Met Excel voorbereid op de (nieuwe) privacywet (AVG)?

De AVG:

  • legt meer verantwoordelijkheden bij de organisatie die persoonsgegevens verwerkt (“verwerkingsverantwoordelijke”)
  • beschermt en versterkt de rechten van de personen van wie persoonsgegevens worden verwerkt (“betrokkenen”)
  • geeft de toezichthouder, de Autoriteit Persoonsgegevens, meer bevoegdheden, waaronder de bevoegdheid om hoge boetes op te leggen.

 

Inleiding

Vrijwilligersorganisatie gebruiken en registreren persoonsgegevens. Bijvoorbeeld de gegevens van leden en sponsoren, personeelsleden en vrijwilligers, dit gebeurd vaak in het handig en voor iedereen bruikbare excel. Maar is gebruik van excel met al die persoonsgegevens van wel AVG proof? Lees hieronder de belangrijkste punten en oordeel zelf.

Bewustwording en overzicht van de verwerking

Het is belangrijk dat iedereen binnen je organisatie weet dat straks de nieuwe AVG van toepassing is en wat de gevolgen zijn. Van het bestuur tot en met alle medewerkers en vrijwilligers die persoonsgegevens verwerken, gebruiken of kunnen inzien.

Het kan handig zijn om één persoon binnen je organisatie of binnen het bestuur aan te wijzen die verantwoordelijk is voor de correcte verwerking van de persoonsgegevens. 
Hij/zij zal samen met het bestuur, eventueel met de Functionaris Gegevensbescherming, moeten inschatten wat de impact van de AVG is voor het huidige gebruik van de persoonsgegevens en de processen binnen je organisatie. Deze verantwoordelijke zal ook moeten onderzoeken welke aanpassingen nodig zijn.

Onder de AVG heeft je organisatie een zogenaamde ‘verantwoordingsplicht’. Dit houdt in dat jullie altijd moeten kunnen aantonen dat je organisatie handelt in overeenstemming met de AVG.

Begin daarom met het in kaart brengen en documenteren van de persoonsgegevens die jullie momenteel verwerken. Zo worden jullie je bewust van welke persoonsgegevens de organisatie verwerkt. Vervolgens kunnen jullie beoordelen wat er moet gebeuren om aan de AVG te voldoen.

Breng de verwerking van de persoonsgegevens in kaart door de volgende informatie te verzamelen:

  • welke persoonsgegevens verwerken jullie?
    Bijvoorbeeld: naam, adres, bankgegevens, telefoonnummer, geslacht, e-mailadres
     
  • van welke categorieën betrokkenen zijn de persoonsgegevens?
    Bijvoorbeeld: leden, sponsoren, vrijwilligers, personeelsleden
     
  • verwerken jullie ook gegevens over gezondheid of andere bijzondere persoonsgegevens?
    Bijvoorbeeld: vaardigheden, voorkeuren?
     
  • voor welk doel gebruiken jullie de persoonsgegevens?
    Bijvoorbeeld: innen lidmaatschapsgeld, verzenden van informatie, uitnodigingen bijeenkomsten, in plannen van vrijwilligers?
     
  • vragen jullie toestemming voor de verwerking? Of is er sprake van een andere wettelijke grondslag?
     
  • gebruiken jullie een privacybeleid of hebben jullie andere informatie aan de betrokkenen verstrekt?
     
  • wie hebben er allemaal toegang tot de persoonsgegevens?
    Bijvoorbeeld: welke personeelsleden, vrijwilligers, andere derden (verwerkers)?
     
  • hebben jullie met deze derden/verwerkers een verwerkersovereenkomst gesloten?
     
  • hoe worden de persoonsgegevens beveiligd / is er een beveiligingsbeleid?
     
  • hoe lang worden de persoonsgegevens bewaard?

Met deze informatie zullen jullie moeten inschatten welke stappen de organisatie nog moet zetten om te voldoen aan de AVG.

Bewaar niet wat je niet nodig hebt

De AVG gaat uit van dataminimalisatie. Dit betekent dat organisaties zo min mogelijk persoonsgegevens moeten verwerken en uitsluitend die gegevens die nodig zijn voor het te bereiken doel. Vraag je bij alle te verwerken persoonsgegevens af of deze gegevens echt noodzakelijk zijn voor het doel dat jullie nastreven.

Aanleggen van register van de gegevensverwerking

De AVG verplicht organisaties om verantwoording af te leggen over de verwerking van persoonsgegevens en aan te tonen dat de organisatie voldoet aan de verplichtingen.

