilligers en het effectief inzetten van website en social media.

Leave A Comment