SlideShare a Scribd company logo

AVG 7 stappenplan.pptx voor slideshare

Download as PPTX, PDF
V
VIPLansingerland

Op 25 mei is de Algemene Verordening Gegevensbescherming van toepassing op alle organisaties die gegevens van personen in een bestand bewaren Verenigingen moeten zich hier ook aan houden Zowel voor digitale bestanden als voor mappen op een plank ook deze laatste moeten voortaan veilig worden opgeborgen zonder dat vreemden daarbij kunnen.

Presentations & Public Speaking
1 of 51
V R I J W I L L I G E R S I N F O R M A T I E P U N T V I P L A N S I N G E R L A N D WORKSHOP AVG 7 STAPPENPLAN
WELKOM!
WAT GAAN WE DOEN? 7 stappenplan doorlopen Praktijkvoorbeelden Kunnen we wat met en voor elkaar betekenen?
KENNISMAKING VIP LANSINGERLAND VRIJWILLIGERS INFORMATIE PUNT In vogelvlucht… • Informatie en kenniscentrum • Vacaturebank / bemiddeling (digitaal of persoonlijk contact) • Promoten vrijwilligerswerk en werven van vrijwilligers • Deskundigheidsbevordering • Advies over vrijwilligersbeleid (wervingsplan, motiveren van vrijwilligers, vinden en binden, waarderen…)
ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) • Op 25 mei is de Algemene Verordening Gegevensbescherming van toepassing op alle organisaties die gegevens van personen in een bestand bewaren • Verenigingen moeten zich hier ook aan houden • Zowel voor digitale bestanden als voor mappen op een plank ook deze laatste moeten voortaan veilig worden opgeborgen zonder dat vreemden daarbij kunnen. • De wet geldt in Europa. Nederland maakt hier een uitvoeringswet op.
EN HIERVOOR? • Voor de ingang van deze wet was er de wet bescherming persoonsgegevens. • Verenigingen houden hierin een soort uitzonderingspositie. In de huidige situatie moeten ze ook beleid maken.
PRIVACY Privacy is simpel gezegd het recht om met rust gelaten te worden. Onderdeel ervan is de bescherming van persoonsgegevens: er zijn wettelijke regels voor de omgang met informatie over een persoon.
WAT IS EEN ‘PERSOONSGEGEVEN’? • Een persoonsgegeven is elk gegeven over een levende en identificeerbare persoon, dat wil zeggen:  direct of indirect herleidbaar tot een individu. Welk soort gegeven het is maakt niet uit. Een paar traditionele voorbeelden van persoonsgegevens zijn een voor- of achternaam, (e-mail)adres, lidnummer of een teamfoto. Maar ook gegevens over iemands gedrag en voorspellingen daarover (zoals fysieke inspanning of locatie) zijn persoonsgegevens.
STAP 1: GA WAAROM, HOE EN WAT NA • Ga na welke persoonsgegevens worden verzameld en waar die worden bewaard. In de nieuwe AVG zijn ook vrijwilligersorganisaties verplicht te inventariseren wat ze vastleggen én te registreren welke persoonsgegevens ze hoe vastleggen. Ook moeten ze bedenken of dat wat ze opslaan wel functioneel is; waarom leggen ze welke gegevens vast. Dit houdt in dat je alleen persoonsgegevens vastlegt die je nodig hebt en dat je ze alleen gebruikt waarvoor je ze verzamelt. • Denk bijvoorbeeld aan de voetbalvereniging die standaardadressen (straatnaam, postcode, huisnummer) van de leden in een bestand bewaard terwijl alle communicatie per telefoon, sociale media en digitale nieuwsbrief gaat. Deze clubs hoeven helemaal geen straat en huisnummer te bewaren. Het zal even wennen zijn maar hoe minder informatie er over personen bewaard wordt, hoe moeilijker gegevens herleidbaar zijn naar een persoon en hoe minder kans op schending van de privacy.
DOEL EN BELEID  STAPPENPLAN • Waarom bewaren organisaties / verenigingen deze persoonsgegevens (wat is het doel) • Hoe gaan ze met deze gegevens om (=beleid) • Er is een verantwoordingsplicht (aantonen dat je je aan de wet houdt) • Voor organisaties die al onder de privacywet vielen is de impact kleiner omdat er daar al documenten beleid ligt. Dus voor verenigingen is de stap het grootst. • De vereniging Nederlandse Organisaties Vrijwilligerswerk (NOV) heeft voor deze verenigingen een stappenplan gemaakt. Het is geen wet van meden en perzen maar een handreiking.
WANNEER VAL JE ONDER DE AVG? • Bewust zijn: wat zijn de persoonsgegevens die geregistreerd worden.  Zijn mensen hierop identificeerbaar / herleidbaar (naar een natuurlijk persoon)  Direct herleidbaar zijn namen en adressen.  Meer indirect telefoonnummers en mailadressen. Verzamel je als organisatie dit soort gegevens? Dan moet je voldoen aan de AVG. • De vraag is: waarom verzamel je dit soort gegevens? Een voetbalvereniging die alleen via mail en app communiceert….moet die nog adresgegevens bewaren? • Bij de AVG is het belangrijk dat een vereniging kan aantonen dat zij zich aan de wet houden (de verantwoordingsplicht)
FUNCTIONEEL VERZAMELEN • De gegevens die je verzamelt moeten functioneel zijn. Je moet ook nadenken over gegevens die al zijn verzameld: bijvoorbeeld gegevens van oud leden en ereleden. Kan je / wil je die opschonen? • Als je mensen hebt laten weten dat je gegevens verzamelt en hoe lang – check dan wel de voorwaarden waaronder dit is gebeurd (is het helder / staat het bijvoorbeeld op de website?) Of vraag: wij hebben uw gegevens nog. Is het goed dat wij deze nog x jaar bewaren. • Let op: er kan andere wetgeving van toepassing zijn waardoor je gegevens moet bewaren. Dit is niet op leden niveau maar wel binnen de financiële administratie.
WANNEER MAG JE ALS VERENIGING PERSOONSGEGEVENS VERWERKEN? • Iedere handeling met een persoonsgegeven is in de praktijk een verwerking. Denk dus aan het verzamelen, bewaren, verplaatsen, wissen, doorsturen of aanpassen, maar ook aan het kwijtraken of vernietigen van persoonsgegevens. • Je mag persoonsgegevens volgens de wet alleen verwerken voor een duidelijk omschreven en rechtmatig doel. • Die rechtvaardiging kan bestaan uit: • een noodzakelijke verwerking om een gerechtvaardigd belang te dienen; • de uitdrukkelijke toestemming van een betrokkene; • het uitvoeren van een contract met een betrokkene; of • het voldoen aan een wettelijke plicht.
ANTWOORDEN VOOR AVG BELEID • Geef antwoord op: • Waarom (waartoe verzamel je?) • Hoe • Rechtmatig (gerechtvaardigd) • Juist
STAP 2 – LAAT WETEN WAT JE BEWAART Onveranderd maar wel van belang is dat betrokkenen toestemming geven voor het gebruik van hun persoonsgegevens. Alleen wanneer daar een dringende reden van algemeen belang of wetgeving voor is, kunnen persoonsgegevens zonder toestemming worden opgeslagen. Nieuw is dat de betrokkenen moet weten dat zijn persoonsgegevens worden verwerkt en met welk doel. Zijn hebben het recht hun gegevens in te zien en aan te (laten) passen . Bij verenigingen is helder dat persoonsgegevens noodzakelijk zijn voor het lidmaatschap en om deel te nemen aan de activiteiten. Dit laatste geldt ook voor deelname aan activiteiten van een stichting.
STAP 2 VERVOLG Pas op met bijzondere persoonsgegevens. Verwerken van bijzondere persoonsgegevens is verboden, tenzij hiervoor een wettelijke uitzondering is of de persoon daar uitdrukkelijk tostemming voor heeft gegeven. Dit zijn persoonsgegevens van gevoelige aard zoals godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging of politieke partij, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag, genetische en biometrische kenmerken. Onder deze laatste vallen vingerafdrukken, stem, handschrift, geometrie van de handomtrek en scans van netvlies, iris en gelaat. Ook medische informatie, bijvoorbeeld over diabetes of allergieën, mag je alleen opslaan als er een wettelijke uitzondering is. Organisaties hebben nu de neiging deze informatie automatisch op te slaan in een bestand. Dat is niet langer toegestaan. Deze informatie moet dus iedere keer gevraagd voor activiteiten waarbij dat van belang is.
RECHTEN • De mensen van wie gegevens worden geregistreerd hebben recht op inzage (niet op het krijgen van kopieën). Ook is er het recht om de gegevens te laten verwijderen (vergeetrecht). Alleen de persoon zelf heeft dit recht (m.u.v. curatele / bewind voering) • Wat gerechtvaardigd is om te registreren is afhankelijk van de organisatie. Een school mag bijvoorbeeld ook bijzondere gegevens registeren (ook als ouders die anders wensen). Wat nodig is voor de leerling is hierin het belangrijkste. • Een privacy statement op de website kan verwijzen naar de AVG afspraken. Daarin moet ook staan wat de contactgegevens zijn als mensen bezwaar hebben.
RECHTEN (2) • Als er een wet ligt onder de registratie van persoonlijke gegevens blijft die ook onder de AVG van toepassing. • En het moet ook werkbaar zijn. Stel: er is iemand die regelmatig gebruik maakt van rolstoelvervoer. Het is dan logisch om hieromtrent te registeren. Je gaat niet telkens vragen wat voor rolstoel of een scoot mobiel, welke ondersteuning nodig is etc. • Een zwarte lijst (strafrechtelijke zaken) mag alleen met toestemming van betrokkene gemaakt worden.
VOG EN ZO • Die mag je bewaren. Maar ga je ook registreren dat een kandidaat dit niet heeft gekregen (en misschien toch vrijwilliger is…). • Van een vrijwilliger mag je geen kopie paspoort of BSN nummer bewaren. Deze zaken mag je alleen gebruiken / registeren als er een wetgeving onder ligt. Bij vrijwilligers is dit niet zo. Ook een kopie van een rijbewijs mag in niet. • Inzien van deze gegevens mag wel je moet nl. wel checken of mensen niet illegaal in het land verblijven. Ze mogen dan ook geen vrijwilligerswerk doen. • Mondeling kan je veel delen, maar alles wat je vastlegt valt onder de AVG.