Onderdeel hiervan is de verplichting om een register van de verwerkingsactiviteiten bij te houden indien:

  • er meer dan 250 medewerkers werkzaam zijn; of
  • er minder dan 250 medewerkers werkzaam zijn, maar er gegevens over gezondheid, godsdienst of seksuele leven worden verwerkt.

Als je organisatie gegevens over de gezondheid verwerkt, zul je een register van de verwerkingsactiviteiten moeten bijhouden. Hoe het register wordt opgezet is vrijgelaten. Wel schrijft de AVG voor welke informatie in het register moet worden opgenomen. Het betreft de volgende informatie:

  1. de naam en contactgegevens van:
    1. de organisatie en de vertegenwoordiger van de organisatie
    2. eventuele andere organisaties waarmee gezamenlijk de doelen en middelen van de verwerking zijn vastgesteld
    3. de Functionaris voor de gegevensbescherming (FG), als die is aangesteld
    4. eventuele andere internationale organisaties waar persoonsgegevens mee worden gedeeld
  2. de doelen waarvoor de persoonsgegevens worden verwerkt. Bijvoorbeeld voor het lidmaatschap, de betaling, het bezorgen van producten of diensten of direct marketing
  3. een beschrijving van de categorieën van personen van wie gegevens worden verwerkt. Bijvoorbeeld leden, vrijwilligers, sponsoren
  4. een beschrijving van de categorieën van persoonsgegevens. Zoals de NAW-gegevens, telefoonnummers, e-mailadressen, bankrekeningnummers
  5. de datum waarop de gegevens gewist moeten worden (als dat bekend is) en/of de bewaartermijnen
  6. de categorieën van ontvangers aan wie persoonsgegevens worden verstrekt
  7. als de gegevens met een land of internationale organisatie buiten de EU worden gedeeld, dan moet dit worden aangegeven in het register
  8. een algemene beschrijving van de technische en organisatorische maatregelen die worden genomen om persoonsgegevens die worden verwerkt te beveiligen

Data Protection Impact Assessment (DPIA)

Onder de AVG kan eenorganisatie verplicht zijn om een DPIA uit te voeren. Met een DPIA breng je vooraf de privacyrisico’s van gegevensverwerking in kaart, waarna je maatregelen kunt nemen om de risico’s te verkleinen. De DPIA is eigenlijk een instrument om de risico’s van schending van de privacyrechten van betrokkenen te beheren.

Een DPIA is verplicht voor gegevensverwerkingen die ‘waarschijnlijk een hoog risico’ voor de privacyrechten van de betrokkenen hebben. Hiervan is bijvoorbeeld sprake bij verwerking op grote schaal van bijzondere persoonsgegevens, zoals gegevens over gezondheid, godsdienst of seksuele leven. 

De Autoriteit Persoonsgegevens zal nog een lijst van verwerkingen publiceren waarvoor een DPIA verplicht is. Voor de beoordeling of er sprake is van grootschalige gegevensverwerking.

Ook hier geldt dat een verwerking een ‘waarschijnlijk hoog risico’ inhoudt, als er sprake is van een grootschalige verwerking van bijzondere categorieën van persoonsgegevens (bijvoorbeeld gegevens over de gezondheid).  

Onderzoek of jullie een DPIA moeten uitvoeren. Verwerken jullie bijzondere persoonsgegevens (bijvoorbeeld gegevens over de gezondheid) en is deze verwerking grootschalig? Dan is waarschijnlijk een DPIA nodig.

Besluiten jullie dat de gegevensverwerking waarschijnlijk geen “hoog risico” inhoudt, dan moeten jullie dat goed motiveren en schriftelijk vastleggen, bijvoorbeeld in het  genoemde register.

Uitvoering van een DPIA

De DPIA moet steeds voorafgaand aan de start van de verwerking van de persoonsgegevens worden uitgevoerd. Ook voor bestaande gegevensverwerkingen (gestart voor introductie van de AVG) is het nodig te onderzoeken of een DPIA nodig is.

Verwerkt je organisatie nu al persoonsgegevens of start de organisatie een nieuwe verwerking? Maak dan de afweging of een DPIA nodig is. Is het antwoord ja, dan moet je daarmee starten.

