AVG
Nieuwe Europese privacyregels: wat te doen?
Tijd om de vereiste maatregelen te nemen. Waar te beginnen?
Hieronder volgt een beproefd actieplan volgens een eenvoudige systematiek waarmee je in korte tijd de belangrijkste eisen uit de AVG op orde kunt brengen:
Stap 1: Registratie
Maak inzichtelijk welke gegevens je verwerkt en waarom je dat doet. Voorbeelden waarbij persoonsgegevens worden verwerkt zijn: 1. Ledenadministratie, 2. Personeels- en salarisadministratie, 3. Leveranciers, 4. Deelnemers toernooien en activiteiten, 5. Contactpersonen sponsors en 6. Inloggegevens bezoekers website.
Stap 2: Toevoegen van extra kenmerken aan de registratie
Voor elke activiteit leg je – naast het doel en de categorieën van gegevens uit stap 1 – ook vast aan wie de persoonsgegevens worden verstrekt (zowel intern als extern) en hoe lang je de gegevens bewaart c.q. wanneer je deze vernietigt. Daarbij geldt dat je persoonsgegevens alleen zo lang mag bewaren als noodzakelijk is gelet op het doel waarvoor de persoonsgegevens worden verwerkt. Dat neemt niet weg dat in sommige gevallen een bewaarplicht kan gelden op grond van bijzondere (meestal fiscale) regelgeving. Deze plicht gaat dan voor. Verder kun je – indien mogelijk – bij elke registratie aangeven welke beveiligingsmaatregelen je hebt getroffen. Denk bijvoorbeeld aan het versleuteld verzenden of ontvangen van gegevens of een beveiligde omgeving binnen jouw website voor alleen leden.
Stap 3: Informeren van uw leden en anderen van wie je de gegevens verwerkt
De AVG schrijft voor dat je de personen van wie je persoonsgegevens verwerkt moet informeren over het gebruik van hun gegevens. Aan deze verplichting kunt je in de meeste gevallen voldoen door een goede privacyverklaring op te stellen en te publiceren op bijvoorbeeld jouw website.
Stap 4: Maak iemand verantwoordelijk voor het onderwerp privacy
Het is van belang dat het onderwerp informatiebeveiliging en privacy een plaats krijgt binnen de bestuurlijke verantwoordelijkheid. Gelet op de wettelijke verplichtingen adviseren wij om het onderwerp regelmatig te bespreken in bestuursvergaderingen en de verantwoordelijkheid voor het opstellen en uitvoeren van de privacyregels toe te wijzen aan één van de bestuurders. Vanuit deze rol kan dan ook worden voldaan aan de verplichting om zogenoemde 'datalekken' te melden bij de Autoriteit Persoonsgegevens en eventuele betrokkenen als dat nodig is.
Stap 5: vervolgacties
Met stap 1 t/m 4 leg je een goede basis en toon je bovendien aan dat je de verantwoordelijkheid met betrekking tot privacy serieus neemt. Let op dat de Europese regels meer vragen dan alleen de registratie- en de informatieverplichting. De goede invulling van deze extra verplichtingen hangt af van de aard en grootte van jouw organisatie, de gegevens die je verwerkt en de wijze waarop je dat doet.
Als je bijv. gegevens vertrekt aan andere organisaties (zoals de sportbond of een incassobureau) dan kan het nodig zijn een zogenoemde verwerkersovereenkomst te sluiten. Als je nieuwe technische toepassingen wenst te gebruiken om persoonsgegevens vast te leggen, dan is het van belang dat je van meet af aan rekening houdt met privacyaspecten. Verder is het bij het verwerken van bijzondere persoonsgegevens (bijv. medische informatie) verplicht vooraf een privacy impact assessment te doen. Dergelijke situaties vragen vrijwel altijd om maatwerkoplossingen. Met het doorlopen van stap 1 t/m 4 heb je daarvoor echter al een goed fundament gelegd.
Mocht er op basis hiervan de wens ontstaan voor een aanvullende bijeenkomst omtrent deze nieuwe wetgeving, horen wij dat graag via [email protected]
Informatie is afkomstig van Sportsupport, mocht u meer informatie willen kunt u ook een kijkje nemen op avgverenigingen.nlOok via NL Voor Elkaar kunt u meer informatie, een stappenplan en tips ontvangen. Klik op onderstaande link om direct door te gaan.