Is jullie organisatie AVG proof?
Is jullie organisatie AVG proof? (privacy wetgeving)
Er is heel veel informatie online te vinden, iedere website heeft wel weer een voorbeeld of stappenplan. Wij proberen in dit artikel een overzicht te maken van handige linkjes en mooie voorbeelden. Aan dit artikel kun je geen rechten ontlenen, wij bieden hulpmiddelen aan maar zijn immers geen jurist.
Veelgehoorde vraag “Is de AVG van toepassing op onze organisatie?”
Zodra informatie te herleiden is tot een natuurlijk persoon, geldt de AVG. Dus bewaren jullie het e-mailadres van je vrijwilliger voor de maandelijkse nieuwsbrief, of het woonadres om de jaarlijkse krant te versturen, of de geboortedatum voor een verjaardagskaart, dan gelden er vanaf 25 mei 2018 strengere regels! Het is jullie plicht om te zorgen voor de juiste verantwoording en beveiliging van deze gegevens. Verwerken jullie bijzondere gegevens, bijvoorbeeld over gezondheid, dan gelden er nog strengere regels
Download de handige checklist als hulpmiddel om met AVG aan de slag te gaan. Checklist AVG.
Verwerkingsregister
In het register noteer je informatie over de persoonsgegevens die jullie organisatie verwerkt:
- welke persoonsgegevens verwerk je
- wat is de grondslag voor deze verwerking
- met welk doel verwerk je deze gegevens
- wat is de bewaartermijn van deze gegevens
Iedere informatie direct of indirect te herleiden tot een natuurlijk persoon vallen onder persoonsgegevens. Bijv. NAW of contactgegevens, geboortedatum, leeftijdsgroep, BSN, ip adres, lidmaatschap vakbond, medische gegevens, video en foto.
Wat er exact in het verwerkingsregister moet staan, lees je op de website van autoriteit persoonsgegevens.
Bekijk hier een Voorbeeld verwerkingsregister
Privacybeleid/privacyverklaring
Het is van belang een ieder te informeren wat er met hun persoonsgegevens gebeurd. Zorg dat je een privacybeleid hebt en kenbaar maakt op de website of per mail aan de betrokkenen.
Stap voor stap een privacyverklaring.
Verwerkersovereenkomst
Zijn er andere partijen aan wie je de persoonsgegevens doorgeeft? Dit kunnen vrijwilligers intern zijn, maar ook externe organisaties zoals een gemeente, de boekhouder, de externe server waar gegevens staan opgeslagen.
Zodra je gegevens doorgeeft, moet je met die persoon een verwerkersovereenkomst sluiten.
Opstelhulp verwerkersovereenkomst.
Beveiliging van persoonsgegevens
Denk goed na wie de gegevens mag verwerken en waar de gegevens zijn opgeslagen:
- Controleer of je website een SSL certificaat heeft, er zijn gratis versies te krijgen, bijvoorbeeld Let’s Encrypt
- Werk je met usb sticks, beveilig deze dan met een wachtwoord
- Sla je gegevens online op, onderzoek dan of het programma een Privacy Shield heeft.
Procedure datalek
Er is sprake van een datalek als er een beveiligingsincident heeft plaatsgevonden, waarbij persoonsgegevens verloren zijn gegaan en/of waarbij het onrechtmatig gebruik daarvan niet kan worden uitgesloten. Voorbeelden hiervan zijn: kwijtraken van een USB -stick, diefstal van een laptop, inbraak door een hacker.
Het is belangrijk dat de juiste personen binnen je organisatie direct op de hoogte raken van een eventueel datalek en vervolgens de juiste handelingen verrichten.
Wil je een datalek melden? Dat kan hier.
De AVG gaat uit van dataminimalisatie. Dit betekent dat organisaties zo min mogelijk persoonsgegevens moeten verwerken en uitsluitend die gegevens die nodig zijn voor het te bereiken doel. Vraag je bij alle te verwerken persoonsgegevens af of deze gegevens echt noodzakelijk zijn voor het doel dat jullie nastreven.
Moet ik een functionaris voor gegevens bescherming (FG) aanstellen?
De FG is een interne toezichthouder. De FG informeert en adviseert over de verplichtingen uit de AVG en ziet toe op de naleving. Het is niet voor iedereen verplicht om een functionaris aan te stellen, lees hierover meer op de website van autoriteit persoonsgegevens.