Voor goede doelen

Image1

Hoezo, u kwam er nog niet aan toe?
10 vragen (en antwoorden) over de nieuwe privacy-regels


U bent te laat. Dat weet u zelf ook wel. Sinds 25 mei 2018 moeten ook goede doelen zich houden aan de nieuwe regels op het gebied van bescherming van privacy. En misschien is het maar goed dat niet elke organisatie meteen even scherp wordt gecontroleerd. De maximale boete is overigens wel 20 miljoen euro. Dus is ons advies: maak nu vaart en analyseer (of laat dit doen) wat de Algemene Verordening Gegevensbescherming (AVG) voor uw organisatie betekent. Voor nu en later zet in elk geval de belangrijkste veranderingen voor goede doelen op een rijtje.

1. Waarom nieuwe wettelijke regels? Omdat de wereld snel verandert en digitalisering de norm is. De Europese Unie heeft hierbij het voortouw genomen: de oude richtlijn Databescherming uit 1995 is vervangen door een nieuwe (de General Data Protection Regulation - GDPR), in Nederland vertaald in de Algemene Verordening Gegevensbescherming (AVG). De AVG was al op 25 mei 2016 in werking getreden, maar iedereen had precies twee jaar de tijd om zich voor te bereiden op de daadwerkelijke toepassing.

2. Wat zijn de grootste veranderingen? Doel van de nieuwe wetgeving is vooral de privacy van burgers beter te beschermen. In de wet staan de versterkte en uitgebreidere privacy-rechten nauwkeurig omschreven. Organisaties als overheidsinstellingen, ondernemingen, maar ook goede-doelenorganisaties hebben meer verantwoordelijkheden dan onder de oude wetgeving. Ze moeten hun zaakjes op orde hebben als het gaat om de verwerking van persoonsgegevens en kunnen hierop worden aangesproken (en in het uiterste geval zwaar worden bestraft) door de Autoriteit Persoonsgegevens. Goed om te weten is dat het niet de toezichthouder is die moet bewijzen dat een organisatie de wet heeft overtreden, maar dat de organisatie zelf moet aantonen dat ze de wet heeft nageleefd. Volgens dit zogeheten accountability principe moet een organisatie dus laten zien dat ze haar uiterste best heeft gedaan de regels te respecteren. Vandaar dus ook dat u de laatste weken voortdurend met lastiggevallen door organisaties die u hun privacyregels nog maar eens wilden uitleggen.De belangrijkste wettelijke regels zijn dat u transparant bent over de verwerking van persoonsgegevens, dat u alleen gegevens verwerkt voor een specifiek doel, dat u er niet meer verwerkt dan voor dit doel noodzakelijk is en dat u de gegevens goed beveiligt.


3. Wanneer heeft een organisatie te maken met de nieuwe AVG? De wetgeving heeft betrekking op elke organisatie die ‘persoonsgegevens’ verwerkt. En ‘verwerken’ is een ruim begrip; alleen al het opslaan van e-mailadressen valt eronder. We spreken van persoonsgegevens als een (natuurlijk) persoon ermee geïdentificeerd kan worden. Dat kan met een naam zijn, maar ook een IP-adres of een ander nummer waarmee iemand kan worden herkend. Het doet er niet toe of gegevens versleuteld worden opgeslagen, alleen als ze echt niet meer tot een persoon te herleiden zijn, beschouwen we het niet meer als persoonsgegevens. Conclusie: als u een sterkere band heeft met uw donateurs, dan dat ze anoniem af en toe wat geld in een collectebus doen, ga er dan gerust van uit dat de AVG ook op uw organisatie betrekking heeft.Belangrijk om te weten is verder nog dat de AVG ook geldt voor partijen die in opdracht van u gegevens verwerken. Dat geldt bijvoorbeeld als u uw marketingactiviteiten uitbesteedt aan een online marketingbureau. In dat geval moet een verwerkersovereenkomst gesloten zijn, waarin is vastgelegd waarvoor persoonsgegevens gebruikt mogen worden, hoe ze beveiligd zijn en hoe daarop toezicht wordt gehouden.


