AVG / GDPR in de vrijwilligerswerk sector: informatie, stappenplan en tips

Is de vrijwillige sector (en jouw organisatie) klaar voor de invoering van de GDPR /AVG eind mei 2018? Dit blog geeft een overzicht van de AVG verplichtingen die er in het algemeen zijn, maakt de vertaalslag naar de vrijwillige sector en een stappenplan hoe je hier als vrijwilligersorganisatie, welzijnsorganisatie of vrijwilligerscentrale mee aan de slag kunt.

Waarom de AVG?

AVG

Per 25 mei wordt de Algemene Verordening Gegevensbescherming (AVG, of GDPR in Europa) gehandhaafd. De AVG vervangt de huidige Wet bescherming persoonsgegevens (Wbp). Het doel van de nieuwe wet: bescherming van de privacy doordat individuen het recht krijgen om hun opgeslagen gegevens in te zien, te wijzigen, verwijderen of zelfs over te dragen naar een andere partij. Voor de informele hulp- en vrijwilligerswerksector natuurlijk heel wenselijk.

De handhaving van de AVG wet door de Autoriteit Persoonsgegevens (AP) zal naar verwachting scherp zijn. Boetes voor nalatigheid kunnen oplopen tot 20 miljoen euro of 4% van je omzet. Nog een extra reden dus om zo snel mogelijk aan de AVG eisen te voldoen!

Ingewikkelde vertaalslag AVG naar praktijk

De vertaalslag van de AVG naar de praktijk is ingewikkeld. De ruim 99 wetteksten in algemene juridische bewoording zorgen voor een uitdaging voor iedere organisatie in Nederland. Wellicht nog wel meer in de vrijwillige sector, die vanwege de privacy gevoelige informatie van kwetsbare inwoners extra aandacht verdient. Dit blog geeft een overzicht van de AVG verplichtingen die er in het algemeen zijn, een vertaalslag naar de wereld van vrijwillige inzet en een stappenplan hoe je hier als vrijwilligersorganisatie, welzijnsorganisatie of vrijwilligerscentrale mee aan de slag kunt.

Verplichtingen van AVG

De invoering van de AVG brengt de volgende verplichtingen voor organisaties met zich mee:

  • Je bent verplicht een duidelijke en zichtbare privacyverklaring op je website te plaatsen.
  • Je moet een register van verwerkingen aanleggen.
  • Je hebt toestemming nodig van de personen van wie je gegevens verwerkt.
  • Je moet bewijzen (actief aantonen!) hoe en wanneer die toestemming verkregen is.
  • Je mag persoonsgegevens alleen gebruiken voor het doel waarvoor je ze oorspronkelijk hebt gevraagd.
  • Personen van wie je gegevens verwerkt, hebben het recht hun persoonsgegevens in te zien, aan te passen, te verwijderen of over te dragen naar een andere organisatie (dataportabiliteit). Let op: je bent ook verantwoordelijk voor bv het verwijderen van de gegevens bij de organisaties met wie je samenwerkt (bv een welzijnsorganisatie, een usb stick of Mailchimp).
  • Je moet met documenten kunnen aantonen dat je de juiste organisatorische en technische maatregelen hebt genomen om aan de AVG te voldoen (accountability).
  • Je bent verplicht bewerkersovereenkomsten te hebben met alle organisaties die voor jou persoonsgegevens verwerken.
  • Je hebt meldplicht bij datalekken, dat doe je bij het Meldloket datalekken.
  • Je hebt de verplichting om privacy ontwikkelingen te volgen en verwerken.
  • Je bent verplicht bij ontwikkeling van nieuwe werkwijzen en systemen het beschermen van persoonsgegevens direct te borden (Privacy by Design).

Speciale verplichtingen vrijwilligerswerksector

In de vrijwilligerswerk sector wordt gewerkt met verschillende soorten persoonsgegevens:  normale persoonsgegevens, bijzondere persoonsgegevens en gevoelige persoonsgegevens. Dit levert extra verplichtingen op voor deze sector:

  • De algemene verplichtingen zoals hierboven beschreven gelden voor normale persoonsgegevens. Dit zijn gegevens die herleidbaar zijn tot een individu zoals naam, adres, woonplaats (NAW), telefoonnummer, e-mailadres of geboortedatum.
  • Daarnaast kent de AVG wetgeving bijzondere persoonsgegevens. Deze mag je niet verwerken tenzij je voldoet aan een groot aantal verplichtingen, waaronder uitdrukkelijke toestemming of op rechtsgrond. Bijzondere persoonsgegevens zijn gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken. Ook genetische of biometrische gegevens (foto's) met het oog op de uniek identificatie van een persoon, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
  • Ten slotte kent de Autoriteit Persoonsgegevens nog gevoelige persoonsgegevens. Deze staan niet als zodanig in de AVG maar zijn door de AP toegevoegd. Dit zijn bijvoorbeeld financiële gegevens maar ook gegevens die zouden kunnen leiden tot stigmatisering of uitsluiting van een betrokkene (zoals bijvoorbeeld gegevens over een gokverslaving of problemen op het werk of school).

Naast het feit dat méér gegevens onder de AVG wetgeving zullen vallen, is de AVG ook strenger op de bescherming van deze gegevens. Wanneer je werkt voor een overheidsinstantie, stelselmatig en op grote schaal persoonsgegevens verwerkt of hoofdzakelijk ‘bijzondere persoonsgegevens’ verwerkt dan wordt het met de komst van de AVG verplicht om een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is waarschijnlijk van toepassing voor grotere vrijwilligerswerkorganisaties, welzijnsorganisaties en vrijwilligerscentrales.

Houdt er ook rekening mee dat de bestaande wetten en regels over privacy blijven gelden zoals de WGBO, Wet BIG, Zvw of Wet cliëntenrechten bij elektronische verwerking van gegevens maar dat de AVG hier leidend zal zijn. Als het gaat om bijvoorbeeld een wet op basis waarvan je gegevens moet verzamelen of bewaren, zul je volgens de AVG deze wetgeving moeten kunnen duiden en verklaren als wettelijke grondslag.

Stappenplan en concrete tips AVG implementatie

Om jouw organisatie klaar te stomen voor de AVG hebben we een concreet stappenplan inclusief handige praktijk voorbeelden en tips opgesteld. Het stappenplan kun je hier gratis downloaden:

Naam (verplicht)

E-mailadres (verplicht)

Organisatie (verplicht)

 

 

Meer weten over ons? Lees hier verder over ons matchingsplatform voor vrijwillige inzet en burenhulp, onze werkwijze of bekijk de ervaring van onze klanten.

Kleine disclaimer: deze blogpost is -hoewel geschreven met een AVG expert- geen juridisch advies. We raden je van harte aan om samen met een AVG expert de situatie van jouw organisatie in kaart te brengen voor een advies op maat.