BIJZONDERE GEGEVENS • Er zijn uitzonderingen. Bijvoorbeeld een kerk mag de leden registeren als zijnde lid, de vakbond mag dit ook. Anderen mogen dit niet in hun registraties opnemen. • Bij bijvoorbeeld de VPTZ mag je bijzonderheden noteren (als dit een reden heeft met het matchen van de juiste vrijwilliger) – bijvoorbeeld bidden voor het eten. • Voor kinderen tot en met 16 jaar moet toestemming zijn van ouders om mee te gaan op kamp. Dit moet vastgelegd worden. • NB: mensen die zijn overleden zijn geen personen in de zin van de AVG meer….
AANSPRAKELIJK • Degene die registreert is aansprakelijk. Niet degene die de info deelt. • Let op: • Ook aantekeningen die tijdens een gesprek worden gemaakt vallen onder de AVG. • Alleen een papieren archief valt niet onder de AVG.
LEDENLIJST Een vereniging mag in principe een ledenlijst beschikbaar stellen aan eigen leden. Het is aan te raden om de ledenvergadering eenmalig te verzoeken om daarmee in algemene zin in te stemmen, mocht dit nog niet gebeurd zijn. De Autoriteit Persoonsgegevens is van oordeel dat het online publiceren van een ledenlijst slechts is toegestaan op een voor leden afgeschermde webpagina. Wil je als vereniging dus mogelijk maken dat leden elkaar kunnen zoeken via jouw app of website, zorg dan dat je die informatie uitsluitend aan eigen leden beschikbaar stelt.
STAP 3: VASTLEGGEN HOE DE ORGANISATIE MET DE DATA OMGAAT Organisaties hebben een verantwoordingsplicht in de nieuwe AVG. Dat betekent dat organisaties vastleggen wie verantwoordelijk is voor de data, aan wie informatie wordt verstrekten ook op welke computer deze wordt opgeslagen en op welke wijze deze wordt beschermt tegen virussen en hacken. Niet onbelangrijk; zorg dat de data maar op één computer of één systeem staan. Verspreiding van data over verschillende computers of systemen zonder dat dat is vastgelegd kan uitgelegd worden als datalekken. Er moeten procedures worden opgesteld om personen toegang te geven tot de informatie.
STAP 3 VERVOLG Met externe gebruikers van de bestanden, zoals drukkers, verspreiders van de nieuwsbrieven en bijvoorbeeld de koepelorganisatie, moeten overeenkomsten worden opgesteld voor het gebruik van gegevens; de zogenoemde verwerkersovereenkomst (zie verwerkersovereenkomst). In deze overeenkomsten moeten bijvoorbeeld ook afspraken gemaakt worden over het vernietigen van de gegevens na gebruik. Ook wanneer het om de koepelorganisatie gaat, moeten afspraken gemaakt worden over het gebruik van de bestanden. De organisaties maken immers afspraken met de leden over het zorgvuldig bewaren van hun gegevens en daar kan een organisatie op aangesproken worden. (zie privacybeleid)
VERWERKEN VAN DATA • Maak een register wie wat en wanneer met een bestand gaat doen. • Als externe partners met gegevens omgaan moeten ze een verwerkingsovereenkomst ondertekenen. Hierin moet in ieder geval staan dat de partner de gegevens vernietigd na het gebruik. • Op de website van het NOV staat hiervan een voorbeeld (…). • Dubbel lidmaatschap (bond en vereniging): hier kan gewoon gegevens uitwisseling plaatsvinden. • Er zijn tools op internet die kunnen helpen bij het maken van beleid. Dit biedt geen AVG proof garantie.
VERWERKEN VAN DATA (2) • Werknemers vallen onder het arbeidsrecht, hierin kan ook geheimhouding afgesproken worden. • Bij vrijwilliger die dat niet. De vrijwilligersovereenkomst heeft in die zin ook geen wettelijke (arbeidsrechtelijke) basis. Ook een geheimhoudingsverklaring houdt waarschijnlijk in de rechtszaal geen stand. • Wat wel kan is dat je in de vrijwilligersovereenkomst verwijst naar de AVG. Hiermee zorg je voor een juridische link en sta je sterker. (Bijvoorbeeld in de trant van: als vrijwilliger ga je om met gegevens zoals deze binnen de organisatie / vereniging worden geregistreerd. Hieromtrent zijn afspraken vastgelegd in het AVG beleid. De vrijwilliger is gehouden deze afspraken te volgen). • Verwerker = als je er iets mee gaat doen. Hierbij kan je denken aan het verspreiden van het clubblad of boterletters rondbrengen. Ook een back-up valt onder de regelgeving.
VERWERKEN VAN DATA (3) • Bij veel verenigingen kan je jezelf via de website opgeven om lid te worden. Het moet dan helder zijn wat je met de gegevens doet. Let op: vaak wordt ook het IP adres bijgehouden. Hierover moeten afspraak gemaakt worden met de websitebouwer/beheerder. • Nagaan wie er allemaal met de gegevens werkt en waar de gegevens zijn. • Terzijde: Let ook op bij ‘in the cloud’ werken. Waar worden je gegevens verwerkt? Is dat binnen Europa? Dan valt dit onder de AVG (Europese wetgeving). Maar worden gegevens in Amerika verwerkt? Dan hebbende FBI en CIA inzagerecht. • Googledrive / dropbox zijn waarschijnlijk niet veilig. Deze zijn ontworpen voor privé gebruik. De zakelijke versie is wel beter beschermt. Citrix is beter maar kost geld. Mailchimp (adreslijsten) is vermoedelijk ook niet veilig. Deze organisaties / aanbieders zijn vermoedelijk zelf ook aan de slag met het onderwerp AVG. Mogelijk volgen oplossingen.
LEDENADMINISTRATIE BEVEILIGEN • De ledenadministratie kan een interessant doelwit zijn voor kwaadwillenden. Zorg dus voor goede technische en organisatorische beveiligingsmaatregelen. • De Autoriteit Persoonsgegevens heeft daarvoor richtsnoeren gepubliceerd, die je hier kunt raadplegen. • https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematische-beleidsregels/beleidsregels-beveiliging-van-persoonsgegevens-2013
HOELANG MAG JE GEGEVENS UIT DE LEDENADMINISTRATIE BEWAREN? • Bewaar persoonsgegevens van een uitgetreden lid in principe niet langer dan twee jaar na einde van het lidmaatschap. • Voor informatie die valt onder de fiscale bewaarplicht geldt een langere bewaartermijn, namelijk zeven jaar. • Overleg met de penningmeester binnen de organisatie welke gegevens daarvoor in aanmerking komen. • Sommige informatie zal je wellicht voor statistische, wetenschappelijke of historische doeleinden langer willen bewaren. Dat mag, maar zorg wel dat deze langer bewaarde gegevens niet alsnog voor andere doeleinden worden gebruikt, en onderzoek in hoeverre je de gegevens kunt anonimiseren.
STAP 4: STEL ZO NODIG EEN FUNCTIONARIS VOOR DE GEGEVENSBESCHERMING (FG) AAN • Dit is niet verplicht voor alle organisaties. Wel voor overheids- en publieke organisaties, organisaties die persoonsgegevens analyseren (profiling) en wanneer bijzondere persoonsgegevens worden opgeslagen. • Voor organisaties waarvoor een FG niet verplicht is, kan het wel handig zijn een FG aan te stellen. De FG is de centrale persoon die alle persoonsgegevens van de club beheert.
STAP 4 (VERVOLG) • Deze FG heeft zeggenschap over de bestanden en legt verantwoording af aan de verantwoordelijke beheerder, meestal het bestuur. • Deze persoon beslist in opdracht van het bestuur over hoe bestanden worden opgeslagen en de procedure voor het beschikbaar stellen van de gegevens. • Ook bestuursleden kunnen alleen via van tevoren vastgelegde procedures gegevens gebruiken. • De FG zorgt er ook voor dat de virusscan op orde is en dat de computer beschermd is tegen hacken.
STAP 4 VERVOLG • Voor organisaties die verplicht een Functionaris Gegevensbescherming (FG) moeten aanstellen heeft deze formeel de volgende verplichting: • FG’s mogen alleen handelen in opdracht van de verantwoordelijke; • FG’s worden verplicht een overzicht bij te houden van alle categorieën persoonsgegevens die zij verwerken in opdracht van en verantwoordelijke; • FG’s moeten passende technische en organisatorische beveiligingsmaatregelen nemen die een passend beschermingsniveau bieden met het oog op het risico van de gegevensverwerking voor betrokkenen. FG’s moeten uitgebreide kennis hebben omtrent hun informatiesystemen en de typen data die zij verwerken (is er sprake van bijzondere persoonsgegevens?); • FG’s mogen geen sub-FG’s inschakelen zonder toestemming van de verantwoordelijke, wanneer sub-FG’s worden ingezet moet de FG de nodige technische en organisatorische maatregelen nemen om de veiligheid en integriteit van de data te garanderen; • FG’s moeten de verantwoordelijke onmiddellijk op de hoogte stellen van een datalek. De termijn voor ‘onverwijld’ in de Nederlandse wetgeving wordt in de Wet Meldplicht datalekken vastgesteld op 72 uur na ontdekking van het incident; • FG’s zijn verplicht medewerking te verlenen aan verzoeken van de Autoriteit Persoongegevens; • In bepaalde gevallen moet de FG een Privacy Impact Assessment uitvoeren. Dat is in ieder geval zo bij profiling, het verwerken van bijzondere persoonskenmerken en opslaan van camerabeelden met personen erop.
ONZE VERENIGING EEN FG? • Sommige bedrijven zijn hier door de wet waarschijnlijk toe verplicht. Het gaat dan om grote organisaties of bedrijven met bijzondere gegevens. • Verenigingen doen er goed aan om toch iemand aan te stellen die de lead neemt in dit onderwerp. Het is ook mogelijk om mensen hiervoor te certificeren (training van enkele dagen). De persoon die de lead neemt is niet de verantwoordelijk maar is degene die het voortouw neemt.
