AVG voor verenigingen: Wat moet de vereniging allemaal regelen? Een overzicht.

private-property-sign-2734551_1920

Veel verenigingen en stichtingen vragen zich af wat zij nu allemaal moeten doen voor de AVG. Dat zal per vereniging verschillend zijn. In deze blog een overzicht van wat er allemaal geregeld moet worden.

Werkwijze AVG

  1. Inventarisatie van persoonsgegevens. Maak een overzicht van wie welke gegevens in de vereniging bewaart en hoe.
  2. Ga na met welke derde partijen de vereniging samenwerkt en aan wie gegevens worden doorgegeven. Denk aan (online) leveranciers van verenigingspakketten en ledenadministraties, banken, websitebouwers, boekhouders.
  3. Bekijk of het wel nodig is dat al deze mensen toegang hebben tot gegevens, of er bestanden verwijderd of opgeschoond moeten worden. Het is beter een algemeen systeem te hebben waar gegevens op één plek bewaard worden. Verenigingspakketten kunnen vaak zo ingesteld worden dat mensen alleen toegang krijgen tot gegevens die voor hun taak ook daadwerkelijk nodig zijn. Ga geen word- of exceldocumenten doorgeven en zet bestanden ook niet op USB-sticks.
  4. bepaal wat de bewaartermijnen van gegevens zijn.
  5. Verwerkt de vereniging alleen algemene persoonsgegevens of ook bijzondere of strafrechtelijke persoonsgegevens?
  6. Bekijk op welke grondslag je de gegevens verwerkt. Er zijn 6 grondslagen voor algemene gegevens en 10 grondslagen voor bijzondere persoonsgegevens. Staat je grondslag er niet tussen? Verwijder dan de gegevens.
  7. Ga na of de vereniging een functionaris gegevensbescherming moet aanstellen. Dit zal voor de meeste verenigingen niet nodig zijn. Wel is het aan te raden om iemand binnen de vereniging aan te stellen die het privacybeleid in het oog houdt.
  8. Ga na of de vereniging een data protection impact assessment moet uitvoeren. Voor veel verenigingen zal dit niet van toepassing zijn.
  9. Bepaal aan welke beveiligingseisen de vereniging moet voldoen en zorg dat de beveiliging up to date is. Zorg ook dat gebruikte algemene software van de vereniging up to date is.
  10. Als de vereniging dit allemaal helder heeft, zorg dan voor een online privacyverklaring  waarin dit beleid staat. Zet deze op de website, inschrijvingsformulieren voor lidmaatschap, aktiviteiten en evenementen van de vereniging.
  11. Geeft de vereniging gegevens aan derden (zal al snel het geval zijn, zie punt 2) dan moet zij een verwerkersovereenkomst sluiten met elke partij. Dit is een verplichting voor zowel verwerker (derde partij) als verwerkersverantwoordelijke (vereniging).
  12. Stel het administratiesysteem zó in, dat alleen gegevens worden gevraagd die strikt noodzakelijk zijn en dat de risico’s van datalekken verkleint (privacy bij default).
  13. Geef informatie en bijscholing aan medewerkers en vrijwilligers die met persoonsgegevens werken. Dit zal regelmatig herhaald moeten worden als er nieuwe medewerkers of vrijwilligers zijn. Sluit een vrijwilligersovereenkomst met een geheimhoudingsverklaring met de vrijwilligers.
  14. Stel een register van verwerkingsactiviteiten op. Deze zal elke vereniging nodig hebben omdat gegevens niet incidenteel maar standaard bewaard worden. Hierover volgt nog een blog.

Algemene tips:

  • Vraag toestemming om gegevens te verwerken. Zet deze vraag op het (online) inschrijvingsformulier voor lidmaatschap, activiteiten en evenementen van de vereniging. Denk ook aan toestemming voor het maken van foto’s en video’s die digitaal gebruikt worden. Richt het administratiesysteem zó in, dat een gegeven toestemming ook weer ingetrokken kan worden. Zet er ook altijd een link naar het privacystatement bij.
  • Deel nooit persoonsgegevens met anderen en gebruik ze niet voor andere doeleinden dan waarvoor ze gegeven zijn. Let met name op het feit dat sommige mensen toegang hebben tot persoonsgegevens van de vereniging en deze niet gaan gebruiken voor reclameactiviteiten voor activiteiten van andere verenigingen of eigen bedrijven. Laat mensen desnoods een geheimhoudingsverklaring tekenen.
  • Test regelmatig de beveiliging.
  • Bekijk of de vereniging dezelfde doelen kan behalen met minder persoonsgegevens.
  • Doordat de vereniging intensief bezig is met persoonsgegevens en de procedures daaromheen, komt vaak aan het licht dat statuten verouderd zijn. Zijn de statuten ouder dan 7 jaar? Stel ze dan opnieuw op. Er zijn de laatste jaren veel zorgvuldigheidsnormen vastgesteld in de rechtspraak. Deze staan nooit in de statuten, maar in voorkomend geval moet het bestuur zich hier wel aan houden. Het is daarom beter om ze in de statuten op te nemen zodat het bestuur weet wat het moet doen.

Verenigingen en stichtingen kunnen gebruik maken van de regelhulp van de autoriteit persoonsgegevens.

De handleiding Algemene verordering gegevensbescherming van het Ministerie van Justitie is hier te downloaden. Het is een handboek van 98 pagina’s dat zeer vele vragen beantwoord over de AVG.

Wat kan Legal Letters doen voor verenigingen?

  • Verzorgen van bijscholingen aan medewerkers en vrijwilligers
  • Opstellen van privacyverklaring
  • Opstellen van de verwerkersovereenkomst
  • Opstellen van conceptstatuten
  • Opstellen van vrijwilligersovereenkomsten
  • Opstellen van geheimhoudingsverklaring

mr. Marjo Vink

cropped-2016-visitekaartje-voorkant3.jpg