4. Hoe weet u of u persoonsgegevens mag verwerken? Als we het hebben over ‘gewone’ persoonsgegevens, dan zegt de wet dat hiervoor een ‘grondslag’ nodig is. Bijzondere persoonsgegevens (over bijvoorbeeld religie, gezondheid of ras) en strafrechtelijke persoonsgegevens laten we hier even buiten beschouwing. Daarvoor ligt de drempel nog hoger, maar de meeste goede doelen zullen hier weinig mee te maken hebben.In de AVG worden zes grondslagen genoemd die het verwerken van gewone persoonsgegevens toelaatbaar maken. Op de meeste van deze wettelijke grondslagen zullen goede doelen zich in het algemeen niet kunnen beroepen. Een belangrijke grondslag kan wel zijn dat de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst. Een vrij logische bepaling, je moet immers vastleggen met wie je precies een overeenkomst aangaat. Let er echter wel op dat u geen persoonsgegevens verwerkt die voor de uitvoering van de overeenkomst niet strikt noodzakelijk zijn. Dan gaat u uw boekje te buiten.

Een andere belangrijke grondslag om u op te kunnen beroepen is toestemming van de persoon op wie de gegevens betrekking hebben. Ook logisch, maar let er wel op dat de manier waarop u toestemming vraagt aan strenge eisen moet voldoen. U mag iemand niet onder druk zetten (of benadelen als hij of zij geen toestemming geeft), u mag niet uitgaan van het principe ‘wie zwijgt stemt toe’ (het geven van toestemming moet een duidelijk actieve handeling zijn), de betrokkene moet goed geïnformeerd zijn over zaken als de identiteit van uw organisatie, waarvoor u precies toestemming vraagt, welke persoonsgegevens u verzamelt en gebruikt en dat men het recht heeft de toestemming weer in te trekken. Verder moet de toestemming steeds gelden voor een specifieke verwerking en een specifiek doel (dat niet gaandeweg mag veranderen zonder opnieuw toestemming te vragen). En dan niet het minst belangrijke: u moet als organisatie kunnen aantonen dat u geldige toestemming heeft verkregen. Ook dat past in de ruimere verantwoordelijkheid die bij organisaties is gelegd.

5. Wat betekent dit voor de e-mail-nieuwsbrieven die u verstuurt? In de praktijk zijn de mogelijkheden om deze nieuwsbrieven in te zetten niet veel anders geworden dan onder de vroegere wetgeving, maar nogmaals: u zult wel moeten kunnen aantonen dat u de regels netjes heeft nageleefd.Dat betekent bijvoorbeeld:
- De aanmelding voor de nieuwsbrief is vrijwillig gegeven (met een actieve handeling) en bijvoorbeeld niet onderdeel van algemene voorwaarden.
- De ontvanger moet weten waarvoor zijn gegevens worden gebruikt en voor elk doel moet apart toestemming gegeven worden.
- De mail moet een link bevatten waarmee de ontvanger zich eenvoudig kan uitschrijven.
- De organisatie die de mails verstuurt, moet altijd kunnen aantonen hoe de toestemmingen zijn verzameld.

En juist dat laatste kon niet elke organisatie. Daarom heeft de afgelopen weken zoveel mails ontvangen waarin u (nogmaals) gevraagd werd die toestemming te geven. Hoewel, het kan natuurlijk ook zijn dat organisaties de nieuwe AVG hebben gebruikt als voorwendsel om weer eens contact te kunnen leggen met lang vergeten doelgroepen. Wie zal het zeggen?


6. Welke rechten hebben donateurs en andere personen van wie je gegevens bewaard? Ook die staan duidelijk omschreven in de AVG. Zo heeft iedereen van wie u de persoonsgegevens bewaart recht op inzage (en ook uitleg over het doel waarvoor ze bewaard worden) en recht op rectificatie van verkeerde gegevens. Nieuw is onder andere dat mensen het recht hebben om organisaties te vragen hun persoonsgegevens te verwijderen, officieel het recht op vergetelheid genoemd.