STAP 5: PRIVACY IMPACT ASSESSMENT (PIA) • Hiermee breng je in beeld wat de gevolgen zijn van het verzamelen van persoonsgegevens voor de personen zelf. Dit is afhankelijk van wat met de gegevens gedaan wordt. Wanneer de gegevens verzameld worden voor het versturen van de contributiebrief of een nieuwsbrief is het effect dat mensen lid blijven van de organisatie of dat ze geïnformeerd zijn over de organisatie. Niet voor alle bestanden met persoonsgegevens hoeft daarom een PIA gedaan te worden. Alleen wanneer: • Met de persoonsgegevens systematisch persoonlijke aspecten worden geëvalueerd (profiling) • Op grote schaal bijzondere gegevens worden verwerkt (zie stap 1) • Personen gevolgd worden in publieke ruimte (b.v. door camera toezicht)
STAP 5 VERVOLG EN ADVIES • Voor de meeste vrijwilligersorganisaties is een formele PIA niet nodig. Vooral niet omdat alleen contactgegevens verzameld worden en geen persoonskenmerken. • Dit is voor grote organisaties wel verplicht / organisaties met veel bijzondere gegevens. Het is voor verenigingen goed om hier toch naar te kijken (hoeft niet elk jaar). Als je dit onderzoekt kan je er weer een tijdje op teren.
STAP 6: VRIJWILLIGERS INFORMEREN OF OPLEIDEN Het is niet de bedoeling dat wanneer je de gegevensbescherming zorgvuldig in beleid en procedures hebt geregeld, de eerste de beste vrijwilliger met persoonsgegevens die nodig zijn bij de uitoefening van de zijn/haar functie, te koop gaat lopen. Ook dat zijn datalekken. Dit kan gaan om gegevens uit de bestanden van de organisatie zelf, maar ook om informatie die een vrijwilliger van een deelnemer of ouder heeft gekregen.
ZORGVULDIGHEID • Zorgvuldigheid staat voorop. Penningmeester die hun bestanden thuis op de PC hebben staan terwijl het hele gezin hierbij kan… dus afspraken maken hoe gaat iemand thuis om met de gegevens. Eigenlijk kan het niet meer dat gegevens op een PC staan – gegevens kunnen het beste ‘in the cloud’ opgeslagen worden. Mogelijkheden zijn bijvoorbeeld Tech-soup of g-suite. 1 terabyte pp is gratis. Er is een strikt wachtwoordenbeleid nodig. Het is goed om te kijken waar mensen in de organisatie zich goed bij voelen. AVG is (hoewel het ook werk / tijd vraagt) wel belangrijk. • In toenemende mate worden er oplossingen aangeboden. Bijvoorbeeld door AVG verenigingen. Goed kijken wat het aanbod is.
INFORMATIEPLICHT • Je bent als vereniging wettelijk verplicht om betrokkenen op eigen initiatief goed te informeren over welke persoonsgegevens je verwerkt, voor welk doel je dit doet, en welke rechten de betrokkene heeft ten aanzien van zijn persoonsgegevens. • Je legt deze informatie meestal vast in een privacyverklaring. Informeren is niet alleen een kwestie van de wet naleven, maar een mooie kans om te demonstreren dat jouw vereniging de privacy van leden en anderen respecteert. Onthoud: hoe beter je betrokkenen vooraf informeert over wat je doet met hun persoonsgegevens, des te kleiner de kans dat je ze onaangenaam verrast.
WANNEER EN HOE? • Zorg ten eerste dat een privacyverklaring eenvoudig is te raadplegen op de website van de vereniging. • Sluiten aan bij de manier waarop je met de betrokkene in contact staat. Schrijft iemand zich in via een fysiek formulier (bijvoorbeeld als lid of deelnemer), voeg dan de privacyverklaring bij ter kennisgeving. Maak je gebruik van een digitaal inschrijfformulier, verwijs dan met een duidelijk zichtbare hyperlink naar de privacyverklaring. • Krijgen deelnemers/leden na hun inschrijving toegang tot een digitale omgeving (zoals een ledenportaal), link dan ook daar naar de privacyverklaring.
WAAROVER INFORMEER JE? • De officiële identiteits- en contactgegevens van de vereniging; • De soorten persoonsgegevens die worden verwerkt; • Voor welke doeleinden die verwerkingen plaatsvinden, en op welke grondslag dit plaatsvindt; • Als persoonsgegevens mogelijk worden gedeeld met derde partijen, welke partijen het betreft; • Als persoonsgegevens worden opgeslagen buiten de EU, welke maatregelen er zijn getroffen om een passend beschermingsniveau te waarborgen; • Welke rechten de betrokkene (onder bepaalde omstandigheden) heeft, namelijk het recht op inzage, correctie, verwijdering, data portabiliteit, en het recht van verzet tegen een bepaalde verwerking; • Hoelang persoonsgegevens worden bewaard (of welke criteria daarvoor gelden); • Indien voor bepaalde verwerkingen toestemming wordt gevraagd, de vermelding dat deze te allen tijde mag worden ingetrokken door de betrokkene; • Een vermelding dat iedere betrokkene het recht heeft om een klacht in te dienen bij de Autoriteit Persoonsgegevens; • Als je de persoonsgegevens verwerkt ter uitvoering van een contract of een wettelijke verplichting, vermeldt dit dan, en vermeldt tevens wat de consequentie is als een betrokkene dergelijke persoonsgegevens niet verstrekt (bijvoorbeeld: geen lid kunnen worden van de vereniging); • Als je gebruikmaakt van profilering of geautomatiseerde besluitvorming, vermeldt dit dan uitdrukkelijk. Wees duidelijk • Een betrokkene heeft er niets aan om te lezen dat jij ‘sommige persoonsgegevens’ ‘mogelijk’ voor ‘onderzoek’ gebruikt. Het lijkt misschien aantrekkelijk om jezelf met dit soort vage termen veel ruimte te geven, maar uiteindelijk wek je daarmee vooral argwaan.
STAP 7: PROCEDURE OPSTELLEN VOOR HET MELDEN VAN DATALEKKEN Elke organisatie die persoonsgegevens opslaat, is verplicht datalekken te melden binnen 72 uur na ontdekking. Om dit zorgvuldig te doen is het handig vooraf procedures af te spreken. Hierin staat: Wat een datalek is; We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, een gestolen geprinte ledenlijst of cliëntgegevens. Andere voorbeelden zijn cyberaanvallen, verkeerd verzonden e-mail, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usb-sticks.
STAP 7 VERVOLG • Bij wie in de organisatie een datalek gemeld moet worden; • Wie binnen de organisatie nog meer geïnformeerd moet worden; • Wie checkt wat er gelekt is; • Hoe in kaart gebracht wordt wat de gevolgen zijn voor de personen van wie de persoonsgegevens gelekt zijn; • Welke gegevens nodig zijn voor de melding. De melding moet in ieder geval bestaan uit: • de aard van de inbreuk; • de instanties of persoon waar meer informatie over de inbreuk kan worden verkregen; • de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken; • een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens; • de maatregelen die de organisatie heeft genomen of voorstelt te nemen om deze gevolgen te verhelpen. • Wie de melding doet bij de Autoriteit Persoonsgegevens. • Meldingen kunnen digitaal gedaan worden bij het meldloket van de Autoriteit Persoonsgegevens: http://datalekken.autoriteitpersoonsgegevens.nl
DENK NA OVER DATALEKKEN • Vooraf nadenken over datalekken is lastig. Formeel geldt een meldingsplicht. • Er liggen vragen bij de autoriteiten om het 1e jaar niet gelijk met boetes te strooien maar om te helpen. Hierover is op dit moment nog geen uitspraak. • Bij een melding wordt de melder door vragen heen geleid. Is het klein dat wordt op een bepaald moment in de registratie aangegeven dat de melding voldoende is. Voorbeeld: stick kwijt met gegevens van 25 leden van de vereniging (verloren). Klein maar toch melden. • Mail sturen: mensen meelezen in de bcc en niet in de c.c.. gaat dit fout? Gelijk melden. Dit is in principe waarschijnlijk geen punt als het gemeld wordt. Geen melding: dan kan de autoriteit komen met de vraag waarom er geen melding is gedaan. • Hoe groot of hoe klein het lek is: je kunt het een keer terug krijgen. • Zet op papier wat te doen bij een lek. Bij voorkeur via een functionaris (die kan het protocol uitvoeren) zonder bestuur. • Is het protocol / beleid opnemen: datalekken worden gemeld.
OVERIG • Niet zonder toestemming beeldmateriaal van mensen plaatsen: • Privé foto’s mag nog steeds • Foto’s van een publiek (bij bijvoorbeeld een concert) mag (alleen akkoord aan mensen vragen die heel herkenbaar zijn) • In samenwerkingen zijn organisaties in principe zelf verantwoordelijk voor de verwerkingsovereenkomst. Deze moet functioneel zijn. Dit is (voor zover nu bekend) voldoende. • Verwerkingsregister = bijvoorbeeld uitdraai van gegevens • Vastleggen die / wat /wanneer doet. Of aangeven wie wat mag doen qua bijhouden. Of vastleggen wanneer iets gebeurd is.
MODELLEN • http://composer.cms-dsb.com/ • https://www.avgjuristen.nl/privacy-statement/ • https://www.autoriteitpersoonsgegevens.nl/sites/default/fi les/atoms/files/avg_in_een_notendop.pdf • Handige tool als je een eenvoudige verklaring zoekt: https://veiliginternetten.nl/privacyverklaring/  filmpje ven deze tool
VRAGEN
DISCLAIMER • U kunt aan de informatie in deze presentatie geen rechten ontlenen. • Evenmin kan Welzijn Lansingerland / VIP Lansingerland aansprakelijk worden gesteld voor onjuiste en/of onvolledige informatie welke wellicht zou kunnen voorkomen.
VOORBEELDEN • https://www.nov.nl/forum/0353_0393_Privacybeleid-Scouting- Nederland-(definitief-september-2016)-(1).pdf • https://www.nov.nl/forum/0218_Privacy-Statement-Scouting- Nederland-(versie-november-2015).pdf • https://vereniging-ion.nl/privacy-statement-van-vereniging-ion • http://www.schaakvereniginghuizen.nl/Privacy-Statement.pdf • http://www.dos-alphen.nl/privacyreglement/ • http://www.mijnhengelsportvereniging.nl/contact/privacy- statement.html • http://www.steltkluut.nl/vereniging/privacy-statement
BRONNEN • Nov.nl • https://www.knhb.nl/kenniscentrum/whitepaper/privacyre gels-waar-moet-een-vereniging-rekening-mee-houden
AVG 7 stappenplan.pptx voor slideshare
AVG 7 stappenplan.pptx voor slideshare

