Voor goede doelen

Image1

Nog een paar weken te gaan: 10 vragen (en antwoorden) over de nieuwe privacy-regels


Een beetje paniek is er wel rond de nieuwe wettelijke regels voor het verwerken van persoonsgegevens. Googel maar eens: veel commerciële partijen nemen u maar al te graag bij de hand bij de implementatie van de Algemene Verordening Gegevensbescherming (AVG). En één ding is in elk geval waar: op 25 mei moeten ook goede doelen zich houden aan de nieuwe regels en hét dreigement is vrijwel niemand ontgaan: wie zich niet aan de regels houdt, riskeert een boete van maximaal 20 miljoen euro. Loopt het echt zo’n vaart? Voor nu en later zet de belangrijkste veranderingen voor goede doelen op een rijtje.

1. Waarom nieuwe wettelijke regels? Omdat de wereld snel verandert en digitalisering de norm is. De Europese Unie heeft hierbij het voortouw genomen: de oude richtlijn Databescherming uit 1995 is vervangen door een nieuwe (de General Data Protection Regulation - GDPR), in Nederland vertaald in de Algemene Verordening Gegevensbescherming (AVG). Voor wie het precies weten wil: deze vervangt de Wet bescherming persoonsgegevens. De AVG is al op 25 mei 2016 in werking getreden, maar iedereen heeft precies twee jaar de tijd gekregen om zich voor te bereiden op de daadwerkelijke toepassing.

2. Wat zijn de grootste veranderingen? Doel van de nieuwe wetgeving is vooral de privacy van burgers beter te beschermen. In de wet staan de versterkte en uitgebreidere privacy-rechten nauwkeurig omschreven. Organisaties als overheidsinstellingen, ondernemingen, maar ook goede-doelenorganisaties krijgen meer verantwoordelijkheden dan onder de oude wetgeving. Ze moeten hun zaakjes op orde hebben als het gaat om de verwerking van persoonsgegevens en kunnen hierop worden aangesproken (en in het uiterste geval zwaar worden bestraft) door de Autoriteit Persoonsgegevens. Goed om te weten is dat het niet de toezichthouder is die moet bewijzen dat een organisatie de wet heeft overtreden, maar dat de organisatie zelf moet aantonen dat ze de wet heeft nageleefd. Volgens dit zogeheten accountability principe moet een organisatie dus laten zien dat ze haar uiterste best heeft gedaan de regels te respecteren. De belangrijkste regels zijn dat u transparant bent over de verwerking van persoonsgegevens, dat u alleen gegevens verwerkt voor een specifiek doel, dat u er niet meer verwerkt dan voor dit doel noodzakelijk is en dat u de gegevens goed beveiligt.

3. Wanneer heeft een organisatie te maken met de nieuwe AVG? De nieuwe wetgeving heeft betrekking op elke organisatie die ‘persoonsgegevens’ verwerkt. En ‘verwerken’ is een ruim begrip; alleen al het opslaan van e-mailadressen valt eronder. We spreken van persoonsgegevens als een (natuurlijk) persoon ermee geïdentificeerd kan worden. Dat kan met een naam zijn, maar ook een IP-adres of een ander nummer waarmee iemand kan worden herkend. Het doet er niet toe of gegevens versleuteld worden opgeslagen, alleen als ze echt niet meer tot een persoon te herleiden zijn, beschouwen we het niet meer als persoonsgegevens. Conclusie: als u een sterkere band heeft met uw donateurs, dan dat ze anoniem af en toe wat geld in een collectebus doen, ga er dan gerust van uit dat de AVG ook op uw organisatie betrekking heeft. Belangrijk om te weten is verder nog dat de AVG ook geldt voor partijen die in opdracht van u gegevens verwerken. Dat geldt bijvoorbeeld als u uw marketingactiviteiten uitbesteedt aan een online marketingbureau. In dat geval moet een verwerkersovereenkomst gesloten worden, waarin is vastgelegd waarvoor persoonsgegevens gebruikt mogen worden, hoe ze beveiligd zijn en hoe daarop toezicht wordt gehouden.

4. Hoe weet u of u persoonsgegevens mag verwerken? Als we het hebben over ‘gewone’ persoonsgegevens, dan zegt de wet dat hiervoor een ‘grondslag’ nodig is. Bijzondere persoonsgegevens (over bijvoorbeeld religie, gezondheid of ras) en strafrechtelijke persoonsgegevens laten we hier even buiten beschouwing. Daarvoor ligt de drempel nog hoger, maar de meeste goede doelen zullen hier weinig mee te maken hebben. In de AVG worden zes grondslagen genoemd die het verwerken van gewone persoonsgegevens toelaatbaar maken. Op de meeste van deze wettelijke grondslagen zullen goede doelen zich in het algemeen niet kunnen beroepen. Een belangrijke grondslag kan wel zijn dat de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst. Een vrij logische bepaling, je moet immers vastleggen met wie je precies een overeenkomst aangaat. Let er echter wel op dat u geen persoonsgegevens verwerkt die voor de uitvoering van de overeenkomst niet strikt noodzakelijk zijn. Dan gaat u uw boekje te buiten. Een andere belangrijke grondslag om u op te kunnen beroepen is toestemming van de persoon op wie de gegevens betrekking hebben. Ook logisch, maar let er wel op dat de manier waarop u toestemming vraagt aan strenge eisen moet voldoen. U mag iemand niet onder druk zetten (of benadelen als hij of zij geen toestemming geeft), u mag niet uitgaan van het principe ‘wie zwijgt stemt toe’ (het geven van toestemming moet een duidelijk actieve handeling zijn), de betrokkene moet goed geïnformeerd zijn over zaken als de identiteit van uw organisatie, waarvoor u precies toestemming vraagt, welke persoonsgegevens u verzamelt en gebruikt en dat men het recht heeft de toestemming weer in te trekken. Verder moet de toestemming steeds gelden voor een specifieke verwerking en een specifiek doel (dat niet gaandeweg mag veranderen zonder opnieuw toestemming te vragen). En dan niet het minst belangrijke: u moet als organisatie kunnen aantonen dat u geldige toestemming heeft verkregen. Ook dat past in de ruimere verantwoordelijkheid die bij organisaties wordt gelegd.