De DPIA moet minimaal aan de volgende kenmerken voldoen:

  1. een systematische beschrijving van de beoogde gegevensverwerkingen, de doeleinden en wettelijke grondslagen
  2. een beoordeling van de noodzaak en de evenredigheid van de verwerkingen. 
    Dat houdt in: is het verwerken van persoonsgegevens op deze manier noodzakelijk om het doel van je organisatie te bereiken? Is de inbreuk op de privacy van de betrokkenen niet onevenredig in verhouding tot dit doel?
  3. een beoordeling van de privacyrisico's voor de rechten en vrijheden van betrokkenen
  4. de beoogde maatregelen om: (I) de risico's aan te pakken/te verkleinen en (II) aan te tonen dat je organisatie aan de AVG voldoet
  5. De DPIA moet worden vastgelegd in een verslag.

 

Toestemming van betrokkenen

Voor sommige gegevensverwerkingen heb je toestemming nodig van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Van een rechtsgeldige toestemming is pas sprake indien:

  • deze vrijelijk is gegeven
  • gegeven is voor een specifiek doel en bovendien
  • gebaseerd is op duidelijke informatie

Van ‘vrijelijk’ is sprake als de betrokkene een keuze heeft. Er is bijvoorbeeld geen sprake van ‘vrijelijk’ als de betrokkene verplicht is om gegevens over zijn gezondheid in te vullen, terwijl hij alleen maar een mailing van je organisatie wil ontvangen. 
De gegevens over de gezondheid zijn niet noodzakelijk om de mailing te ontvangen, daarom moet de betrokkene de keuze hebben om deze gegevens te verstrekken.

In alle gevallen moet je kunnen aantonen dat de betrokkene toestemming heeft gegeven.

Indien jullie bijzondere persoonsgegevens verwerken, bijvoorbeeld over de gezondheid, dan geldt bovendien dat de toestemming ‘uitdrukkelijk’ moet zijn. Dit betekent dat de betrokkene expliciet zijn wil moet hebben geuit in woord, geschrift of gedrag. Een stilzwijgende of impliciete toestemming is daarvoor niet voldoende.

Meldplicht datalekken

Onder de AVG blijft de meldplicht datalekken grotendeels hetzelfde. De AVG stelt wel strengere eisen aan de registratie van de datalekken die zich in de organisatie hebben voorgedaan.

Alle datalekken moeten in een register worden gedocumenteerd. Met deze documentatie moet de Autoriteit Persoonsgegevens kunnen controleren of aan de meldplicht is voldaan.

Er is sprake van een datalek als er een beveiligingsincident heeft plaatsgevonden, waarbij persoonsgegevens verloren zijn gegaan en/of waarbij het onrechtmatig gebruik daarvan niet kan worden uitgesloten. Voorbeelden hiervan zijn: kwijtraken van een USB -stick, diefstal van een laptop, inbraak door een hacker.

Het datalek moet direct, binnen 72 uur, gemeld worden aan de autoriteit persoonsgegevens, tenzij het onwaarschijnlijk is dat het datalek leidt tot een hoog risico voor de rechten en vrijheden van de betrokkenen. Hierbij is van belang wat voor persoonsgegevens er gelekt zijn. Als er bijzondere persoonsgegevens, zoals gegevens over gezondheid, gelekt zijn, dan is melding meestal noodzakelijk.

Indien het datalek waarschijnlijk een groot risico voor de rechten en vrijheden van de betrokkenen veroorzaakt, moet het datalek ook aan de betrokkene gemeld worden.

Verwerkersovereenkomst

Bijna alle organisaties maken gebruik van zogenaamde ‘verwerkers’. Dit zijn derden die namens de organisatie persoonsgegevens verwerken. Bijvoorbeeld hostingpartijen, salaris- of ledenadministratie en bedrijven die mailings verzorgen.

Op grond van de AVG is de organisatie verplicht om met deze verwerkers een verwerkersovereenkomst te sluiten waarin de verplichtingen uit de AVG zijn opgenomen.

Ook vrijwilligers van de organisatie verwerken soms gegevens van bijvoorbeeld leden/donateurs. Het is daarom belangrijk de vrijwilligersovereenkomst aan te vullen met een bijlage over het verwerken van persoonsgegevens.

 

Bron: https://www.pgosupport.nl/in-10-stappen-voorbereid-op-de-nieuwe-privacywet-avg

Vrijwilligersplanner.nl handig om vrijwilligers te organiseren

Bron: SA24.nl Tekst: Renske Woudstra

Alle vrijwilligers in één handig online-overzicht. In een paar klikken niet alleen al je vrijwilligers bij elkaar, maar ook nog simpel in te roosteren. Dat is de Vrijwilligersplanner. De organisatie van LF2018 stelt deze in Opsterland ontwikkelde planner gratis beschikbaar aan alle LF2018-evenementen.