Recommended

Outsourcing
OutsourcingOutsourcing
OutsourcingSebastian Gajda
 
2022_10_5 Sotsiaalmeediakoolitus_VisitEstonia_Leeni Pihelpuu.pdf
2022_10_5 Sotsiaalmeediakoolitus_VisitEstonia_Leeni Pihelpuu.pdf2022_10_5 Sotsiaalmeediakoolitus_VisitEstonia_Leeni Pihelpuu.pdf
2022_10_5 Sotsiaalmeediakoolitus_VisitEstonia_Leeni Pihelpuu.pdfEesti Loodusturism
 
De Algemene Verordeing Gegevensbescherming - HO-link 2017
De Algemene Verordeing Gegevensbescherming - HO-link 2017De Algemene Verordeing Gegevensbescherming - HO-link 2017
De Algemene Verordeing Gegevensbescherming - HO-link 2017HOlink
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRGuyVanderSande
 
Factsheet wbp
Factsheet wbpFactsheet wbp
Factsheet wbpRob van Hees
 
Big data en privacy
Big data en privacyBig data en privacy
Big data en privacyFruytier Lawyers in Business
 
GDPR & Recruitment, vloek of zegen?
GDPR & Recruitment, vloek of zegen?GDPR & Recruitment, vloek of zegen?
GDPR & Recruitment, vloek of zegen?The Cure for social sharing
 
Privacy en compliance accept easy paydays
Privacy en compliance accept easy paydaysPrivacy en compliance accept easy paydays
Privacy en compliance accept easy paydaysPatrick Jordens
 

Recommended

Outsourcing
OutsourcingOutsourcing
OutsourcingSebastian Gajda
 
2022_10_5 Sotsiaalmeediakoolitus_VisitEstonia_Leeni Pihelpuu.pdf
2022_10_5 Sotsiaalmeediakoolitus_VisitEstonia_Leeni Pihelpuu.pdf2022_10_5 Sotsiaalmeediakoolitus_VisitEstonia_Leeni Pihelpuu.pdf
2022_10_5 Sotsiaalmeediakoolitus_VisitEstonia_Leeni Pihelpuu.pdfEesti Loodusturism
 
De Algemene Verordeing Gegevensbescherming - HO-link 2017
De Algemene Verordeing Gegevensbescherming - HO-link 2017De Algemene Verordeing Gegevensbescherming - HO-link 2017
De Algemene Verordeing Gegevensbescherming - HO-link 2017HOlink
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRGuyVanderSande
 
Factsheet wbp
Factsheet wbpFactsheet wbp
Factsheet wbpRob van Hees
 
Big data en privacy
Big data en privacyBig data en privacy
Big data en privacyFruytier Lawyers in Business
 
GDPR & Recruitment, vloek of zegen?
GDPR & Recruitment, vloek of zegen?GDPR & Recruitment, vloek of zegen?
GDPR & Recruitment, vloek of zegen?The Cure for social sharing
 
Privacy en compliance accept easy paydays
Privacy en compliance accept easy paydaysPrivacy en compliance accept easy paydays
Privacy en compliance accept easy paydaysPatrick Jordens
 
Businessday okt 2016 - Cranium: GDPR
Businessday okt 2016 - Cranium: GDPRBusinessday okt 2016 - Cranium: GDPR
Businessday okt 2016 - Cranium: GDPRMarketing Team
 
Webinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmoWebinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmoIkinnoveer
 
avg-presentatie-yoostock
avg-presentatie-yoostockavg-presentatie-yoostock
avg-presentatie-yoostock✎ Wim Strik
 
Avg in de recruitmentbranche. Een compleet overzicht.
Avg in de recruitmentbranche. Een compleet overzicht.Avg in de recruitmentbranche. Een compleet overzicht.
Avg in de recruitmentbranche. Een compleet overzicht.Anna Willems
 
Avg in de recruitmentbranche. een compleet overzicht
Avg in de recruitmentbranche. een compleet overzichtAvg in de recruitmentbranche. een compleet overzicht
Avg in de recruitmentbranche. een compleet overzichtJohan-Peter Kaar
 
AVG/GDPR in de recruitmentbranche. Een compleet overzicht.
AVG/GDPR in de recruitmentbranche. Een compleet overzicht.AVG/GDPR in de recruitmentbranche. Een compleet overzicht.
AVG/GDPR in de recruitmentbranche. Een compleet overzicht.Martijn van Ingen
 
Hr square november conference dag 1
Hr square november conference dag 1Hr square november conference dag 1
Hr square november conference dag 1HR_Square
 
Digitale privacy: zo voorkomt u een miljoenenboete
Digitale privacy: zo voorkomt u een miljoenenboeteDigitale privacy: zo voorkomt u een miljoenenboete
Digitale privacy: zo voorkomt u een miljoenenboetevalantic NL
 
INFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJS
INFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJSINFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJS
INFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJSSLBdiensten
 
Verhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyVerhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyB.A.
 
Masterclass Privacy en Data Science donderdag 12 januari
Masterclass Privacy en Data Science donderdag 12 januari Masterclass Privacy en Data Science donderdag 12 januari
Masterclass Privacy en Data Science donderdag 12 januari KING
 
AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018Andre Cardinaal
 
Presentatie Ict Loket 8 Juni 2010
Presentatie Ict Loket 8 Juni 2010Presentatie Ict Loket 8 Juni 2010
Presentatie Ict Loket 8 Juni 2010ErnstJanDubb
 
Presentatie #AVG #GDPR bij #SMC055 dd 12 maart 2018
Presentatie #AVG #GDPR bij #SMC055 dd 12 maart 2018Presentatie #AVG #GDPR bij #SMC055 dd 12 maart 2018
Presentatie #AVG #GDPR bij #SMC055 dd 12 maart 2018Bert Anvelink
 
Privacy & big data
Privacy & big dataPrivacy & big data
Privacy & big dataSergej Katus CIPM
 
Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...
Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...
Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...Flevum
 
Introductie Wet Openbaarheid Bestuur
Introductie Wet Openbaarheid BestuurIntroductie Wet Openbaarheid Bestuur
Introductie Wet Openbaarheid Bestuurfniehorster
 
Hannelore Dekeyser, Juridische kijk (Privacycommissie)
Hannelore Dekeyser, Juridische kijk (Privacycommissie)Hannelore Dekeyser, Juridische kijk (Privacycommissie)
Hannelore Dekeyser, Juridische kijk (Privacycommissie)Vlaamse Vereniging voor Bibliotheek, Archief & Documentatie vzw (VVBAD)
 