5. Wat betekent dit voor de e-mail-nieuwsbrieven die u verstuurt? In de praktijk zullen de mogelijkheden om deze nieuwsbrieven in te zetten niet veel anders worden dan onder de vroegere wetgeving, maar nogmaals: u zult wel moeten kunnen aantonen dat u de regels netjes heeft nageleefd. Dat betekent bijvoorbeeld:
- De aanmelding voor de nieuwsbrief is vrijwillig gegeven (met een actieve handeling) en bijvoorbeeld niet onderdeel van algemene voorwaarden.
- De ontvanger moet weten waarvoor zijn gegevens worden gebruikt en voor elk doel moet apart toestemming gegeven worden.
- De mail moet een link bevatten waarmee de ontvanger zich eenvoudig kan uitschrijven.
- De organisatie die de mails verstuurt, moet altijd kunnen aantonen hoe de toestemmingen zijn verzameld.

6. Welke rechten hebben donateurs en andere personen van wie je gegevens bewaard? Ook die staan duidelijk omschreven in de AVG en reken er maar op dat slimmeriken (al was het alleen maar om u te testen) er bij veel goede doelen al op korte termijn om zullen vragen. Dan kunt u beter niet met uw mond vol tanden staan. Zo heeft iedereen van wie u de persoonsgegevens bewaart recht op inzage (en ook uitleg over het doel waarvoor ze bewaard worden) en recht op rectificatie van verkeerde gegevens. Nieuw is onder andere dat mensen het recht hebben om organisaties te vragen hun persoonsgegevens te verwijderen, officieel het recht op vergetelheid genoemd.

7. Wat moet ik doen bij een data-lek; als persoonsgegevens onverhoopt in de openbaarheid komen? Wie zegt dat hij nog nooit te maken heeft gehad met een data-lek, is niet heel geloofwaardig. Een mail met in het aan- of cc-adresveld een lijstje met mailadressen is feitelijk al een data-lek… en wie heeft nog nooit per ongeluk zo’n mail gestuurd? Zo gauw het iets serieuzer wordt dan dit, moet een data-lek al gauw gemeld worden bij de Autoriteit Persoonsgegevens. Dat moet gebeuren binnen 72 uur nadat het data-lek aan het licht is gekomen. Dit geldt als er een risico bestaat voor de rechten en vrijheden van betrokkenen.

8. Is het echt allemaal zo helder als we het hier opschrijven? Een wet kan nooit alles regelen; er zijn altijd uitzonderingen en twijfelgevallen. In de praktijk zal moeten blijken hoe rechters in de EU oordelen over individuele privacy-kwesties. Die jurisprudentie zorgt voor meer duidelijkheid in de praktijk. Officieel begint de Autoriteit Persoonsgegevens vanaf 25 mei met de handhaving van de nieuwe AVG. De Tweede Kamer heeft kort geleden aangedrongen op een ‘hulpvaardige’ opstelling van de toezichthouder, dat wil zeggen: beboet alleen wie bewust een loopje neemt met de wetgeving. Ook wil het parlement de nieuwe wetgeving binnen zes maanden evalueren om na te gaan wat werkbaar is en wat niet.

9. Wat staat goede doelen nu te doen? Als u nog niets heeft gedaan, dan moet u nu echt opschieten. Belangrijk is dat u als organisatie een goed privacy-verhaal hebt. Dat heeft u als in elk geval de volgende zaken beschikbaar zijn:
a) Een privacyverklaring met uitleg over de wijze waarop u persoonsgegevens opslaat (en uiteraard informeert u de personen van wie u gegevens opslaat).
b) Eventuele verwerkersovereenkomsten, met onder andere alle partijen die gegevens uit uw systemen gebruiken; hierin staat duidelijk omschreven hoe de gegevens kunnen worden gebruikt.
c) Een toestemmingsregister, waarin wordt geregistreerd wie aan u precies toestemming heeft gegeven voor het opslaan van welke gegevens, en ook hoe deze toestemming is gegeven. Voor grotere organisaties (meer dan 250 werknemers) gelden aanvullende regels; dan moet u bijvoorbeeld een register van verwerkingsactiviteiten samenstellen (met daarin een overzicht van welke gegevens wanneer zijn verwerkt en wie toegang heeft tot deze gegevens).

10. Waar is meer informatie beschikbaar? De brancheorganisatie van goede doelen (Goede Doelen Nederland) heeft veel informatie over de gevolgen van de nieuwe AVG en organiseert ook regelmatig bijeenkomsten voor leden over dit onderwerp. Dat geldt ook voor het netwerk en kennisplatform Nederland Filantropieland; ook deze organisatie werkt vooral voor eigen leden.

Aan te raden is ook de Quick scan voor AVG/GDPR/WBP van het Kenniscentrum Filantropie. Een handige tool voor goede doelen die nog moeten beginnen.

Gebruiksvriendelijk is ook de Regelhulp van de Autoriteit Persoonsgegevens

En voor wie echt het naadje van de kous wil weten is een aanrader: Handleiding Algemene verordening gegevensbescherming - PDF (Ministerie van Veiligheid en Justitie)

Sdu Uitgever