De roots van de Vrijwilligersplanner liggen bij Oerrock. Het muziekfestival in Ureterp plande de vele vrijwilligers altijd in via Excelbestanden, een heel gedoe met aanpassingen. Vijf jaar geleden ontstond het idee om iets nieuws te bouwen: een site die de vrijwilligers simpel bij elkaar kan brengen. Grafisch ontwerper Evert Wilstra (Kreaasje) en webprogrammeur Alex Jeensma (Vontis) ontwikkelden de site. Vrijwilligersplanner.nl in de markt zetten was echter een ander verhaal. “Rond die tijd ben ik erbij gekomen, om Vrijwilligersplanner.nl aan de man te brengen”, zegt organisatiedeskundige Lammert van der Wal uit Beetsterzwaag. In 2014 startten de drie Vrijwilligersplanner BV.

Screenshot van de Vrijwilligersplanner

Screenshot van de Vrijwilligersplanner

Inmiddels gebruiken 153 organisaties de site, goed voor 293 coördinatoren en 4316 vrijwilligers. “We zitten nu in een fase dat de programmatuur werkt en de klanten zich melden. Maar we willen meer. Kortgeleden zijn we gesprekken gestart voor een crowdfundingactie om geld op te halen om te investeren in de marketing en personeel. Want we hebben wereldwijde ambitie.” Aan een Engelse vertaling van de site wordt inmiddels gewerkt.

Maar wat kun je nu eigenlijk met de Vrijwilligersplanner? “Je kunt je als organisatie aanmelden voor een gratis proefaccount. Het is geschikt voor kleine organisaties zoals de plaatselijke tennisvereniging, maar ook voor grote organisaties met honderden vrijwilligers. Met het account krijg je dan toegang tot de vele mogelijkheden van Vrijwilligersplanner.nl zoals de inschrijfmodule, waarmee je een eigen inschrijfformulier onder een knop op je eigen site kunt plaatsen. Vrijwilligers die zich via de knop op de eigen site aanmelden, komen automatisch in het bestand van Vrijwilligersplanner.”

Logo-CH2018-vrijwilligersplanner.jpg

Een bijzondere samenwerking is er met Leeuwarden-Fryslân Culturele Hoofdstad (LF2018). Zij stellen Vrijwilligersplanner.nl gratis beschikbaar aan alle organisaties die met LF2018 meedoen. Met de talloze bijbehorende culturele initiatieven in dit speciale jaar is het voor die organisatie van belang om dit goed af te stemmen met vrijwilligers. “Voor LF2018 hebben we een poule gebouwd. Via eigen werving heeft LF2018 inmiddels bijna duizend vrijwilligers in deze poule verzameld.” Dat werkt zo: vrijwilligers gaan naar de site van LF2018 en melden zich aan via Frij-Stiper (Fries voor vrijwilliger). Vervolgens worden ze (op de achtergrond) doorgeleid naar het inschrijfformulier van Vrijwilligersplanner waarin ze zich aanmelden. Ze krijgen dan een eigen profielpagina waar ze beschikbaarheid en voorkeuren kunnen opgeven. Vrijwilligersplanner.nl verwerkt deze gegevens automatisch zodat ze in de vrijwilligerspoule van LF2018 terechtkomen. Zo kan de organisatie van LF2018 in één oogopslag zien hoeveel vrijwilligers voor welk onderdeel beschikbaar zijn. “En vanuit hun eigen omgeving op Vrijwilligersplanner.nl kan de organisatie vervolgens contact leggen met de verschillende groepen.”

Deze poulestructuur is ook heel interessant voor bijvoorbeeld dorpen, steden en regio’s. Iedereen heeft moeite om vrijwilligers te vinden en te binden. Neem nou de vrijwilligers van een lokale tennisvereniging, die vinden het misschien ook leuk om ook ergens anders te helpen. Interessant wordt het als er een overkoepelende organisatie een poule op Vrijwilligersplanner.nl aanmaakt, bijvoorbeeld Plaatselijk Belang of een omnisportvereniging. “Want dik kans dat iemand die helpt bij de tennisclub, dat ook wel bij voetbal wil doen. Via de Vrijwilligersplanner kunnen de vrijwilligers simpel aangeven waarvoor ze ingezet willen worden zodat je als dorp of regio de krachten kunt bundelen.” Het gebruik van de vrijwilligersplanner.nl voor de bij LF2018 betrokken organisaties is gratis. Andere organisaties betalen per vrijwilliger jaarlijks 1 euro voor de diensten van Vrijwilligersplanner.