GDPR presentatie
GDPR presentatieGDPR presentatie
GDPR presentatiePieter Carette
 
Zoeken en gevonden worden onder de AVG
Zoeken en gevonden worden onder de AVGZoeken en gevonden worden onder de AVG
Zoeken en gevonden worden onder de AVGvoginip
 

More Related Content

Similar to AVG 7 stappenplan.pptx voor slideshare

Businessday okt 2016 - Cranium: GDPR
Businessday okt 2016 - Cranium: GDPRBusinessday okt 2016 - Cranium: GDPR
Businessday okt 2016 - Cranium: GDPRMarketing Team
 
Webinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmoWebinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmoIkinnoveer
 
avg-presentatie-yoostock
avg-presentatie-yoostockavg-presentatie-yoostock
avg-presentatie-yoostock✎ Wim Strik
 
Avg in de recruitmentbranche. Een compleet overzicht.
Avg in de recruitmentbranche. Een compleet overzicht.Avg in de recruitmentbranche. Een compleet overzicht.
Avg in de recruitmentbranche. Een compleet overzicht.Anna Willems
 
Avg in de recruitmentbranche. een compleet overzicht
Avg in de recruitmentbranche. een compleet overzichtAvg in de recruitmentbranche. een compleet overzicht
Avg in de recruitmentbranche. een compleet overzichtJohan-Peter Kaar
 
AVG/GDPR in de recruitmentbranche. Een compleet overzicht.
AVG/GDPR in de recruitmentbranche. Een compleet overzicht.AVG/GDPR in de recruitmentbranche. Een compleet overzicht.
AVG/GDPR in de recruitmentbranche. Een compleet overzicht.Martijn van Ingen
 
Hr square november conference dag 1
Hr square november conference dag 1Hr square november conference dag 1
Hr square november conference dag 1HR_Square
 
Digitale privacy: zo voorkomt u een miljoenenboete
Digitale privacy: zo voorkomt u een miljoenenboeteDigitale privacy: zo voorkomt u een miljoenenboete
Digitale privacy: zo voorkomt u een miljoenenboetevalantic NL
 
INFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJS
INFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJSINFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJS
INFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJSSLBdiensten
 
Verhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyVerhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyB.A.
 
Masterclass Privacy en Data Science donderdag 12 januari
Masterclass Privacy en Data Science donderdag 12 januari Masterclass Privacy en Data Science donderdag 12 januari
Masterclass Privacy en Data Science donderdag 12 januari KING
 
AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018Andre Cardinaal
 
Presentatie Ict Loket 8 Juni 2010
Presentatie Ict Loket 8 Juni 2010Presentatie Ict Loket 8 Juni 2010
Presentatie Ict Loket 8 Juni 2010ErnstJanDubb
 
Presentatie #AVG #GDPR bij #SMC055 dd 12 maart 2018
Presentatie #AVG #GDPR bij #SMC055 dd 12 maart 2018Presentatie #AVG #GDPR bij #SMC055 dd 12 maart 2018
Presentatie #AVG #GDPR bij #SMC055 dd 12 maart 2018Bert Anvelink
 
Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...
Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...
Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...Flevum
 
Introductie Wet Openbaarheid Bestuur
Introductie Wet Openbaarheid BestuurIntroductie Wet Openbaarheid Bestuur
Introductie Wet Openbaarheid Bestuurfniehorster
 
Zoeken en gevonden worden onder de AVG
Zoeken en gevonden worden onder de AVGZoeken en gevonden worden onder de AVG
Zoeken en gevonden worden onder de AVGvoginip
 

Similar to AVG 7 stappenplan.pptx voor slideshare (20)

Businessday okt 2016 - Cranium: GDPR
Businessday okt 2016 - Cranium: GDPRBusinessday okt 2016 - Cranium: GDPR
Businessday okt 2016 - Cranium: GDPR
 
Webinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmoWebinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmo
 
avg-presentatie-yoostock
avg-presentatie-yoostockavg-presentatie-yoostock
avg-presentatie-yoostock
 
Avg in de recruitmentbranche. Een compleet overzicht.
Avg in de recruitmentbranche. Een compleet overzicht.Avg in de recruitmentbranche. Een compleet overzicht.
Avg in de recruitmentbranche. Een compleet overzicht.
 
Avg in de recruitmentbranche. een compleet overzicht
Avg in de recruitmentbranche. een compleet overzichtAvg in de recruitmentbranche. een compleet overzicht
Avg in de recruitmentbranche. een compleet overzicht
 
AVG/GDPR in de recruitmentbranche. Een compleet overzicht.
AVG/GDPR in de recruitmentbranche. Een compleet overzicht.AVG/GDPR in de recruitmentbranche. Een compleet overzicht.
AVG/GDPR in de recruitmentbranche. Een compleet overzicht.
 
Hr square november conference dag 1
Hr square november conference dag 1Hr square november conference dag 1
Hr square november conference dag 1
 
Digitale privacy: zo voorkomt u een miljoenenboete
Digitale privacy: zo voorkomt u een miljoenenboeteDigitale privacy: zo voorkomt u een miljoenenboete
Digitale privacy: zo voorkomt u een miljoenenboete
 
INFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJS
INFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJSINFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJS
INFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJS
 
Verhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyVerhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacy
 
Masterclass Privacy en Data Science donderdag 12 januari
Masterclass Privacy en Data Science donderdag 12 januari Masterclass Privacy en Data Science donderdag 12 januari
Masterclass Privacy en Data Science donderdag 12 januari
 
AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018
 
Presentatie Ict Loket 8 Juni 2010
Presentatie Ict Loket 8 Juni 2010Presentatie Ict Loket 8 Juni 2010
Presentatie Ict Loket 8 Juni 2010
 
Presentatie #AVG #GDPR bij #SMC055 dd 12 maart 2018
Presentatie #AVG #GDPR bij #SMC055 dd 12 maart 2018Presentatie #AVG #GDPR bij #SMC055 dd 12 maart 2018
Presentatie #AVG #GDPR bij #SMC055 dd 12 maart 2018
 
Privacy & big data
Privacy & big dataPrivacy & big data
Privacy & big data
 
Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...
Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...
Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...
 
Introductie Wet Openbaarheid Bestuur
Introductie Wet Openbaarheid BestuurIntroductie Wet Openbaarheid Bestuur
Introductie Wet Openbaarheid Bestuur
 
Hannelore Dekeyser, Juridische kijk (Privacycommissie)
Hannelore Dekeyser, Juridische kijk (Privacycommissie)Hannelore Dekeyser, Juridische kijk (Privacycommissie)
Hannelore Dekeyser, Juridische kijk (Privacycommissie)
 
GDPR presentatie
GDPR presentatieGDPR presentatie
GDPR presentatie
 
Zoeken en gevonden worden onder de AVG
Zoeken en gevonden worden onder de AVGZoeken en gevonden worden onder de AVG
Zoeken en gevonden worden onder de AVG
 

