In september heeft het NOV-netwerk Wet- & Regelgeving veel aandacht besteed aan de Algemene Verordening Gegevensbescherming die mei 2018 in werking treedt. Een regeling die ook alle vrijwilligersorganisaties raakt. Alle organisaties moeten nadenken over welke persoonsgegevens van vrijwilligers, leden, deelnemers en cliënten ze bewaren en hoe ze die beveiligen. De wet kent drie belangrijke thema’s: organisaties moeten nadenken over welke persoonsinformatie ze bewaren, hoe ze de persoonsinformatie beschermen en het melden van datalekken.
Het is nog best ingewikkeld om te bedenken welke informatie van mensen je nodig hebt om goed te functioneren als organisatie. Heb je bijvoorbeeld wel adresgegevens nodig als je met leden communiceert via sociale media en e-mail? En is het noodzakelijk dat we weten wie suikerziekte heeft en moeten dat in het zelfde ledenbestand bewaard worden? Hoe meer persoonlijke informatie in een databestand wordt opgenomen, hoe kwetsbaarder dat bestand is. Deze nieuwe wet verlangt van organisaties dat ze vastleggen in een beleidsplan wat ze aan persoonsgegevens vastleggen en hoe ze die data beschermen.
Nadenken over wie wat mag
De bescherming van gegevens (data) gaat over meer dan alleen het aanstellen van een databeheerder en het beveiligen van de computer waar de persoonsgegevens op staan. De beheerder van de persoonsgegevens gaat ook over wie wel en wie geen gebruik mag maken van de persoonsgegevens en er zullen ook afspraken gemaakt worden met bijvoorbeeld drukkers en andere leveranciers of dienstverleners die gebruik maken van de bestanden bij bijvoorbeeld het verspreiden van clubblad of digitale nieuwsbrief. Belangrijk is dat je vastlegt in een overeenkomst dat zij de bestanden vernietigen na gebruik. Afspraken moet je ook maken met je koepelorganisatie als er uitwisseling plaatsvindt van persoonsgegevens.
Het is niet nodig dat vrijwilligers, deelnemers en cliënten voor ieder gebruik van hun gegevens apart toestemming moeten geven. Wel moet duidelijk zijn wat er met hun gegevens gebeurt. Ook moet er een mogelijkheid zijn dat mensen bezwaar kunnen maken tegen het gebruik van hun persoonsgegevens.
Datalekken?
In de nieuwe wetgeving is het verplicht om datalekken te melden. Zijn er ondanks alle zorgvuldigheid toch persoonsgegevens op straat terecht gekomen? Dan moet je dat melden bij de Autoriteit Persoonsgegevens (AP). Het is verstandig een protocol op te stellen zodat vooraf duidelijk is wie de contactpersoon is voor de AP en hoe je de leden, vrijwilligers, deelnemers en cliënten informeert. Het gaat immers om hun persoonlijke gegevens.
Commerciële aanbieders
Uit de discussie in het netwerk komt naar voren dat vrijwilligersorganisaties benaderd worden door commerciële partijen die hun diensten en producten aanbieden voor de bescherming van persoonsgegevens. Als argument om hun producten te kopen worden de boetes genoemd die kunnen worden opgelegd. De leden van het netwerk vinden het dan ook belangrijk dat er goede en heldere informatie komt over de Algemene Verordening Gegevensbescherming zodat organisaties de juiste beslissing kunnen nemen. NOV zal in dit najaar met een factsheet en stappenplan komen die organisaties ondersteunt bij het voldoen aan deze verordening.
Vriendelijke groet van Ronald Hetem
Ook je kennis delen? Of bij de bron zitten?
Zo’n 6 à 7 keer per jaar komt het netwerk Wet- & Regelgeving bij elkaar. De onderwerpen kunnen heel verschillend zijn, maar gaan altijd (ook) vrijwilligers en hun organisaties aan. Weg met de notulen is sinds kort het motto. Wisselen zullen de leden een blog schrijven over de onderwerpen die ook jou aangaan! Meer informatie krijg je bij mij, Ronald Hetem, viar.hetem@nov.nl