vwp-ch2018.jpg

Ervaring Golazo Noord Nederland

Golazo Noord Nederland GRONINGEN

Golazo Noord Nederland (2014), voorheen Topsport Noord Nederland, richt zich al sinds 1992 op het organiseren van (top)sportevenementen in Groningen. Door de jaren heen zijn verschillende sportevenementen geïnitieerd met een prachtige mix van top- en breedtesport voor jong en oud. Zo wordt vanaf 1993 de 4 Mijl van Groningen, het grootste hardloopevenement van Noord Nederland georganiseerd en ligt sinds 2008 de focus geheel op hardloopevenementen. Bij alle evenementen is optimale aandacht voor gezond bewegen, promotie van Groningen, maatschappelijke betrokkenheid en stimulering van bedrijfsactiviteiten. Jaarlijks trekken de evenementen zo’n 30.000 deelnemers en honderdduizend toeschouwers.

Zoveel kansen en mogelijkheden!

Ik ben met de Vrijwilligerplanner in aanmerking gekomen voor de hardloop- en fietsevenementen die wij organiseren vanuit Golazo Noord Nederland. Wij werken hiervoor met meer dan 1000 vrijwilligers verspreid over alle evenementen. Om bij al deze evenementen vrijwilligers te ontvangen en ook nog op de juiste manier in te zetten is altijd een hele klus en behoorlijk tijdrovend werk. Hiervoor kwam de Vrijwilligersplanner.nl langs met zoveel kansen en mogelijkheden waarbij dit proces het zou versnellen en vergemakkelijken. Hiervoor hebben wij voor de GasTerra Ladiesrun Groningen met een online test omgeving gewerkt. Waarbij al onze ideeën en problemen waar wij tegen aan liepen meteen uitgewerkt werden en alle tips om het systeem te verbeteren meer dan welkom waren!

4 mijl vrijwilligers_01.png

 Binnenkort zullen wij het systeem verder uitzetten onder de vrijwilligers. Vrijwilligers kunnen dan zelf aangeven via het systeem of ze beschikbaar zijn of niet, je hoeft ze dan als organisator zelf alleen nog in te delen bij de juiste functies. Waarbij je vlak voor het evenement een gehele groep met dezelfde functie kunt mailen vanuit het systeem. Uiteraard blijft persoonlijke contact met vrijwilligers erg belangrijk en wordt dit ook zeker gestimuleerd door de eigenaren van de Vrijwilligersplanner.nl Dit door bijvoorbeeld af en toe een dubbele check te doen met behulp van een belronde. Voor de vrijwilliger zelf is het uiteindelijk ook een stuk fijner om jezelf aan te melden, en al je gegevens zelf in te vullen op een persoonlijke profielpagina.

 Wij hopen nog een lange samenwerking aan te gaan met de Vrijwilligerplanner voor al onze komende harldoop- en fietsevenementen!

 Sportieve groet,

Michelle Mencke

Event support medewerker Golazo Noord Nederland

Ervaring Leiden Marathon

De Leiden Marathon beleefde haar première in 1991 en trekt sindsdien jaarlijks duizenden hardlopers èn kijkers. Vorig jaar startten zo’n 15.000 renners op de Breestraat en het deelnemersaantal groeit nog ieder jaar. De Leiden Marathon houdt de klassieke afstand en tijd aan: 42,195 kilometer binnen zes uur. De Leiden Marathon geniet inmiddels internationale bekendheid en geldt voor vele lopers als een perfecte voorbereiding op kampioenschappen.

“De Leiden Marathon bestaat 26 jaar. We werken met meer dan 1100 vrijwilligers."

Leiden Marathon_01.jpg

“Voorgaande jaren gebruikten wij voor het verwerken van de gegevens van vrijwilligers excel. Dit was al jaren een doorn in onze ogen. Onze bestanden waren vervuild en we kregen daardoor uiteraard kritiek van vrijwilligers omdat ze niet de juiste kleding hadden of geen mail kregen. En terecht.”

“Het werken met Vrijwilligersplanner.nl heeft ervoor gezorgd dat er in onze organisatie heel veel rust is gekomen. Het was de basis voor de best georganiseerde marathon in 26 jaar. Geen mopperende vrijwilligers, kleding klopte en de teamleiders waren zeer tevreden.

“Tijdens de laatste evaluatie werden we enorm blij verrast door een nieuwe versie…in één klap waren al onze verbeterpunten verwerkt. Echt grote klasse!”

“Zoekt u ook naar een gebruikersvriendelijk vrijwilligerssysteem? Ik zou Vrijwilligersplanner.nl benaderen!”

- Mok Scheffer manager Leiden Marathon