AVG 7 stappenplan.pptx voor slideshare

  • 1. V R I J W I L L I G E R S I N F O R M A T I E P U N T V I P L A N S I N G E R L A N D WORKSHOP AVG 7 STAPPENPLAN
  • 3. WAT GAAN WE DOEN? 7 stappenplan doorlopen Praktijkvoorbeelden Kunnen we wat met en voor elkaar betekenen?
  • 4. KENNISMAKING VIP LANSINGERLAND VRIJWILLIGERS INFORMATIE PUNT In vogelvlucht… • Informatie en kenniscentrum • Vacaturebank / bemiddeling (digitaal of persoonlijk contact) • Promoten vrijwilligerswerk en werven van vrijwilligers • Deskundigheidsbevordering • Advies over vrijwilligersbeleid (wervingsplan, motiveren van vrijwilligers, vinden en binden, waarderen…)
  • 5. ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) • Op 25 mei is de Algemene Verordening Gegevensbescherming van toepassing op alle organisaties die gegevens van personen in een bestand bewaren • Verenigingen moeten zich hier ook aan houden • Zowel voor digitale bestanden als voor mappen op een plank ook deze laatste moeten voortaan veilig worden opgeborgen zonder dat vreemden daarbij kunnen. • De wet geldt in Europa. Nederland maakt hier een uitvoeringswet op.
  • 6. EN HIERVOOR? • Voor de ingang van deze wet was er de wet bescherming persoonsgegevens. • Verenigingen houden hierin een soort uitzonderingspositie. In de huidige situatie moeten ze ook beleid maken.
  • 7. PRIVACY Privacy is simpel gezegd het recht om met rust gelaten te worden. Onderdeel ervan is de bescherming van persoonsgegevens: er zijn wettelijke regels voor de omgang met informatie over een persoon.
  • 8. WAT IS EEN ‘PERSOONSGEGEVEN’? • Een persoonsgegeven is elk gegeven over een levende en identificeerbare persoon, dat wil zeggen:  direct of indirect herleidbaar tot een individu. Welk soort gegeven het is maakt niet uit. Een paar traditionele voorbeelden van persoonsgegevens zijn een voor- of achternaam, (e-mail)adres, lidnummer of een teamfoto. Maar ook gegevens over iemands gedrag en voorspellingen daarover (zoals fysieke inspanning of locatie) zijn persoonsgegevens.
  • 9. STAP 1: GA WAAROM, HOE EN WAT NA • Ga na welke persoonsgegevens worden verzameld en waar die worden bewaard. In de nieuwe AVG zijn ook vrijwilligersorganisaties verplicht te inventariseren wat ze vastleggen én te registreren welke persoonsgegevens ze hoe vastleggen. Ook moeten ze bedenken of dat wat ze opslaan wel functioneel is; waarom leggen ze welke gegevens vast. Dit houdt in dat je alleen persoonsgegevens vastlegt die je nodig hebt en dat je ze alleen gebruikt waarvoor je ze verzamelt. • Denk bijvoorbeeld aan de voetbalvereniging die standaardadressen (straatnaam, postcode, huisnummer) van de leden in een bestand bewaard terwijl alle communicatie per telefoon, sociale media en digitale nieuwsbrief gaat. Deze clubs hoeven helemaal geen straat en huisnummer te bewaren. Het zal even wennen zijn maar hoe minder informatie er over personen bewaard wordt, hoe moeilijker gegevens herleidbaar zijn naar een persoon en hoe minder kans op schending van de privacy.
  • 10. DOEL EN BELEID  STAPPENPLAN • Waarom bewaren organisaties / verenigingen deze persoonsgegevens (wat is het doel) • Hoe gaan ze met deze gegevens om (=beleid) • Er is een verantwoordingsplicht (aantonen dat je je aan de wet houdt) • Voor organisaties die al onder de privacywet vielen is de impact kleiner omdat er daar al documenten beleid ligt. Dus voor verenigingen is de stap het grootst. • De vereniging Nederlandse Organisaties Vrijwilligerswerk (NOV) heeft voor deze verenigingen een stappenplan gemaakt. Het is geen wet van meden en perzen maar een handreiking.
  • 11. WANNEER VAL JE ONDER DE AVG? • Bewust zijn: wat zijn de persoonsgegevens die geregistreerd worden.  Zijn mensen hierop identificeerbaar / herleidbaar (naar een natuurlijk persoon)  Direct herleidbaar zijn namen en adressen.  Meer indirect telefoonnummers en mailadressen. Verzamel je als organisatie dit soort gegevens? Dan moet je voldoen aan de AVG. • De vraag is: waarom verzamel je dit soort gegevens? Een voetbalvereniging die alleen via mail en app communiceert….moet die nog adresgegevens bewaren? • Bij de AVG is het belangrijk dat een vereniging kan aantonen dat zij zich aan de wet houden (de verantwoordingsplicht)
  • 12. FUNCTIONEEL VERZAMELEN • De gegevens die je verzamelt moeten functioneel zijn. Je moet ook nadenken over gegevens die al zijn verzameld: bijvoorbeeld gegevens van oud leden en ereleden. Kan je / wil je die opschonen? • Als je mensen hebt laten weten dat je gegevens verzamelt en hoe lang – check dan wel de voorwaarden waaronder dit is gebeurd (is het helder / staat het bijvoorbeeld op de website?) Of vraag: wij hebben uw gegevens nog. Is het goed dat wij deze nog x jaar bewaren. • Let op: er kan andere wetgeving van toepassing zijn waardoor je gegevens moet bewaren. Dit is niet op leden niveau maar wel binnen de financiële administratie.
  • 13. WANNEER MAG JE ALS VERENIGING PERSOONSGEGEVENS VERWERKEN? • Iedere handeling met een persoonsgegeven is in de praktijk een verwerking. Denk dus aan het verzamelen, bewaren, verplaatsen, wissen, doorsturen of aanpassen, maar ook aan het kwijtraken of vernietigen van persoonsgegevens. • Je mag persoonsgegevens volgens de wet alleen verwerken voor een duidelijk omschreven en rechtmatig doel. • Die rechtvaardiging kan bestaan uit: • een noodzakelijke verwerking om een gerechtvaardigd belang te dienen; • de uitdrukkelijke toestemming van een betrokkene; • het uitvoeren van een contract met een betrokkene; of • het voldoen aan een wettelijke plicht.
  • 14. ANTWOORDEN VOOR AVG BELEID • Geef antwoord op: • Waarom (waartoe verzamel je?) • Hoe • Rechtmatig (gerechtvaardigd) • Juist
  • 15. STAP 2 – LAAT WETEN WAT JE BEWAART Onveranderd maar wel van belang is dat betrokkenen toestemming geven voor het gebruik van hun persoonsgegevens. Alleen wanneer daar een dringende reden van algemeen belang of wetgeving voor is, kunnen persoonsgegevens zonder toestemming worden opgeslagen. Nieuw is dat de betrokkenen moet weten dat zijn persoonsgegevens worden verwerkt en met welk doel. Zijn hebben het recht hun gegevens in te zien en aan te (laten) passen . Bij verenigingen is helder dat persoonsgegevens noodzakelijk zijn voor het lidmaatschap en om deel te nemen aan de activiteiten. Dit laatste geldt ook voor deelname aan activiteiten van een stichting.
  • 16. STAP 2 VERVOLG Pas op met bijzondere persoonsgegevens. Verwerken van bijzondere persoonsgegevens is verboden, tenzij hiervoor een wettelijke uitzondering is of de persoon daar uitdrukkelijk tostemming voor heeft gegeven. Dit zijn persoonsgegevens van gevoelige aard zoals godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging of politieke partij, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag, genetische en biometrische kenmerken. Onder deze laatste vallen vingerafdrukken, stem, handschrift, geometrie van de handomtrek en scans van netvlies, iris en gelaat. Ook medische informatie, bijvoorbeeld over diabetes of allergieën, mag je alleen opslaan als er een wettelijke uitzondering is. Organisaties hebben nu de neiging deze informatie automatisch op te slaan in een bestand. Dat is niet langer toegestaan. Deze informatie moet dus iedere keer gevraagd voor activiteiten waarbij dat van belang is.
  • 17. RECHTEN • De mensen van wie gegevens worden geregistreerd hebben recht op inzage (niet op het krijgen van kopieën). Ook is er het recht om de gegevens te laten verwijderen (vergeetrecht). Alleen de persoon zelf heeft dit recht (m.u.v. curatele / bewind voering) • Wat gerechtvaardigd is om te registreren is afhankelijk van de organisatie. Een school mag bijvoorbeeld ook bijzondere gegevens registeren (ook als ouders die anders wensen). Wat nodig is voor de leerling is hierin het belangrijkste. • Een privacy statement op de website kan verwijzen naar de AVG afspraken. Daarin moet ook staan wat de contactgegevens zijn als mensen bezwaar hebben.
  • 18. RECHTEN (2) • Als er een wet ligt onder de registratie van persoonlijke gegevens blijft die ook onder de AVG van toepassing. • En het moet ook werkbaar zijn. Stel: er is iemand die regelmatig gebruik maakt van rolstoelvervoer. Het is dan logisch om hieromtrent te registeren. Je gaat niet telkens vragen wat voor rolstoel of een scoot mobiel, welke ondersteuning nodig is etc. • Een zwarte lijst (strafrechtelijke zaken) mag alleen met toestemming van betrokkene gemaakt worden.
  • 19. VOG EN ZO • Die mag je bewaren. Maar ga je ook registreren dat een kandidaat dit niet heeft gekregen (en misschien toch vrijwilliger is…). • Van een vrijwilliger mag je geen kopie paspoort of BSN nummer bewaren. Deze zaken mag je alleen gebruiken / registeren als er een wetgeving onder ligt. Bij vrijwilligers is dit niet zo. Ook een kopie van een rijbewijs mag in niet. • Inzien van deze gegevens mag wel je moet nl. wel checken of mensen niet illegaal in het land verblijven. Ze mogen dan ook geen vrijwilligerswerk doen. • Mondeling kan je veel delen, maar alles wat je vastlegt valt onder de AVG.