7. Wat moet ik doen bij een data-lek; als persoonsgegevens onverhoopt in de openbaarheid komen? Wie zegt dat hij nog nooit te maken heeft gehad met een data-lek, is niet heel geloofwaardig. Een mail met in het aan- of cc-adresveld een lijstje met mailadressen is feitelijk al een data-lek… en wie heeft nog nooit per ongeluk zo’n mail gestuurd?
Zo gauw het iets serieuzer wordt dan dit, moet een data-lek gemeld worden bij de Autoriteit Persoonsgegevens. Dat moet gebeuren binnen 72 uur nadat het data-lek aan het licht is gekomen. Dit geldt als er een risico bestaat voor de rechten en vrijheden van betrokkenen.

8. Is het echt allemaal zo helder als we het hier opschrijven? Een wet kan nooit alles regelen; er zijn altijd uitzonderingen en twijfelgevallen. In de praktijk zal de komende tijd blijken hoe rechters in de EU oordelen over individuele privacy-kwesties. Die jurisprudentie zorgt voor meer duidelijkheid in de praktijk. Op sociale media is de discussie inmiddels al in volle gang. Wat moet je bijvoorbeeld doe als je een feestelijk congres organiseert en de foto’s daarvan graag op je website wilt publiceren? Moet iedere congresdeelnemer hiervoor dan van tevoren toestemming geven? En hoe regel je het als 30 van de 100 deelnemers die toestemming niet geven? Moet je hun gezichten dan blurren of moet je ze buiten het gezicht van de camera’s houden. Of valt dit allemaal onder het (journalistieke) recht op vrije informatieverstrekking? De praktijk zal het leren.Officieel is de Autoriteit Persoonsgegevens op 25 mei met de handhaving van de nieuwe AVG. De Tweede Kamer heeft kort geleden aangedrongen op een ‘hulpvaardige’ opstelling van de toezichthouder, dat wil zeggen: beboet alleen wie bewust een loopje neemt met de wetgeving. Ook wil het parlement de nieuwe wetgeving binnen zes maanden evalueren om na te gaan wat werkbaar is en wat niet.


9. Wat staat goede doelen nu te doen? Als u echt nog niets heeft gedaan, dan is het nu benen maken. Belangrijk is dat u als organisatie een goed privacy-verhaal hebt. Dat heeft u als in elk geval de volgende zaken beschikbaar zijn:
a) Een privacyverklaring met uitleg over de wijze waarop u persoonsgegevens opslaat (en uiteraard informeert u de personen van wie u gegevens opslaat).
b) Eventuele verwerkersovereenkomsten, met onder andere alle partijen die gegevens uit uw systemen gebruiken; hierin staat duidelijk omschreven hoe de gegevens kunnen worden gebruikt.
c) Een toestemmingsregister, waarin wordt geregistreerd wie aan u precies toestemming heeft gegeven voor het opslaan van welke gegevens, en ook hoe deze toestemming is gegeven.

Voor grotere organisaties (meer dan 250 werknemers) gelden aanvullende regels; dan moet u bijvoorbeeld een register van verwerkingsactiviteiten hebben (met daarin een overzicht van welke gegevens wanneer zijn verwerkt en wie toegang heeft tot deze gegevens).


10. Waar is meer informatie beschikbaar? De brancheorganisatie van goede doelen ( Goede Doelen Nederland ) heeft veel informatie over de gevolgen van de nieuwe AVG. Dat geldt ook voor het netwerk en kennisplatform Nederland Filantropieland ; ook deze organisatie werkt vooral voor eigen leden.

Aan te raden is ook de Quick scan voor AVG/GDPR/WBP van het Kenniscentrum Filantropie . Een handige tool voor goede doelen.

Gebruiksvriendelijk is ook de Regelhulp van de Autoriteit Persoonsgegevens

En voor wie echt het naadje van de kous wil weten is een aanrader: Handleiding Algemene verordening gegevensbescherming - PDF (Ministerie van Veiligheid en Justitie)

Sdu Uitgever