  • 20. BIJZONDERE GEGEVENS • Er zijn uitzonderingen. Bijvoorbeeld een kerk mag de leden registeren als zijnde lid, de vakbond mag dit ook. Anderen mogen dit niet in hun registraties opnemen. • Bij bijvoorbeeld de VPTZ mag je bijzonderheden noteren (als dit een reden heeft met het matchen van de juiste vrijwilliger) – bijvoorbeeld bidden voor het eten. • Voor kinderen tot en met 16 jaar moet toestemming zijn van ouders om mee te gaan op kamp. Dit moet vastgelegd worden. • NB: mensen die zijn overleden zijn geen personen in de zin van de AVG meer….
  • 21. AANSPRAKELIJK • Degene die registreert is aansprakelijk. Niet degene die de info deelt. • Let op: • Ook aantekeningen die tijdens een gesprek worden gemaakt vallen onder de AVG. • Alleen een papieren archief valt niet onder de AVG.
  • 22. LEDENLIJST Een vereniging mag in principe een ledenlijst beschikbaar stellen aan eigen leden. Het is aan te raden om de ledenvergadering eenmalig te verzoeken om daarmee in algemene zin in te stemmen, mocht dit nog niet gebeurd zijn. De Autoriteit Persoonsgegevens is van oordeel dat het online publiceren van een ledenlijst slechts is toegestaan op een voor leden afgeschermde webpagina. Wil je als vereniging dus mogelijk maken dat leden elkaar kunnen zoeken via jouw app of website, zorg dan dat je die informatie uitsluitend aan eigen leden beschikbaar stelt.
  • 23. STAP 3: VASTLEGGEN HOE DE ORGANISATIE MET DE DATA OMGAAT Organisaties hebben een verantwoordingsplicht in de nieuwe AVG. Dat betekent dat organisaties vastleggen wie verantwoordelijk is voor de data, aan wie informatie wordt verstrekten ook op welke computer deze wordt opgeslagen en op welke wijze deze wordt beschermt tegen virussen en hacken. Niet onbelangrijk; zorg dat de data maar op één computer of één systeem staan. Verspreiding van data over verschillende computers of systemen zonder dat dat is vastgelegd kan uitgelegd worden als datalekken. Er moeten procedures worden opgesteld om personen toegang te geven tot de informatie.
  • 24. STAP 3 VERVOLG Met externe gebruikers van de bestanden, zoals drukkers, verspreiders van de nieuwsbrieven en bijvoorbeeld de koepelorganisatie, moeten overeenkomsten worden opgesteld voor het gebruik van gegevens; de zogenoemde verwerkersovereenkomst (zie verwerkersovereenkomst). In deze overeenkomsten moeten bijvoorbeeld ook afspraken gemaakt worden over het vernietigen van de gegevens na gebruik. Ook wanneer het om de koepelorganisatie gaat, moeten afspraken gemaakt worden over het gebruik van de bestanden. De organisaties maken immers afspraken met de leden over het zorgvuldig bewaren van hun gegevens en daar kan een organisatie op aangesproken worden. (zie privacybeleid)
  • 25. VERWERKEN VAN DATA • Maak een register wie wat en wanneer met een bestand gaat doen. • Als externe partners met gegevens omgaan moeten ze een verwerkingsovereenkomst ondertekenen. Hierin moet in ieder geval staan dat de partner de gegevens vernietigd na het gebruik. • Op de website van het NOV staat hiervan een voorbeeld (…). • Dubbel lidmaatschap (bond en vereniging): hier kan gewoon gegevens uitwisseling plaatsvinden. • Er zijn tools op internet die kunnen helpen bij het maken van beleid. Dit biedt geen AVG proof garantie.
  • 26. VERWERKEN VAN DATA (2) • Werknemers vallen onder het arbeidsrecht, hierin kan ook geheimhouding afgesproken worden. • Bij vrijwilliger die dat niet. De vrijwilligersovereenkomst heeft in die zin ook geen wettelijke (arbeidsrechtelijke) basis. Ook een geheimhoudingsverklaring houdt waarschijnlijk in de rechtszaal geen stand. • Wat wel kan is dat je in de vrijwilligersovereenkomst verwijst naar de AVG. Hiermee zorg je voor een juridische link en sta je sterker. (Bijvoorbeeld in de trant van: als vrijwilliger ga je om met gegevens zoals deze binnen de organisatie / vereniging worden geregistreerd. Hieromtrent zijn afspraken vastgelegd in het AVG beleid. De vrijwilliger is gehouden deze afspraken te volgen). • Verwerker = als je er iets mee gaat doen. Hierbij kan je denken aan het verspreiden van het clubblad of boterletters rondbrengen. Ook een back-up valt onder de regelgeving.
  • 27. VERWERKEN VAN DATA (3) • Bij veel verenigingen kan je jezelf via de website opgeven om lid te worden. Het moet dan helder zijn wat je met de gegevens doet. Let op: vaak wordt ook het IP adres bijgehouden. Hierover moeten afspraak gemaakt worden met de websitebouwer/beheerder. • Nagaan wie er allemaal met de gegevens werkt en waar de gegevens zijn. • Terzijde: Let ook op bij ‘in the cloud’ werken. Waar worden je gegevens verwerkt? Is dat binnen Europa? Dan valt dit onder de AVG (Europese wetgeving). Maar worden gegevens in Amerika verwerkt? Dan hebbende FBI en CIA inzagerecht. • Googledrive / dropbox zijn waarschijnlijk niet veilig. Deze zijn ontworpen voor privé gebruik. De zakelijke versie is wel beter beschermt. Citrix is beter maar kost geld. Mailchimp (adreslijsten) is vermoedelijk ook niet veilig. Deze organisaties / aanbieders zijn vermoedelijk zelf ook aan de slag met het onderwerp AVG. Mogelijk volgen oplossingen.
  • 28. LEDENADMINISTRATIE BEVEILIGEN • De ledenadministratie kan een interessant doelwit zijn voor kwaadwillenden. Zorg dus voor goede technische en organisatorische beveiligingsmaatregelen. • De Autoriteit Persoonsgegevens heeft daarvoor richtsnoeren gepubliceerd, die je hier kunt raadplegen. • https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematische-beleidsregels/beleidsregels-beveiliging-van-persoonsgegevens-2013
  • 29. HOELANG MAG JE GEGEVENS UIT DE LEDENADMINISTRATIE BEWAREN? • Bewaar persoonsgegevens van een uitgetreden lid in principe niet langer dan twee jaar na einde van het lidmaatschap. • Voor informatie die valt onder de fiscale bewaarplicht geldt een langere bewaartermijn, namelijk zeven jaar. • Overleg met de penningmeester binnen de organisatie welke gegevens daarvoor in aanmerking komen. • Sommige informatie zal je wellicht voor statistische, wetenschappelijke of historische doeleinden langer willen bewaren. Dat mag, maar zorg wel dat deze langer bewaarde gegevens niet alsnog voor andere doeleinden worden gebruikt, en onderzoek in hoeverre je de gegevens kunt anonimiseren.
  • 30. STAP 4: STEL ZO NODIG EEN FUNCTIONARIS VOOR DE GEGEVENSBESCHERMING (FG) AAN • Dit is niet verplicht voor alle organisaties. Wel voor overheids- en publieke organisaties, organisaties die persoonsgegevens analyseren (profiling) en wanneer bijzondere persoonsgegevens worden opgeslagen. • Voor organisaties waarvoor een FG niet verplicht is, kan het wel handig zijn een FG aan te stellen. De FG is de centrale persoon die alle persoonsgegevens van de club beheert.
  • 31. STAP 4 (VERVOLG) • Deze FG heeft zeggenschap over de bestanden en legt verantwoording af aan de verantwoordelijke beheerder, meestal het bestuur. • Deze persoon beslist in opdracht van het bestuur over hoe bestanden worden opgeslagen en de procedure voor het beschikbaar stellen van de gegevens. • Ook bestuursleden kunnen alleen via van tevoren vastgelegde procedures gegevens gebruiken. • De FG zorgt er ook voor dat de virusscan op orde is en dat de computer beschermd is tegen hacken.
  • 32. STAP 4 VERVOLG • Voor organisaties die verplicht een Functionaris Gegevensbescherming (FG) moeten aanstellen heeft deze formeel de volgende verplichting: • FG’s mogen alleen handelen in opdracht van de verantwoordelijke; • FG’s worden verplicht een overzicht bij te houden van alle categorieën persoonsgegevens die zij verwerken in opdracht van en verantwoordelijke; • FG’s moeten passende technische en organisatorische beveiligingsmaatregelen nemen die een passend beschermingsniveau bieden met het oog op het risico van de gegevensverwerking voor betrokkenen. FG’s moeten uitgebreide kennis hebben omtrent hun informatiesystemen en de typen data die zij verwerken (is er sprake van bijzondere persoonsgegevens?); • FG’s mogen geen sub-FG’s inschakelen zonder toestemming van de verantwoordelijke, wanneer sub-FG’s worden ingezet moet de FG de nodige technische en organisatorische maatregelen nemen om de veiligheid en integriteit van de data te garanderen; • FG’s moeten de verantwoordelijke onmiddellijk op de hoogte stellen van een datalek. De termijn voor ‘onverwijld’ in de Nederlandse wetgeving wordt in de Wet Meldplicht datalekken vastgesteld op 72 uur na ontdekking van het incident; • FG’s zijn verplicht medewerking te verlenen aan verzoeken van de Autoriteit Persoongegevens; • In bepaalde gevallen moet de FG een Privacy Impact Assessment uitvoeren. Dat is in ieder geval zo bij profiling, het verwerken van bijzondere persoonskenmerken en opslaan van camerabeelden met personen erop.
  • 33. ONZE VERENIGING EEN FG? • Sommige bedrijven zijn hier door de wet waarschijnlijk toe verplicht. Het gaat dan om grote organisaties of bedrijven met bijzondere gegevens. • Verenigingen doen er goed aan om toch iemand aan te stellen die de lead neemt in dit onderwerp. Het is ook mogelijk om mensen hiervoor te certificeren (training van enkele dagen). De persoon die de lead neemt is niet de verantwoordelijk maar is degene die het voortouw neemt.
  • 34. STAP 5: PRIVACY IMPACT ASSESSMENT (PIA) • Hiermee breng je in beeld wat de gevolgen zijn van het verzamelen van persoonsgegevens voor de personen zelf. Dit is afhankelijk van wat met de gegevens gedaan wordt. Wanneer de gegevens verzameld worden voor het versturen van de contributiebrief of een nieuwsbrief is het effect dat mensen lid blijven van de organisatie of dat ze geïnformeerd zijn over de organisatie. Niet voor alle bestanden met persoonsgegevens hoeft daarom een PIA gedaan te worden. Alleen wanneer: • Met de persoonsgegevens systematisch persoonlijke aspecten worden geëvalueerd (profiling) • Op grote schaal bijzondere gegevens worden verwerkt (zie stap 1) • Personen gevolgd worden in publieke ruimte (b.v. door camera toezicht)
  • 35. STAP 5 VERVOLG EN ADVIES • Voor de meeste vrijwilligersorganisaties is een formele PIA niet nodig. Vooral niet omdat alleen contactgegevens verzameld worden en geen persoonskenmerken. • Dit is voor grote organisaties wel verplicht / organisaties met veel bijzondere gegevens. Het is voor verenigingen goed om hier toch naar te kijken (hoeft niet elk jaar). Als je dit onderzoekt kan je er weer een tijdje op teren.
  • 36. STAP 6: VRIJWILLIGERS INFORMEREN OF OPLEIDEN Het is niet de bedoeling dat wanneer je de gegevensbescherming zorgvuldig in beleid en procedures hebt geregeld, de eerste de beste vrijwilliger met persoonsgegevens die nodig zijn bij de uitoefening van de zijn/haar functie, te koop gaat lopen. Ook dat zijn datalekken. Dit kan gaan om gegevens uit de bestanden van de organisatie zelf, maar ook om informatie die een vrijwilliger van een deelnemer of ouder heeft gekregen.
  • 37. ZORGVULDIGHEID • Zorgvuldigheid staat voorop. Penningmeester die hun bestanden thuis op de PC hebben staan terwijl het hele gezin hierbij kan… dus afspraken maken hoe gaat iemand thuis om met de gegevens. Eigenlijk kan het niet meer dat gegevens op een PC staan – gegevens kunnen het beste ‘in the cloud’ opgeslagen worden. Mogelijkheden zijn bijvoorbeeld Tech-soup of g-suite. 1 terabyte pp is gratis. Er is een strikt wachtwoordenbeleid nodig. Het is goed om te kijken waar mensen in de organisatie zich goed bij voelen. AVG is (hoewel het ook werk / tijd vraagt) wel belangrijk. • In toenemende mate worden er oplossingen aangeboden. Bijvoorbeeld door AVG verenigingen. Goed kijken wat het aanbod is.
  • 38. INFORMATIEPLICHT • Je bent als vereniging wettelijk verplicht om betrokkenen op eigen initiatief goed te informeren over welke persoonsgegevens je verwerkt, voor welk doel je dit doet, en welke rechten de betrokkene heeft ten aanzien van zijn persoonsgegevens. • Je legt deze informatie meestal vast in een privacyverklaring. Informeren is niet alleen een kwestie van de wet naleven, maar een mooie kans om te demonstreren dat jouw vereniging de privacy van leden en anderen respecteert. Onthoud: hoe beter je betrokkenen vooraf informeert over wat je doet met hun persoonsgegevens, des te kleiner de kans dat je ze onaangenaam verrast.
  • 39. WANNEER EN HOE? • Zorg ten eerste dat een privacyverklaring eenvoudig is te raadplegen op de website van de vereniging. • Sluiten aan bij de manier waarop je met de betrokkene in contact staat. Schrijft iemand zich in via een fysiek formulier (bijvoorbeeld als lid of deelnemer), voeg dan de privacyverklaring bij ter kennisgeving. Maak je gebruik van een digitaal inschrijfformulier, verwijs dan met een duidelijk zichtbare hyperlink naar de privacyverklaring. • Krijgen deelnemers/leden na hun inschrijving toegang tot een digitale omgeving (zoals een ledenportaal), link dan ook daar naar de privacyverklaring.
  • 40. WAAROVER INFORMEER JE? • De officiële identiteits- en contactgegevens van de vereniging; • De soorten persoonsgegevens die worden verwerkt; • Voor welke doeleinden die verwerkingen plaatsvinden, en op welke grondslag dit plaatsvindt; • Als persoonsgegevens mogelijk worden gedeeld met derde partijen, welke partijen het betreft; • Als persoonsgegevens worden opgeslagen buiten de EU, welke maatregelen er zijn getroffen om een passend beschermingsniveau te waarborgen; • Welke rechten de betrokkene (onder bepaalde omstandigheden) heeft, namelijk het recht op inzage, correctie, verwijdering, data portabiliteit, en het recht van verzet tegen een bepaalde verwerking; • Hoelang persoonsgegevens worden bewaard (of welke criteria daarvoor gelden); • Indien voor bepaalde verwerkingen toestemming wordt gevraagd, de vermelding dat deze te allen tijde mag worden ingetrokken door de betrokkene; • Een vermelding dat iedere betrokkene het recht heeft om een klacht in te dienen bij de Autoriteit Persoonsgegevens; • Als je de persoonsgegevens verwerkt ter uitvoering van een contract of een wettelijke verplichting, vermeldt dit dan, en vermeldt tevens wat de consequentie is als een betrokkene dergelijke persoonsgegevens niet verstrekt (bijvoorbeeld: geen lid kunnen worden van de vereniging); • Als je gebruikmaakt van profilering of geautomatiseerde besluitvorming, vermeldt dit dan uitdrukkelijk. Wees duidelijk • Een betrokkene heeft er niets aan om te lezen dat jij ‘sommige persoonsgegevens’ ‘mogelijk’ voor ‘onderzoek’ gebruikt. Het lijkt misschien aantrekkelijk om jezelf met dit soort vage termen veel ruimte te geven, maar uiteindelijk wek je daarmee vooral argwaan.
  • 41. STAP 7: PROCEDURE OPSTELLEN VOOR HET MELDEN VAN DATALEKKEN Elke organisatie die persoonsgegevens opslaat, is verplicht datalekken te melden binnen 72 uur na ontdekking. Om dit zorgvuldig te doen is het handig vooraf procedures af te spreken. Hierin staat: Wat een datalek is; We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, een gestolen geprinte ledenlijst of cliëntgegevens. Andere voorbeelden zijn cyberaanvallen, verkeerd verzonden e-mail, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usb-sticks.
  • 42. STAP 7 VERVOLG • Bij wie in de organisatie een datalek gemeld moet worden; • Wie binnen de organisatie nog meer geïnformeerd moet worden; • Wie checkt wat er gelekt is; • Hoe in kaart gebracht wordt wat de gevolgen zijn voor de personen van wie de persoonsgegevens gelekt zijn; • Welke gegevens nodig zijn voor de melding. De melding moet in ieder geval bestaan uit: • de aard van de inbreuk; • de instanties of persoon waar meer informatie over de inbreuk kan worden verkregen; • de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken; • een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens; • de maatregelen die de organisatie heeft genomen of voorstelt te nemen om deze gevolgen te verhelpen. • Wie de melding doet bij de Autoriteit Persoonsgegevens. • Meldingen kunnen digitaal gedaan worden bij het meldloket van de Autoriteit Persoonsgegevens: http://datalekken.autoriteitpersoonsgegevens.nl
  • 43. DENK NA OVER DATALEKKEN • Vooraf nadenken over datalekken is lastig. Formeel geldt een meldingsplicht. • Er liggen vragen bij de autoriteiten om het 1e jaar niet gelijk met boetes te strooien maar om te helpen. Hierover is op dit moment nog geen uitspraak. • Bij een melding wordt de melder door vragen heen geleid. Is het klein dat wordt op een bepaald moment in de registratie aangegeven dat de melding voldoende is. Voorbeeld: stick kwijt met gegevens van 25 leden van de vereniging (verloren). Klein maar toch melden. • Mail sturen: mensen meelezen in de bcc en niet in de c.c.. gaat dit fout? Gelijk melden. Dit is in principe waarschijnlijk geen punt als het gemeld wordt. Geen melding: dan kan de autoriteit komen met de vraag waarom er geen melding is gedaan. • Hoe groot of hoe klein het lek is: je kunt het een keer terug krijgen. • Zet op papier wat te doen bij een lek. Bij voorkeur via een functionaris (die kan het protocol uitvoeren) zonder bestuur. • Is het protocol / beleid opnemen: datalekken worden gemeld.
  • 44. OVERIG • Niet zonder toestemming beeldmateriaal van mensen plaatsen: • Privé foto’s mag nog steeds • Foto’s van een publiek (bij bijvoorbeeld een concert) mag (alleen akkoord aan mensen vragen die heel herkenbaar zijn) • In samenwerkingen zijn organisaties in principe zelf verantwoordelijk voor de verwerkingsovereenkomst. Deze moet functioneel zijn. Dit is (voor zover nu bekend) voldoende. • Verwerkingsregister = bijvoorbeeld uitdraai van gegevens • Vastleggen die / wat /wanneer doet. Of aangeven wie wat mag doen qua bijhouden. Of vastleggen wanneer iets gebeurd is.
  • 45. MODELLEN • http://composer.cms-dsb.com/ • https://www.avgjuristen.nl/privacy-statement/ • https://www.autoriteitpersoonsgegevens.nl/sites/default/fi les/atoms/files/avg_in_een_notendop.pdf • Handige tool als je een eenvoudige verklaring zoekt: https://veiliginternetten.nl/privacyverklaring/  filmpje ven deze tool
  • 47. DISCLAIMER • U kunt aan de informatie in deze presentatie geen rechten ontlenen. • Evenmin kan Welzijn Lansingerland / VIP Lansingerland aansprakelijk worden gesteld voor onjuiste en/of onvolledige informatie welke wellicht zou kunnen voorkomen.
  • 48. VOORBEELDEN • https://www.nov.nl/forum/0353_0393_Privacybeleid-Scouting- Nederland-(definitief-september-2016)-(1).pdf • https://www.nov.nl/forum/0218_Privacy-Statement-Scouting- Nederland-(versie-november-2015).pdf • https://vereniging-ion.nl/privacy-statement-van-vereniging-ion • http://www.schaakvereniginghuizen.nl/Privacy-Statement.pdf • http://www.dos-alphen.nl/privacyreglement/ • http://www.mijnhengelsportvereniging.nl/contact/privacy- statement.html • http://www.steltkluut.nl/vereniging/privacy-statement

Editor's Notes

  1. https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematische-beleidsregels/beleidsregels-beveiliging-van-persoonsgegevens-2013